我是北大磊哥,關(guān)注我,每周分享干貨!請(qǐng)務(wù)必看完文章,最后出來(lái)的才是壓軸的。
重要提示:高分通過(guò)軟考高項(xiàng)論文系列文章是我備考階段準(zhǔn)備的,參考了當(dāng)時(shí)網(wǎng)上尋找的還有培訓(xùn)班老師提供的范文,結(jié)合自己的項(xiàng)目情況整合而成,字?jǐn)?shù)都遠(yuǎn)超要求,大家不必?fù)?dān)心記不住,只要記住文章骨架脈絡(luò),用自己的語(yǔ)言填補(bǔ)就行。
考完之后又進(jìn)行了梳理,加深對(duì)項(xiàng)目管理的理解,我覺(jué)得考完后反而能更加深入的理解其中的一些方法和工具,有時(shí)間去細(xì)細(xì)琢磨提升自己,對(duì)自己的工作也有所幫助,也希望對(duì)大家備考高項(xiàng)有所幫助。
本人參與兩次“護(hù)網(wǎng)行動(dòng)”網(wǎng)絡(luò)攻防演習(xí),深感信息安全的嚴(yán)峻性和重要性以及自己的不足,這方面還需要不斷學(xué)習(xí)。
前言背景:
進(jìn)入21世紀(jì)以來(lái),信息網(wǎng)絡(luò)安全領(lǐng)域的工作的重要性越來(lái)越凸顯,信息技術(shù)的應(yīng)用已經(jīng)深入到國(guó)家社會(huì)生產(chǎn)生活的各個(gè)方面,稍有疏忽就可能造成極其嚴(yán)重的損失,當(dāng)前較為常見(jiàn)的信息安全問(wèn)題主要表現(xiàn)為:計(jì)算機(jī)病毒泛濫、惡意軟件的入侵黑客攻擊、利用計(jì)算機(jī)犯罪、網(wǎng)絡(luò)有害信息泛濫、個(gè)人隱私泄露。釣魚(yú)網(wǎng)站、電信詐騸社交軟件詐騙等犯罪活動(dòng),已經(jīng)成為直接騙取民眾錢(qián)財(cái)?shù)某R?jiàn)形式;網(wǎng)上有害信息泛濫個(gè)人隱私泄露嚴(yán)重,嚴(yán)重危害網(wǎng)民的身心健康,危害社會(huì)的安定團(tuán)結(jié)。從最初的木馬、蠕蟲(chóng)病毒、宏病毒、流氓插件、熊貓燒香、Stuxnet 震網(wǎng)(首個(gè)針對(duì)工業(yè)控制系統(tǒng)的計(jì)算機(jī)蠕蟲(chóng),該蠕蟲(chóng)病毒感染并破壞了伊朗納坦茲的核設(shè)施,并最終使伊朗的布什爾核電站推遲啟動(dòng)),DDOS惡意攻擊,植入木馬病毒控制計(jì)算機(jī)、非法刪除拷貝數(shù)據(jù)、挖礦等;2017年出現(xiàn)的WannaCry勒索病毒和不聲不響盜竊商用信息的程序,這些惡意程序的應(yīng)對(duì)防護(hù)都是我們?cè)谧鲂畔⑾到y(tǒng)項(xiàng)目是所必須考慮的安全問(wèn)題之一。2012,2017,2019年都考到了安全管理的論文,可知信息系統(tǒng)的安全管理在我們做項(xiàng)目管理的實(shí)踐中確實(shí)是必不可少的。大型項(xiàng)目特別是政府項(xiàng)目都對(duì)安全提出明確的要求。
正文:
論信息系統(tǒng)的安全管理
近年來(lái)隨著人們對(duì)生活環(huán)境要求的不斷提升,國(guó)家不斷加大對(duì)治理和保護(hù)水環(huán)境的要求和力度。2019年6月,公司中標(biāo)了某市水文局發(fā)布的《某某河流水環(huán)境智能檢測(cè)模擬預(yù)警平臺(tái)》項(xiàng)目以下簡(jiǎn)稱水環(huán)境項(xiàng)目,我參與該項(xiàng)目的前期調(diào)研分析、可行性研究、前景論證工作以及項(xiàng)目投標(biāo),在項(xiàng)目管理辦公室發(fā)布的項(xiàng)目章程匯總我被任命為項(xiàng)目經(jīng)理。該項(xiàng)目作為本市五年計(jì)劃的重點(diǎn)項(xiàng)目,作為智慧城市建設(shè)的組成部分,投資金額為800萬(wàn)元,建設(shè)工期為18個(gè)月。
水環(huán)境項(xiàng)目
該項(xiàng)目通過(guò)對(duì)河流流域和水體的水環(huán)境進(jìn)行實(shí)時(shí)監(jiān)控和指標(biāo)采集,利用建立的人工智能模型對(duì)重大污染和洪水等自然災(zāi)害進(jìn)行提前預(yù)警,生成評(píng)估報(bào)告和專家建議等。其主要原理是通過(guò)物聯(lián)網(wǎng)的傳感器獲取數(shù)據(jù),由4G/5G無(wú)線網(wǎng)絡(luò)傳輸數(shù)據(jù)至云端,利用數(shù)據(jù)倉(cāng)庫(kù)技術(shù)進(jìn)行計(jì)算和存儲(chǔ);然后經(jīng)過(guò)大數(shù)據(jù)技術(shù)和智能模擬仿真平臺(tái)進(jìn)行模擬和分析,得出事物的現(xiàn)狀和發(fā)展的規(guī)律并及時(shí)預(yù)測(cè)未來(lái)重大問(wèn)題和災(zāi)害,可以為政府管理部門(mén)提供河流的實(shí)時(shí)水質(zhì)水文指標(biāo)數(shù)據(jù)和預(yù)測(cè)模擬情景,為社會(huì)的生產(chǎn)生活提供更加有效的服務(wù)。該項(xiàng)目主要采用java和Python語(yǔ)言,運(yùn)用了 SpringCloud, HBase, Spark, Kafka, 百度Paddle等技術(shù),應(yīng)政府國(guó)產(chǎn)化要求要求,承載部分采用金蝶中間件,綜合管理功能部分?jǐn)?shù)據(jù)庫(kù)采用人大金倉(cāng)數(shù)據(jù)庫(kù)KingBaseESV8,采用集群分布式技術(shù)部署在政務(wù)云服務(wù)器Linux操作系統(tǒng)上。
該項(xiàng)目作為某市重點(diǎn)項(xiàng)目公開(kāi)招標(biāo),受到社會(huì)多方面關(guān)注,時(shí)間緊任務(wù)重社會(huì)影響大的特點(diǎn),經(jīng)公司同意,我組建了項(xiàng)目型團(tuán)隊(duì),經(jīng)過(guò)和專家團(tuán)隊(duì)討論,預(yù)計(jì)該項(xiàng)目需要人力資源約為18人,其中需求分析3人,開(kāi)發(fā)小組7人,測(cè)試小組3人,質(zhì)量控制小組2人,實(shí)施小2人,配置管理1人,每個(gè)小組組長(zhǎng)直接向我匯報(bào)。之后我們共同制定了責(zé)任分配表格,將任務(wù)分配到具體成員。
該河流總長(zhǎng)度約90公里,流域面積約2500平方公里,對(duì)社會(huì)生產(chǎn)生活影響較大,政府部門(mén)對(duì)安全性要求很高、而且系統(tǒng)涉及干系人眾多、結(jié)構(gòu)復(fù)雜等安全風(fēng)險(xiǎn)較多,信息安全管理對(duì)項(xiàng)目的成功顯得十分重要。如果做不好項(xiàng)目的安全規(guī)劃與管理,不做好項(xiàng)目安全的全局性統(tǒng)領(lǐng)工作,項(xiàng)目的成功將如無(wú)本之木,無(wú)從談起。下面結(jié)合本人對(duì)水環(huán)境監(jiān)測(cè)的開(kāi)發(fā)管理實(shí)踐,分別從規(guī)劃安全管理、管理安全策略、技術(shù)安全策略和安全審計(jì)管理等方面對(duì)項(xiàng)目的安全管理過(guò)程加以簡(jiǎn)要的論述。
安全等級(jí)保護(hù)
1. 規(guī)劃安全管理
在項(xiàng)目啟動(dòng)之初,水文局領(lǐng)導(dǎo)就明確提出了安全管理上的要求,要求本項(xiàng)目所依賴的水環(huán)境智能系統(tǒng)必須符合國(guó)家對(duì)行業(yè)信息系統(tǒng)的安全標(biāo)準(zhǔn),至少保證本項(xiàng)目信息系統(tǒng)安全等級(jí)符合三級(jí)安全等保要求;根據(jù)安全保護(hù)等級(jí)的標(biāo)準(zhǔn)劃分,本項(xiàng)目屬于安全標(biāo)記保護(hù)級(jí)別,該級(jí)適用于地方各級(jí)國(guó)家機(jī)關(guān)、金融單位機(jī)構(gòu)、郵電通信、能源與水源供給部門(mén)、交通運(yùn)輸、大型工商與信息技術(shù)企業(yè)、重點(diǎn)工程建設(shè)等單位。
本項(xiàng)目安全管理策略依據(jù)適應(yīng)性原則、動(dòng)態(tài)性原則、簡(jiǎn)單性原則、系統(tǒng)性原則和最小授權(quán)原則,遵循國(guó)標(biāo)gb/t22239-2008《信息系統(tǒng)安全等級(jí)保護(hù)基本要求》的要求,將系統(tǒng)安全管理劃分為管理類安全要求和技術(shù)類安全要求。
管理類安全要求主要涉及到人,與信息系統(tǒng)中各種角色參與的活動(dòng)有關(guān),通過(guò)控制各角色的活動(dòng),從政策、制度、規(guī)范、流程以及記錄等方面做出規(guī)定來(lái)實(shí)現(xiàn)。技術(shù)類安全要求與信息系統(tǒng)提供的技術(shù)安全機(jī)制有關(guān),主要通過(guò)在信息主體中部署軟硬件并正確地配置其安全功能來(lái)實(shí)現(xiàn)。管理要求和技術(shù)要求是確保信息系統(tǒng)安全不可分割的兩個(gè)部分。
2. 管理安全策略
一個(gè)單位的安全策略一定是定制的,都是針對(duì)本單位的“安全風(fēng)險(xiǎn)”進(jìn)行的。安全策略的核心內(nèi)容就是"七定",即定方案、定崗、定位、定員、定目標(biāo)、定制度、定工作流程。首先要定方案,其次定崗.系統(tǒng)安全是一個(gè)動(dòng)態(tài)的的過(guò)程,今天看來(lái)是安全的系統(tǒng),明天可能就不再安全。把信息系統(tǒng)的安全目標(biāo)定位于"系統(tǒng)永不停機(jī)、數(shù)據(jù)永不丟失、網(wǎng)絡(luò)永不癱瘓、信息永不泄密",是錯(cuò)誤的,是不現(xiàn)實(shí)的,也是不可能的適度的安全觀點(diǎn):安全代價(jià)低,顯然安全風(fēng)險(xiǎn)肯定大;反之,安全風(fēng)險(xiǎn)要降得很低,安全的代價(jià)也就很大。
在制定系統(tǒng)的信息安全管理制度時(shí),明確安全目標(biāo)、范圍、原則和框架等。本人參照本公司信息安全管理體系的要求,并結(jié)合系統(tǒng)實(shí)際情況,在充分征求了客戶和公司領(lǐng)導(dǎo)的前提下,制定出本系統(tǒng)的安全管理制度。并就制定出來(lái)的制度與相關(guān)干系人進(jìn)行討論和評(píng)審,評(píng)審?fù)ㄟ^(guò)后請(qǐng)客戶領(lǐng)導(dǎo)簽字確認(rèn),并正式實(shí)施。 在本項(xiàng)目的實(shí)踐中,除了對(duì)項(xiàng)目組本身進(jìn)行安全管理外,還爭(zhēng)取水文部門(mén)領(lǐng)導(dǎo)的支持對(duì)該部門(mén)全體人員和負(fù)責(zé)人員進(jìn)行了數(shù)次安全管理培訓(xùn)。在安全管理制度、安全管理機(jī)構(gòu)和人員安全管理方面都進(jìn)行了深入考慮制定相關(guān)的政策。 包括《信息系統(tǒng)安全領(lǐng)導(dǎo)機(jī)構(gòu)和職責(zé)》、《信息系統(tǒng)安全辦公室工作職責(zé)和崗位設(shè)置》、《信息系統(tǒng)安全日常操作管理規(guī)定》、《信息系統(tǒng)安全責(zé)任追究制度》、《信息系統(tǒng)安全應(yīng)急預(yù)案》和《機(jī)房管理規(guī)定》等。
3. 技術(shù)安全策略
技術(shù)安全主要從物理安全、網(wǎng)絡(luò)安全、主機(jī)安全、應(yīng)用安全和數(shù)據(jù)安全幾個(gè)方面進(jìn)行考慮。
(1物理安全
該層次的安全包括通信線路的安全,物理設(shè)備的安全,機(jī)房的安全等。本系統(tǒng)部署在水文局自有機(jī)房和政務(wù)云,都符合國(guó)家B類機(jī)房要求。
(2)網(wǎng)絡(luò)安全策略
網(wǎng)絡(luò)的安全是整個(gè)系統(tǒng)安全的基礎(chǔ),因此保證網(wǎng)絡(luò)的安全是非常重要的。在網(wǎng)絡(luò)的安全保證方面,使用了防火墻、安全路由、網(wǎng)絡(luò)隔離、防病毒技術(shù)、動(dòng)態(tài)口令卡等設(shè)備和方法,從物理上保證了網(wǎng)絡(luò)的安全。并定期進(jìn)行安全審計(jì),對(duì)審計(jì)出現(xiàn)的問(wèn)題,及時(shí)加以整改。對(duì)本系統(tǒng)單獨(dú)劃分了ⅥAN,分配了專門(mén)的地址段;偏遠(yuǎn)村、社區(qū)通過(guò)VPN訪問(wèn)系統(tǒng),保證了網(wǎng)絡(luò)的安全可靠
(3)主機(jī)安全策略
應(yīng)用服務(wù)器采用虛擬化部署,數(shù)據(jù)庫(kù)服務(wù)器采用雙機(jī)熱備和HIA方式,并使用了Debian操作系統(tǒng),從硬件上保證了服務(wù)器的安全。制定了服務(wù)器的安全使用方法,不同的賬戶進(jìn)入服務(wù)器有不同的使用權(quán)限。對(duì)服務(wù)器上的數(shù)據(jù)分級(jí)存放,使用了冗余備份。并定期對(duì)服務(wù)器的安全進(jìn)行審計(jì),根據(jù)審計(jì)結(jié)果進(jìn)行處罰。通過(guò)這些措施保證了主機(jī)的安全
(4)應(yīng)用安全策略
系統(tǒng)要求7×24小時(shí)不中斷服務(wù),本系統(tǒng)架構(gòu)采用虛擬化、集群化手段,保證了整個(gè)系統(tǒng)的安全可靠,系統(tǒng)中的一個(gè)部件損壞,不會(huì)影響到系統(tǒng)中其他部件的正常使用,因?yàn)樗鼈兪窍嗷オ?dú)立的。在每個(gè)部件中都采用了集群的技術(shù),如果集群中的一個(gè)服務(wù)器損壞,不會(huì)影響到其他集群服務(wù)器的正常使用,集群中所有服務(wù)器全部損壞的概率是很小的。如果真的全部損壞,我們還建立了應(yīng)急系統(tǒng)并定期的組織應(yīng)急演練。保證了全系統(tǒng)的安全可靠。應(yīng)提供專用的登錄控制模塊對(duì)登錄用戶進(jìn)行身份標(biāo)識(shí)和鑒別;提供登錄失敗處理功能,可采取結(jié)束會(huì)話限制非法登錄次數(shù)和自動(dòng)退出等措施;應(yīng)啟用身份鑒別和登錄失敗處理功能,并根據(jù)安全策略配置相關(guān)參數(shù)。原創(chuàng)提示:本文首發(fā)在今日頭條平臺(tái)【北大磊哥】賬號(hào)下,關(guān)注我,每周分享良心干貨!
(5)數(shù)據(jù)安全策略
數(shù)據(jù)是企業(yè)的核心資源,因此保證數(shù)據(jù)的安全就尤為重要,在本系統(tǒng)首先對(duì)數(shù)據(jù)庫(kù)進(jìn)行分域,不同的數(shù)據(jù)放到不同的域中,各個(gè)域相互獨(dú)立,一個(gè)域的損壞不會(huì)影響到其他域的安全。在數(shù)據(jù)庫(kù)備份方面采用全量備份和增量備份相結(jié)合的方法,定期備份數(shù)據(jù)文件和日志文件并且使用了企業(yè)級(jí)國(guó)產(chǎn)的安全備份恢復(fù)管理軟件,提高了備份的安全和效率。同時(shí)在水文局內(nèi)部機(jī)房進(jìn)行了全套數(shù)據(jù)每周備份,進(jìn)一步保證數(shù)據(jù)安全。
4.安全審計(jì)策略
系統(tǒng)完成開(kāi)發(fā)和部署后還需要定期進(jìn)行安全審計(jì),包括系統(tǒng)級(jí)審計(jì)、應(yīng)用級(jí)審計(jì)和用戶級(jí)審計(jì)。記錄、審查主體對(duì)客體進(jìn)行訪問(wèn)和使用情況,保證安全規(guī)則被正確執(zhí)行,并幫助分析安全事故產(chǎn)生的原因。審計(jì)的主要作用包括:
①對(duì)潛在的攻擊者起到震懾或警告作用
②對(duì)于已經(jīng)發(fā)生的系統(tǒng)破壞行為提供有效的追究證據(jù)
③為系統(tǒng)安全管理員提供有價(jià)值的系統(tǒng)使用日志,從而幫助
系統(tǒng)安全管理員及時(shí)發(fā)現(xiàn)系統(tǒng)入侵行為或潛在的系統(tǒng)漏洞
④為系統(tǒng)安全管理員提供系統(tǒng)運(yùn)行的統(tǒng)計(jì)日志,使系統(tǒng)安全管理員能夠發(fā)現(xiàn)系統(tǒng)性能上的不足或需要改進(jìn)與加強(qiáng)的地方
除了以上這些管理過(guò)程,我認(rèn)為還要做好變更和配置管理。在項(xiàng)目的實(shí)施過(guò)程中,由于用戶需求、政策導(dǎo)向或新技術(shù)的出現(xiàn)都會(huì)導(dǎo)致變更不可避免,但我嚴(yán)格按照變更控制流程進(jìn)行管理,并未導(dǎo)致項(xiàng)目范圍有較大變動(dòng)。同時(shí)也必須做好配置管理,否則容易造成版本混亂,權(quán)責(zé)不清。我們團(tuán)隊(duì)專門(mén)設(shè)置配置管理員,對(duì)項(xiàng)目進(jìn)行定期不定期的配置狀態(tài)審核等工作,保證配置項(xiàng)版本的統(tǒng)一。
經(jīng)過(guò)我們團(tuán)隊(duì)不懈的努力,該項(xiàng)目于2021年1月通過(guò)水利部門(mén)的驗(yàn)收,極大地提高了他們的工作效率和信息化辦公水平,同時(shí)也獲得了河流沿岸相關(guān)關(guān)系人的積極評(píng)價(jià)。本項(xiàng)目的成功得益于良好的整體管理,此外還包括重視安全管理。
總結(jié)這次管理實(shí)踐經(jīng)驗(yàn),我認(rèn)為做好安全管理,必須做到全員參與,調(diào)動(dòng)相關(guān)關(guān)系人的積極性,增加他們的信息安全意識(shí),前期做好培訓(xùn)工作,定期進(jìn)行檢查審計(jì)。當(dāng)然在本項(xiàng)目進(jìn)行中也存在一些問(wèn)題和經(jīng)驗(yàn)教訓(xùn),由于水文局部分工作人員對(duì)信息安全管理認(rèn)識(shí)不到位,在規(guī)章制度執(zhí)行和后期審計(jì)過(guò)程中出現(xiàn)忽視和抵觸現(xiàn)象,雖未產(chǎn)生不良影響但也存在重大的安全風(fēng)險(xiǎn)隱患,經(jīng)過(guò)我們項(xiàng)目組多次主動(dòng)的在工作和下班后溝通交流,終于取得的理解和支持。
信息安全管理工作是一個(gè)不斷提升的工作,需要不斷地完善和改進(jìn)。在之后的工作和學(xué)習(xí)過(guò)程中,我將不斷地學(xué)習(xí)和應(yīng)用信息系統(tǒng)安全管理知識(shí),多于同行交流心得經(jīng)驗(yàn),提高自己的業(yè)務(wù)能力和管理水平,在數(shù)據(jù)化浪潮中爭(zhēng)取為我國(guó)的信息化和工業(yè)化建設(shè)貢獻(xiàn)自己一份力量。
PS:歡迎留言討論,我會(huì)積極給予回復(fù)!
希望今天的分享能夠?qū)δ阌兴鶈l(fā),歡迎關(guān)注,評(píng)論互粉,聽(tīng)說(shuō)關(guān)注我并轉(zhuǎn)發(fā)的,能力和收入都嗖嗖漲呢!嗯,魯迅說(shuō)的
版權(quán)聲明:本文內(nèi)容由互聯(lián)網(wǎng)用戶自發(fā)貢獻(xiàn),該文觀點(diǎn)僅代表作者本人。本站僅提供信息存儲(chǔ)空間服務(wù),不擁有所有權(quán),不承擔(dān)相關(guān)法律責(zé)任。如發(fā)現(xiàn)本站有涉嫌抄襲侵權(quán)/違法違規(guī)的內(nèi)容, 請(qǐng)發(fā)送郵件至 舉報(bào),一經(jīng)查實(shí),本站將立刻刪除。