信息系统的业务连续性安全管理模型及实施流程.docVIP

第31卷第24期Vol.31 第31卷第24期 Vol.31 Nq 24 Computer Engineering ?安全技术? :1000—3428(2005)24—0180—03 A :TP309 信息系统的业务连续性安全管理模型及实施流程 方琳巴张玉清2,马玉祥I (I.西安电子科技大学计算机学院，西安710061; 2.中国科学院研究生院国家计算机网络入侵防范中心，北京100039) 摘 耍：介绍了信息系统业务连续性安全管理的概念、发展状况，提出了信息系统业务连续性EDCA安全管理模型，并进-步提出了基于 EDCA模型的业务连续性安全管理可实施流程，讨论了该流程的优缺点和适用范围，该模型及其可实施流程的提出，对保证企业信息系统 业务连续性运转具有一定的指导作用。 关键词：业务连续性安全管理；业务连续性计划；风险评估 Business Continunity Management Security Module andImplementation FANG Lin12, ZHANG Yuqin2, MA Yuxiang1 (1 ? School of Computer Science and Engineering, Xidian University, Xian 710071; 2. National Computer Network Intrusion Protection Center, GSCAS, Beijing 100039) [Abstract] The paper makes an introduction to concept and development of business continuity security management and gives a management module of EDCA in business continuity security? Basing on EDCA module, this paper gives implementation which has good performance and finall} discusses the merits and scope of the implementation.This module and its implementation are of great help for enterprises requirement of business continuity management, and gives direction to security management of enterprises to some extent. [Key words] Information system business continuity management; Business continuity planning: Risk estimate 1业务连续性安全管理概述 倍息系统的业务连续性安全管理（以下简称业务连续性 安管）主要对企业信息系统进行安金管理，使得企业信息系 统在任何时候以及任何需要的状况下都能保持连续运行。信 息系统安管是保证企业信息系统安全的预防性措施，它明确 机构中信息系统的关键职能以及可能对这些职能构成的威 胁，并据此采取一定的技术手段，制定相应的计划和流程， 以确保这些关键职能的安全性、可用性和不间断性，并在任 何环境下都能持续发挥作用。 从20世纪90年代开始，对业务连续性安管的研究开始 慢慢起步，各国对于业务连续性安管还处于研究过程中。 Huward Rubin⑴认为，企业内部需要成立指挥中心，以了解 企业的信息系统安全架构并对整个企业进行统一的安全规 划，建立以人为实施主导的业务连续性计划。UMC⑵针对火 灾、地震、气体泄漏和化学药品溢出这4个具体灾难事件制 定具体的业务连续性管理让划，业务连续性管理针对主要 供应商的风险识別，对生产和业务运作的信息备份以及楚 构保证灾难发生货品转移的机械设备这4个部分进行。Wi哄 Lam⑶提出一个双环结构的管理架构，内环是业务连续悄 计划的实 施步骤，外环是业务恢复计划各个执行部分，业务连续性计 划和业务恢复计划被作为一个整体考虑。Bryan R.M.Manning141就千年虫问题，重点研究该事件对企业让算 机硕件方而造成的可能影响。 由业务连续性安管方面的研究现状，我们认为业务连续 性安管是一种整体的流程思想，它通过预测可能发生的对企 抵消这些威胁，以保护企业信息系统的安全。但是现今并没 有用于实施企业业务连续性安管的模型，因此本文提出一个 业务连续性EDCA管理模型，并基于该模型，给出了一个实 施性较强的实施流程。