信息系统的业务连续性安全管理模型及实施流程.doc

 2005 年 12 月 December 2005 计 算 机 工 程 Computer Engineering 第 31 卷 第 24 期 № 24 Vol.31 ·安全技术· 文章编号：1000—3428(2005)24—0180—03 文献标识码：A 中图分类号：TP309 信息系统的业务连续性安全管理模型及实施流程 方 琳 1,2，张玉清 2，马玉祥 1 （1. 西安电子科技大学计算机学院，西安 710061；2. 中国科学院研究生院国家计算机网络入侵防范中心，北京 100039） 摘 要：介绍了信息系统业务连续性安全管理的概念、发展状况，提出了信息系统业务连续性 EDCA 安全管理模型，并进一步提出了基于 EDCA 模型的业务连续性安全管理可实施流程，讨论了该流程的优缺点和适用范围，该模型及其可实施流程的提出，对保证企业信息系统 业务连续性运转具有一定的指导作用。 关键词：业务连续性安全管理；业务连续性计划；风险评估 Business Continunity Management Security Module and Implementation FANG Lin1,2, ZHANG Yuqin2, MA Yuxiang1 （1. School of Computer Science and Engineering, Xidian University, Xi’an 710071; 2. National Computer Network Intrusion Protection Center, GSCAS, Beijing 100039） 【Abstract】The paper makes an introduction to concept and development of business continuity security management and gives a management module of EDCA in business continuity security. Basing on EDCA module, this paper gives implementation which has good performance and finally discusses the merits and scope of the implementation.This module and its implementation are of great help for enterprises’ requirement of business continuity management , and gives direction to security management of enterprises to some extent. 【Key words】Information system business continuity management; Business continuity planning; Risk estimate 1 业务连续性安全管理概述 信息系统的业务连续性安全管理（以下简称业务连续性 安管）主要对企业信息系统进行安全管理，使得企业信息系 统在任何时候以及任何需要的状况下都能保持连续运行。信 息系统安管是保证企业信息系统安全的预防性措施，它明确 机构 中信息系统的 关键职能以及 可能对这些职 能构成的威 胁，并据此采取一定的技术手段，制定相应的计划和流程， 以确保这些关键职能的安全性、可用性和不间断性，并在任 何环境下都能持续发挥作用。 从 20 世纪 90 年代开始，对业务连续性安管的研究开始 慢慢起步， 各国对于业务 连续性安管还 处于研究过程 中 。 Huward Rubin[1]认为，企业内部需要成立指挥中心，以了解 企业 的信息系统安 全架构并对整 个企业进行统 一的安全规 划，建立以人为实施主导的业务连续性计划。UMC[2]针对火 灾、地震、气体泄漏和化学药品溢出这 4 个具体灾难事件制 定具体的业务连续性管理计划，业务连续性管理针对主要供 应商的风险识别，对生产和业务运作的信息备份以及建构保 证灾难发生货品转移的机械设备这 4 个部分进行。Wing Lam[3] 提出一个双环结构的管理架构，内环是业务连续性计划的实 施步骤，外环是业务恢复计划各个执行部分，业务连续性计 划 和 业 务 恢 复 计 划 被 作 为 一 个 整 体 考 虑 。 Bryan R.M.Manning[4]就千年虫问题，重点研究该事件对企业计算机 硬件方面造成的可能影响。 由业务连续性安管方面的研究现状，我们认为业务连续 性安管是一种整体的流程