我是北大磊哥，關注我，每周分享干貨！請務必看完文章，最后出來的才是壓軸的。

重要提示：高分通過軟考高項論文系列文章是我備考階段準備的，參考了當時網上尋找的還有培訓班老師提供的范文，結合自己的項目情況整合而成，字數(shù)都遠超要求，大家不必擔心記不住，只要記住文章骨架脈絡，用自己的語言填補就行。

考完之后又進行了梳理，加深對項目管理的理解，我覺得考完后反而能更加深入的理解其中的一些方法和工具，有時間去細細琢磨提升自己，對自己的工作也有所幫助，也希望對大家備考高項有所幫助。

本人參與兩次“護網行動”網絡攻防演習，深感信息安全的嚴峻性和重要性以及自己的不足，這方面還需要不斷學習。

前言背景：

進入21世紀以來，信息網絡安全領域的工作的重要性越來越凸顯，信息技術的應用已經深入到國家社會生產生活的各個方面，稍有疏忽就可能造成極其嚴重的損失，當前較為常見的信息安全問題主要表現(xiàn)為:計算機病毒泛濫、惡意軟件的入侵黑客攻擊、利用計算機犯罪、網絡有害信息泛濫、個人隱私泄露。釣魚網站、電信詐騸社交軟件詐騙等犯罪活動,已經成為直接騙取民眾錢財?shù)某Ｒ娦问?網上有害信息泛濫個人隱私泄露嚴重,嚴重危害網民的身心健康,危害社會的安定團結。從最初的木馬、蠕蟲病毒、宏病毒、流氓插件、熊貓燒香、Stuxnet 震網（首個針對工業(yè)控制系統(tǒng)的計算機蠕蟲，該蠕蟲病毒感染并破壞了伊朗納坦茲的核設施，并最終使伊朗的布什爾核電站推遲啟動），DDOS惡意攻擊，植入木馬病毒控制計算機、非法刪除拷貝數(shù)據、挖礦等；2017年出現(xiàn)的WannaCry勒索病毒和不聲不響盜竊商用信息的程序，這些惡意程序的應對防護都是我們在做信息系統(tǒng)項目是所必須考慮的安全問題之一。2012，2017,2019年都考到了安全管理的論文，可知信息系統(tǒng)的安全管理在我們做項目管理的實踐中確實是必不可少的。大型項目特別是政府項目都對安全提出明確的要求。

正文：

論信息系統(tǒng)的安全管理

近年來隨著人們對生活環(huán)境要求的不斷提升，國家不斷加大對治理和保護水環(huán)境的要求和力度。2019年6月，公司中標了某市水文局發(fā)布的《某某河流水環(huán)境智能檢測模擬預警平臺》項目以下簡稱水環(huán)境項目，我參與該項目的前期調研分析、可行性研究、前景論證工作以及項目投標，在項目管理辦公室發(fā)布的項目章程匯總我被任命為項目經理。該項目作為本市五年計劃的重點項目，作為智慧城市建設的組成部分，投資金額為800萬元，建設工期為18個月。

水環(huán)境項目

該項目通過對河流流域和水體的水環(huán)境進行實時監(jiān)控和指標采集，利用建立的人工智能模型對重大污染和洪水等自然災害進行提前預警，生成評估報告和專家建議等。其主要原理是通過物聯(lián)網的傳感器獲取數(shù)據，由4G/5G無線網絡傳輸數(shù)據至云端，利用數(shù)據倉庫技術進行計算和存儲；然后經過大數(shù)據技術和智能模擬仿真平臺進行模擬和分析，得出事物的現(xiàn)狀和發(fā)展的規(guī)律并及時預測未來重大問題和災害，可以為政府管理部門提供河流的實時水質水文指標數(shù)據和預測模擬情景，為社會的生產生活提供更加有效的服務。該項目主要采用java和Python語言，運用了 SpringCloud, HBase, Spark, Kafka, 百度Paddle等技術，應政府國產化要求要求，承載部分采用金蝶中間件，綜合管理功能部分數(shù)據庫采用人大金倉數(shù)據庫KingBaseESV8，采用集群分布式技術部署在政務云服務器Linux操作系統(tǒng)上。

該項目作為某市重點項目公開招標，受到社會多方面關注，時間緊任務重社會影響大的特點，經公司同意，我組建了項目型團隊，經過和專家團隊討論，預計該項目需要人力資源約為18人，其中需求分析3人，開發(fā)小組7人，測試小組3人，質量控制小組2人，實施小2人，配置管理1人，每個小組組長直接向我匯報。之后我們共同制定了責任分配表格，將任務分配到具體成員。

該河流總長度約90公里，流域面積約2500平方公里，對社會生產生活影響較大，政府部門對安全性要求很高、而且系統(tǒng)涉及干系人眾多、結構復雜等安全風險較多，信息安全管理對項目的成功顯得十分重要。如果做不好項目的安全規(guī)劃與管理，不做好項目安全的全局性統(tǒng)領工作，項目的成功將如無本之木，無從談起。下面結合本人對水環(huán)境監(jiān)測的開發(fā)管理實踐，分別從規(guī)劃安全管理、管理安全策略、技術安全策略和安全審計管理等方面對項目的安全管理過程加以簡要的論述。

安全等級保護

1. 規(guī)劃安全管理

在項目啟動之初，水文局領導就明確提出了安全管理上的要求，要求本項目所依賴的水環(huán)境智能系統(tǒng)必須符合國家對行業(yè)信息系統(tǒng)的安全標準，至少保證本項目信息系統(tǒng)安全等級符合三級安全等保要求;根據安全保護等級的標準劃分，本項目屬于安全標記保護級別，該級適用于地方各級國家機關、金融單位機構、郵電通信、能源與水源供給部門、交通運輸、大型工商與信息技術企業(yè)、重點工程建設等單位。

本項目安全管理策略依據適應性原則、動態(tài)性原則、簡單性原則、系統(tǒng)性原則和最小授權原則,遵循國標gb/t22239-2008《信息系統(tǒng)安全等級保護基本要求》的要求,將系統(tǒng)安全管理劃分為管理類安全要求和技術類安全要求。

管理類安全要求主要涉及到人，與信息系統(tǒng)中各種角色參與的活動有關,通過控制各角色的活動,從政策、制度、規(guī)范、流程以及記錄等方面做出規(guī)定來實現(xiàn)。技術類安全要求與信息系統(tǒng)提供的技術安全機制有關,主要通過在信息主體中部署軟硬件并正確地配置其安全功能來實現(xiàn)。管理要求和技術要求是確保信息系統(tǒng)安全不可分割的兩個部分。

2. 管理安全策略

一個單位的安全策略一定是定制的,都是針對本單位的“安全風險”進行的。安全策略的核心內容就是"七定",即定方案、定崗、定位、定員、定目標、定制度、定工作流程。首先要定方案,其次定崗.系統(tǒng)安全是一個動態(tài)的的過程,今天看來是安全的系統(tǒng),明天可能就不再安全。把信息系統(tǒng)的安全目標定位于"系統(tǒng)永不停機、數(shù)據永不丟失、網絡永不癱瘓、信息永不泄密",是錯誤的,是不現(xiàn)實的,也是不可能的適度的安全觀點:安全代價低,顯然安全風險肯定大;反之,安全風險要降得很低,安全的代價也就很大。

在制定系統(tǒng)的信息安全管理制度時,明確安全目標、范圍、原則和框架等。本人參照本公司信息安全管理體系的要求,并結合系統(tǒng)實際情況,在充分征求了客戶和公司領導的前提下,制定出本系統(tǒng)的安全管理制度。并就制定出來的制度與相關干系人進行討論和評審,評審通過后請客戶領導簽字確認,并正式實施。 在本項目的實踐中，除了對項目組本身進行安全管理外，還爭取水文部門領導的支持對該部門全體人員和負責人員進行了數(shù)次安全管理培訓。在安全管理制度、安全管理機構和人員安全管理方面都進行了深入考慮制定相關的政策。 包括《信息系統(tǒng)安全領導機構和職責》、《信息系統(tǒng)安全辦公室工作職責和崗位設置》、《信息系統(tǒng)安全日常操作管理規(guī)定》、《信息系統(tǒng)安全責任追究制度》、《信息系統(tǒng)安全應急預案》和《機房管理規(guī)定》等。

3. 技術安全策略

技術安全主要從物理安全、網絡安全、主機安全、應用安全和數(shù)據安全幾個方面進行考慮。
（1物理安全

該層次的安全包括通信線路的安全,物理設備的安全,機房的安全等。本系統(tǒng)部署在水文局自有機房和政務云,都符合國家B類機房要求。

(2)網絡安全策略

網絡的安全是整個系統(tǒng)安全的基礎,因此保證網絡的安全是非常重要的。在網絡的安全保證方面,使用了防火墻、安全路由、網絡隔離、防病毒技術、動態(tài)口令卡等設備和方法,從物理上保證了網絡的安全。并定期進行安全審計,對審計出現(xiàn)的問題,及時加以整改。對本系統(tǒng)單獨劃分了ⅥAN,分配了專門的地址段;偏遠村、社區(qū)通過VPN訪問系統(tǒng),保證了網絡的安全可靠

(3)主機安全策略

應用服務器采用虛擬化部署,數(shù)據庫服務器采用雙機熱備和HIA方式,并使用了Debian操作系統(tǒng),從硬件上保證了服務器的安全。制定了服務器的安全使用方法,不同的賬戶進入服務器有不同的使用權限。對服務器上的數(shù)據分級存放,使用了冗余備份。并定期對服務器的安全進行審計,根據審計結果進行處罰。通過這些措施保證了主機的安全

(4)應用安全策略

系統(tǒng)要求7×24小時不中斷服務,本系統(tǒng)架構采用虛擬化、集群化手段,保證了整個系統(tǒng)的安全可靠,系統(tǒng)中的一個部件損壞,不會影響到系統(tǒng)中其他部件的正常使用,因為它們是相互獨立的。在每個部件中都采用了集群的技術,如果集群中的一個服務器損壞,不會影響到其他集群服務器的正常使用,集群中所有服務器全部損壞的概率是很小的。如果真的全部損壞,我們還建立了應急系統(tǒng)并定期的組織應急演練。保證了全系統(tǒng)的安全可靠。應提供專用的登錄控制模塊對登錄用戶進行身份標識和鑒別;提供登錄失敗處理功能,可采取結束會話限制非法登錄次數(shù)和自動退出等措施;應啟用身份鑒別和登錄失敗處理功能,并根據安全策略配置相關參數(shù)。原創(chuàng)提示：本文首發(fā)在今日頭條平臺【北大磊哥】賬號下，關注我，每周分享良心干貨！

(5)數(shù)據安全策略

數(shù)據是企業(yè)的核心資源,因此保證數(shù)據的安全就尤為重要,在本系統(tǒng)首先對數(shù)據庫進行分域,不同的數(shù)據放到不同的域中,各個域相互獨立,一個域的損壞不會影響到其他域的安全。在數(shù)據庫備份方面采用全量備份和增量備份相結合的方法,定期備份數(shù)據文件和日志文件并且使用了企業(yè)級國產的安全備份恢復管理軟件,提高了備份的安全和效率。同時在水文局內部機房進行了全套數(shù)據每周備份，進一步保證數(shù)據安全。

4.安全審計策略

系統(tǒng)完成開發(fā)和部署后還需要定期進行安全審計，包括系統(tǒng)級審計、應用級審計和用戶級審計。記錄、審查主體對客體進行訪問和使用情況,保證安全規(guī)則被正確執(zhí)行,并幫助分析安全事故產生的原因。審計的主要作用包括：

①對潛在的攻擊者起到震懾或警告作用

②對于已經發(fā)生的系統(tǒng)破壞行為提供有效的追究證據

③為系統(tǒng)安全管理員提供有價值的系統(tǒng)使用日志,從而幫助

系統(tǒng)安全管理員及時發(fā)現(xiàn)系統(tǒng)入侵行為或潛在的系統(tǒng)漏洞

④為系統(tǒng)安全管理員提供系統(tǒng)運行的統(tǒng)計日志,使系統(tǒng)安全管理員能夠發(fā)現(xiàn)系統(tǒng)性能上的不足或需要改進與加強的地方

除了以上這些管理過程，我認為還要做好變更和配置管理。在項目的實施過程中，由于用戶需求、政策導向或新技術的出現(xiàn)都會導致變更不可避免，但我嚴格按照變更控制流程進行管理，并未導致項目范圍有較大變動。同時也必須做好配置管理，否則容易造成版本混亂，權責不清。我們團隊專門設置配置管理員，對項目進行定期不定期的配置狀態(tài)審核等工作，保證配置項版本的統(tǒng)一。

經過我們團隊不懈的努力，該項目于2021年1月通過水利部門的驗收，極大地提高了他們的工作效率和信息化辦公水平，同時也獲得了河流沿岸相關關系人的積極評價。本項目的成功得益于良好的整體管理，此外還包括重視安全管理。

總結這次管理實踐經驗，我認為做好安全管理,必須做到全員參與，調動相關關系人的積極性，增加他們的信息安全意識，前期做好培訓工作，定期進行檢查審計。當然在本項目進行中也存在一些問題和經驗教訓，由于水文局部分工作人員對信息安全管理認識不到位，在規(guī)章制度執(zhí)行和后期審計過程中出現(xiàn)忽視和抵觸現(xiàn)象，雖未產生不良影響但也存在重大的安全風險隱患，經過我們項目組多次主動的在工作和下班后溝通交流，終于取得的理解和支持。

信息安全管理工作是一個不斷提升的工作，需要不斷地完善和改進。在之后的工作和學習過程中，我將不斷地學習和應用信息系統(tǒng)安全管理知識，多于同行交流心得經驗，提高自己的業(yè)務能力和管理水平，在數(shù)據化浪潮中爭取為我國的信息化和工業(yè)化建設貢獻自己一份力量。

PS:歡迎留言討論，我會積極給予回復！

希望今天的分享能夠對你有所啟發(fā)，歡迎關注，評論互粉，聽說關注我并轉發(fā)的，能力和收入都嗖嗖漲呢！嗯，魯迅說的