網(wǎng)絡(luò)與信息安全的科研項目管理分析
——以QC互金平臺項目為例

(上海高重信息科技有限公司 上海 200333)

背景：

半個多世紀以來，全球科技文明發(fā)展非常迅速，并且隨著信息化技術(shù)的快速迭代，極大的豐富了人類科技社會的進步，加速經(jīng)濟社會的發(fā)展。當(dāng)今全球的信息化時代已經(jīng)成為科技發(fā)展的主旋律，作為第一生產(chǎn)力的科技實力已經(jīng)越來越受到國內(nèi)外各科研機構(gòu)的重視，以網(wǎng)絡(luò)與信息安全為主要科研課題的項目研究已經(jīng)變?yōu)榱诵畔⑾嚓P(guān)工作的要點和難點。近年來，國內(nèi)外由于相關(guān)信息安全以及網(wǎng)絡(luò)安全疏于防范，造成大量公司與院校的網(wǎng)絡(luò)癱瘓，重要信息的丟失與泄露，導(dǎo)致對公司或個人造成了嚴重的經(jīng)濟損失。據(jù)統(tǒng)計，2017年美國受欺詐行為影響的人數(shù)上升了8%，達到1670萬人；原因是重要的社保和信用卡數(shù)據(jù)遭到泄漏，黑客成功入侵130萬受害者，并從其帳戶當(dāng)中竊取到168億美元；2016年5月，江蘇警方破獲一例盜取和倒賣公民個人信息案件，涉案人員遍布全國15個省市，通過各種手段非法盜竊1.1億條公民個人信息、新鮮數(shù)據(jù)6000萬多條進行售賣；而這些案例僅是諸多信息安全事件中的冰山一角。近二十年來，我國的信息科技水平取得很大飛躍，國內(nèi)的網(wǎng)絡(luò)以及信息安全相關(guān)的科研項目無論是數(shù)量還是質(zhì)量上都大幅增長，該領(lǐng)域科研項目管理與分析的重要性進一步彰顯。

項目管理，作為管理形式的一種，即運用先進的管理理論，通過實施有效的措施對項目進行調(diào)整及優(yōu)化，使項目在規(guī)定的進度、成本及質(zhì)量要求下，創(chuàng)造出超過現(xiàn)有資源價值的一種方法。在網(wǎng)絡(luò)與信息安全科研項目領(lǐng)域，我們同樣需要一套理念先進、切實可行的項目管理方法。本文將通過對完成等級保護測評相關(guān)的互聯(lián)網(wǎng)金融平臺項目進行分析研究，探討如何可以針對性的對網(wǎng)絡(luò)與信息安全相關(guān)的科研項目進行管理與分析，以案例項目存在的問題作為基礎(chǔ)，分析運用哪些技術(shù)手段與控制方法，目的是更貼近現(xiàn)狀的改良與提高網(wǎng)絡(luò)與信息安全的科研項目的管理。

一、互金平臺科研項目管理情況

隨著國內(nèi)互聯(lián)網(wǎng)技術(shù)的飛速發(fā)展，在技術(shù)驅(qū)動及服務(wù)需求的背景下，國內(nèi)金融領(lǐng)域的業(yè)務(wù)形態(tài)已發(fā)生了深刻改變，產(chǎn)生了基于互聯(lián)網(wǎng)技術(shù)的金融平臺，即常說的“互金平臺”?；ソ鹌脚_是傳統(tǒng)金融行業(yè)與互聯(lián)網(wǎng)理念融合的產(chǎn)物，它具有執(zhí)行效率高、覆蓋廣泛、發(fā)展迅速、投入成本低等優(yōu)勢，但在支付與投資更加便捷的同時，也存在著很高的風(fēng)險，如易發(fā)生惡意騙貸、非法挪用資金、卷款跑路等資金風(fēng)險；另外，網(wǎng)絡(luò)安全風(fēng)險也同樣存在，一旦信息系統(tǒng)遭到惡意攻擊，極易造成業(yè)務(wù)中斷、數(shù)據(jù)泄露等，危及資金及個人敏感信息安全?；ヂ?lián)網(wǎng)經(jīng)濟的本質(zhì)，通過互聯(lián)網(wǎng)技術(shù)放大金融行業(yè)的交易數(shù)額，使得交易和支付都更加便捷，更加充滿不確定性。

我國改革開放以來，以銀行券商為代表的傳統(tǒng)金融業(yè)作為借貸主渠道，是經(jīng)濟社會主要的借貸來源，支持企業(yè)發(fā)展，也承擔(dān)企業(yè)發(fā)展風(fēng)險，具有合法合規(guī)的資金管理責(zé)任，并為國家反洗錢反經(jīng)濟犯罪提供了重要的情報支撐。毫無疑問，傳統(tǒng)的以銀行券商為代表的金融業(yè)，在現(xiàn)代整體經(jīng)濟發(fā)展中控制著主要的經(jīng)濟資源，是經(jīng)濟的重要支柱行業(yè)。金融業(yè)杠桿作用，使得支配的資金數(shù)額及其宏大，廣泛影響眾多產(chǎn)業(yè)與上下游產(chǎn)業(yè)，受金融業(yè)系統(tǒng)性風(fēng)險波及的企業(yè)之多，結(jié)合互聯(lián)網(wǎng)的金融行業(yè)加速資金控制規(guī)模的擴張，當(dāng)互聯(lián)網(wǎng)金融業(yè)出現(xiàn)重大問題，極有可能產(chǎn)生類似排山倒海般的金融海嘯重大影響，不可避免地牽涉數(shù)量眾多的公民與家庭存款、投資。如杭州的MZ金融，據(jù)其官網(wǎng)資料顯示，該平臺成立9年來，累計投資90多億，注冊用戶超過83萬。在業(yè)內(nèi)，該平臺算是一家“歷史悠久”的互金平臺了，但就在業(yè)務(wù)量不斷上升，整體運營良好的狀態(tài)下，突然出現(xiàn)卷款跑路事件，導(dǎo)致公司陷入突然死亡狀態(tài)，近百萬投資者的資金無法兌現(xiàn)，遭受了嚴重的損失。從互金行業(yè)的曝光平臺可知，類似事件屢見不鮮，且數(shù)量有進一步增加之勢。金融業(yè)不可否認在享受互聯(lián)網(wǎng)便捷的同時，也面臨著來自互聯(lián)網(wǎng)的巨大威脅，采用互金平臺的科研項目管理分析與控制就顯得非常有現(xiàn)實意義。

結(jié)合現(xiàn)有互金平臺等級保護的科研項目管理案例看，大量的公司項目或多或少存在相關(guān)技術(shù)與管理的控制缺失，從而導(dǎo)致部分科研工作的后續(xù)進展緩慢甚至失敗并產(chǎn)生重大經(jīng)濟損害。根據(jù)行業(yè)第三方研究機構(gòu)最新數(shù)據(jù)顯示，截至2017年12月底，正常運營的互金平臺有1931家，其中通過信息系統(tǒng)安全等保三級備案認證的平臺有143家，僅占在運營平臺數(shù)量的7.4%。探索加強網(wǎng)絡(luò)與信息安全的科研項目的管理控制與標(biāo)準(zhǔn)化路徑已迫在眉睫。

從當(dāng)前我公司處理的數(shù)十個等級保護相關(guān)項目的管理研究分析，包括計算機技術(shù)手段的評估、關(guān)鍵人員的現(xiàn)場訪談、管理制度有效性的論證等，探查各種信息系統(tǒng)技術(shù)層面存在的隱患，以及管理制度層面存在的缺陷，為各階段制訂整改方案，加強過程控制提供了充分依據(jù)。

2017年底針對QC金融公司，通過等級保護測評后的研究，過程涉及該項目管理控制水平提升的量化分析，互金平臺企業(yè)內(nèi)控評估，以及降低業(yè)務(wù)風(fēng)險水平的有效性評估。具體情況將在以下部分開展論述，以期對我國互金平臺的科研項目管理水平的提升，提供借鑒與經(jīng)驗。

二、互金平臺科研項目的隱患與難點解析

金融與互聯(lián)網(wǎng)的結(jié)合，存在著風(fēng)險放大的可能。網(wǎng)絡(luò)與信息安全的科研項目在具體的項目管理中，結(jié)合近年以來的計算機技術(shù)和先進的新算法，對于防火墻、交換機、堡壘機等加以核實確認，同時論證防病毒、防惡意代碼、防數(shù)據(jù)篡改的技術(shù)足夠抵御最新的網(wǎng)絡(luò)威脅，將新技術(shù)手段作為基石完成創(chuàng)新變革，不斷提升國內(nèi)互金平臺科研項目管理水平。已收集的數(shù)據(jù)表明，有很多管理問題存在于互金平臺網(wǎng)絡(luò)與信息安全領(lǐng)域的科研項目中：

(一)互金平臺先期方案設(shè)計與規(guī)劃普遍不完善

QC金融成立于2015年，公司專注于金融領(lǐng)域相關(guān)業(yè)務(wù)，包括投、融資咨詢，融法律咨詢，互聯(lián)網(wǎng)金融等服務(wù)，管理團隊在銀行、融資租賃、互聯(lián)網(wǎng)、法律等領(lǐng)域具有多年的經(jīng)驗及儲備。項目組成立后，公司任命我為項目經(jīng)理，全面負責(zé)項目管理工作，同時參入相關(guān)領(lǐng)域的調(diào)研及評估工作。經(jīng)調(diào)研發(fā)現(xiàn)，QC金融在信息化建設(shè)方面投入了一定的資源，自行搭建了網(wǎng)絡(luò)系統(tǒng)，開發(fā)了核心業(yè)務(wù)系統(tǒng)，配備了基本的網(wǎng)絡(luò)安全防護措施，以支撐公司核心業(yè)務(wù)的發(fā)展；安全管理方面，也建立了初步的安全管理制度等文件。

在測評項目實施過程中，我根據(jù)QC金融現(xiàn)狀制定了合理的項目管理計劃，并按照項目管理理論及網(wǎng)絡(luò)安全最佳實踐對項目實施管理，同時參加了安全管理部分的訪談、評估工作。在評估過程中，我著重對公司安全方針和策略、安全方案設(shè)計與規(guī)劃等內(nèi)容進行評估，發(fā)現(xiàn)了諸多待完善之處。如安全策略過于簡單，系統(tǒng)建設(shè)方案需求不明確，系統(tǒng)功能規(guī)劃不完善等問題，導(dǎo)致公司現(xiàn)有的安全防護手段與彌補風(fēng)險所需的控制措施之間還存在很大的差距，遠遠超出了公司可承受風(fēng)險的程度。結(jié)合QC公司實際網(wǎng)絡(luò)安全情況調(diào)研，比對類似平臺的信息安全情況，對存在問題綜合分析，當(dāng)前QC公司安全現(xiàn)狀與公司核心業(yè)務(wù)之間有著密切的關(guān)系，這也是行業(yè)內(nèi)普遍存在的問題之一。

互金平臺企業(yè)往往存在這種現(xiàn)象，先開展業(yè)務(wù)，一切以業(yè)務(wù)為優(yōu)先，后強化項目管理控制的通病，也就是說先期的方案設(shè)計與規(guī)劃普遍不完善甚至有重大的缺失。很多互金平臺往往等到規(guī)劃中漏洞隱患演變成現(xiàn)實的大爆發(fā)，給運營產(chǎn)生重大經(jīng)濟損失，才意識到項目管理控制的缺失，方案設(shè)計與規(guī)劃不完善、不適用、甚至沒有規(guī)劃與整體設(shè)計。其結(jié)果既損害企業(yè)自身利益，也給信任企業(yè)的用戶留下企業(yè)信用或者能力存在缺陷的不良感受。

QC金融公司在等級保護測評前沒有完善先期的方案設(shè)計與整體規(guī)劃，導(dǎo)致以往信息系統(tǒng)與制度管理上小問題不斷，大問題偶爾發(fā)生，如在整體規(guī)劃中未明確授權(quán)管理需求，導(dǎo)致開發(fā)后系統(tǒng)授權(quán)管理功能薄弱，無法合理分配人員權(quán)限，而管理制度上也未定義授權(quán)管理流程，在執(zhí)行過程中無章可循；類似問題還存在于變更控制、檢查審批、數(shù)據(jù)保護等方面。類似問題造成企業(yè)資源配置的非效率化，同時對于后續(xù)的技術(shù)與管理層面改進無所適從，沒有制定目標(biāo)期限、沒有待改進的目標(biāo)成果、沒有計劃實施的哪些方式、沒有準(zhǔn)備好過程如何控制、沒有預(yù)先計劃提升管理控制的財力人力技術(shù)的資源準(zhǔn)備、沒有充分不同部門之間的協(xié)調(diào)。這一系列的問題解決推進相對緩慢，需要企業(yè)高層的參與或者授權(quán)。

在日常的開發(fā)、測試、運維等工作中，忽視整體規(guī)劃的情況時有發(fā)生，如在每周一項目例會中，相關(guān)人員對匯報內(nèi)容沒有計劃性，經(jīng)常只匯報若干節(jié)點，而未從項目的整個流程考慮，導(dǎo)致匯報效果未達預(yù)期；在系統(tǒng)測試過程中，只注重單點測試，忽略了整體測試，無法保障測試的質(zhì)量；在運維工作中，僅僅將技術(shù)層的物理設(shè)備，軟件開發(fā)測試運維當(dāng)做日常管理的近乎全部重要工作。類似的片面管理視角直接導(dǎo)致在實際的互金平臺科研項目運營中喪失了非常關(guān)鍵的并且是完全應(yīng)當(dāng)注意的完整性。以上情況普遍存在于互金平臺科研項目中，沒有好的整體項目規(guī)劃，大多數(shù)情況下就沒有完善的管理控制過程，間接導(dǎo)致了大量互金平臺科研項目或大或小的各種突發(fā)狀況，沒有規(guī)劃，往往還會間接導(dǎo)致后續(xù)的管理混亂，以及無效的控制。

(二)互金平臺的管理模式過于依賴技術(shù)

互金平臺離不開現(xiàn)代計算機項目管理技術(shù)的運用，大量現(xiàn)代化網(wǎng)絡(luò)安全產(chǎn)品與設(shè)備的運用給互金平臺科研項目的管理帶來許多方便與支撐。面對近年來網(wǎng)絡(luò)上頻發(fā)的各類黑客與惡意代碼攻擊事件，各種新技術(shù)、防病毒軟件、防DDOS攻擊、防勒索、防劫持、數(shù)據(jù)防泄漏、網(wǎng)頁防篡改等安全產(chǎn)品與針對性的安全服務(wù)一定程度上加強了互金平臺科研項目的管理控制。但是，從項目管理維度對我參入的測評內(nèi)容進行分析，結(jié)合QC金融公司的案例以及互金平臺通常的管理方式來探討，現(xiàn)狀還是有重大缺陷的：存在過于依賴安全設(shè)備和技術(shù)。比如，我對“人員安全管理”控制域測評時，發(fā)現(xiàn)在人員考勤方面，公司明確了考勤制度，安裝了打卡機，要求所有員工上下班時必須打卡，以為這樣就可以把考勤管理好。然而，在實際執(zhí)行過程中，存在部分員工代打卡情況，也許更換更高級的指紋或虹膜考勤機，能很大成都上降低代打卡的發(fā)生，但出現(xiàn)這一現(xiàn)象的本質(zhì)，是公司管理層相對忽視了人員的作用，沒有積極調(diào)動員工工作主觀能動性，沒有充分釋放員工積極工作帶來的管理紅利與增值。各級員工不清晰企業(yè)與個人發(fā)展的關(guān)聯(lián)性、一致性，不明確自身價值，對于上級尚未直接布置的任務(wù)不能站在組織的視角積極主動思考。這些將產(chǎn)生互金平臺管控缺乏內(nèi)在長期提升與改善的動因。此類互金平臺科研項目過于依賴技術(shù)與安全產(chǎn)品，不從根本上調(diào)動員工工作積極性，導(dǎo)致非常多的網(wǎng)絡(luò)與信息安全的科研項目管理出現(xiàn)不同程度的失控，即使取得階段性成果，但依然潛伏下深遠的不利因素。

(三)互金平臺科研項目管理理念提升效率慢

2000年以后，互聯(lián)網(wǎng)技術(shù)科研成果日新月異，不斷取得突破。2007年，國內(nèi)第一家互聯(lián)網(wǎng)理財平臺產(chǎn)生，但接下來互金行業(yè)未得到迅速發(fā)展，直到2013年，行業(yè)才走出了靜默期，在隨后的三年中進入了飛速發(fā)展期。對于網(wǎng)絡(luò)安全科研項目的管理控制來說，本身就需要不斷修正與提升，尋找理念更新的動因相當(dāng)重要，需要豐富的理論來指導(dǎo)實踐。在QC金融公司，我與項目相關(guān)的高中層管理人員進行訪談，了解到部分管理人員的管理理念還沿用了傳統(tǒng)的項目管理方法，與公司核心系統(tǒng)的業(yè)務(wù)形態(tài)存在較多不匹配性?，F(xiàn)階段國內(nèi)針對網(wǎng)絡(luò)與信息安全科研項目的管理控制，沒有及時發(fā)展出與互聯(lián)網(wǎng)科研相適應(yīng)的新管理理論。理論的提升不應(yīng)滯后于互聯(lián)網(wǎng)技術(shù)的發(fā)展，兩者之間的關(guān)系是相互重視，并相互促進。

三、互金平臺科研項目內(nèi)部控制的完善

科研項目的管理需要完整的程序保障，指導(dǎo)或約束員工日常工作，并融于其中成為員工的自覺行動。QC金融公司已建立初步的內(nèi)控程序，但仍存在諸多需完善的地方。例如，公司安全組織架構(gòu)需明確核心人員職責(zé)，關(guān)鍵角色由專人擔(dān)任，并制定周密的監(jiān)督措施；持續(xù)建立或完善公司有關(guān)授權(quán)管理、變更控制、關(guān)鍵事項評審及批準(zhǔn)等流程，加強公司項目中的質(zhì)量管理，建立并完善內(nèi)審機制，適時引入外審，把質(zhì)量管理的理念貫穿于公司項目整體實施中。

根據(jù)QC金融公司現(xiàn)狀，需從以下三方面完善項目內(nèi)控管理：

首先，確保公司分層治理結(jié)構(gòu)運行有效。無論對于創(chuàng)業(yè)期的小團隊還是上市公司的董事會，都應(yīng)當(dāng)重視內(nèi)部控制，這將給企業(yè)帶來發(fā)展紅利，并有效規(guī)避企業(yè)經(jīng)營風(fēng)險。從頂層設(shè)計入手，強化內(nèi)部控制，最好由董事會、監(jiān)事會主導(dǎo)實施，而不是授權(quán)給技術(shù)或者財務(wù)等職能相對單一的部門負責(zé)組織實施。

其次，有效的內(nèi)控體系同時包含了技術(shù)與管理層面的控制，既需要可靠的設(shè)備與技術(shù)、硬性的條款、操作流程、授權(quán)審批流程、內(nèi)部全面檢查的審計機制，又需要結(jié)合柔性的對人員管理、激勵與懲罰，加強企業(yè)文化建設(shè)，凝聚員工工作動力。大公司管理層與董事會之間存在可能的沖突，以股東價值最大化作為長期目標(biāo)是得到學(xué)術(shù)界廣泛認可的，同時兼顧不同利益相關(guān)方的權(quán)益，比如客戶、員工、供應(yīng)商、銀行、監(jiān)管部門等等。應(yīng)當(dāng)避免管理層和董事會之間道德背離與價值背離的情況發(fā)生。想要保護互金平臺股東權(quán)益的穩(wěn)定與增長，而且確保股東大會委托管理層合理經(jīng)營企業(yè)的責(zé)任不出現(xiàn)背離，就離不開高水平的科研項目內(nèi)控體系。再次，公司治理結(jié)構(gòu)有效性與內(nèi)部控制是一種高度正向關(guān)聯(lián)的關(guān)系。有效的內(nèi)控體系消耗較小的資源，提升高效的管理水平，收獲優(yōu)良的增長業(yè)績，可以從不同階段、每單位資源投入的有效產(chǎn)出進行評估。

最后，國內(nèi)互聯(lián)網(wǎng)金融領(lǐng)域的高精尖技術(shù)與設(shè)備相對發(fā)達國家許多方面還未取得相對優(yōu)勢，大量的研究處于概念階段，需要持續(xù)研發(fā)更新更加適用于互聯(lián)網(wǎng)金融領(lǐng)域的網(wǎng)絡(luò)服務(wù)器、交換機、防火墻等核心設(shè)備。同時加強算法、互聯(lián)網(wǎng)金融領(lǐng)域人工智能的軟件層面的研發(fā)，從技術(shù)角度提高管理效率和內(nèi)控水平，規(guī)避各類業(yè)務(wù)與網(wǎng)絡(luò)風(fēng)險。

四、互金平臺科研項目管理結(jié)論

通過上述對QC金融公司項目管理分析得知，出現(xiàn)的問題主要表現(xiàn)在缺少整體規(guī)劃、過分依賴設(shè)備和技術(shù)、管理理念提升緩慢及內(nèi)部控制措施不善等方面，這就要求我們有針對性的糾正問題，完善現(xiàn)有控制措施，并做到持續(xù)改善。QC金融核心系統(tǒng)經(jīng)過等級保護測評后，公司內(nèi)控得到有效提升，在大量依靠制度的標(biāo)準(zhǔn)化基礎(chǔ)上，還需要依靠企業(yè)文化、企業(yè)經(jīng)營理念、以及追求股東價值最大化的管理目標(biāo)與員工個人幸福與滿意度之間兩者的平衡，依靠硬性的制度，同時還需要良好的柔性管理，才能夠較好滴解決項目實際需要解決的問題。

現(xiàn)階段，我國互聯(lián)網(wǎng)金融發(fā)展勢頭迅猛，各類問題、隱患也很突出，我們需要進一步重視互金平臺科研項目的網(wǎng)絡(luò)與信息安全研究，找出存在的隱患和風(fēng)險進行精確的點對點優(yōu)化，持續(xù)加強項目的內(nèi)部控制有效性；另外，員工的主觀能動性、優(yōu)勢技術(shù)的研發(fā)與應(yīng)用都需要在實際項目中加強，使我們可以更優(yōu)質(zhì)地開展互金平臺科研項目的網(wǎng)絡(luò)與信息安全研究，讓項目管理更上一個臺階。