淺談信息系統(tǒng)項(xiàng)目管理的安全管理

樊?huà)I奇

摘 要：隨著近年來(lái)各種類型的信息安全事件頻繁出現(xiàn)，信息系統(tǒng)的安全管理變得越來(lái)越重要。如何在項(xiàng)目建設(shè)時(shí)，就統(tǒng)籌考慮安全管理，成為備受關(guān)注的問(wèn)題。本文從信息系統(tǒng)的特點(diǎn)，信息系統(tǒng)項(xiàng)目管理的現(xiàn)狀入手，闡述了安全管理在信息系統(tǒng)項(xiàng)目管理中的重要性，給出了安全管理的建議。

關(guān)鍵詞：信息系統(tǒng);信息系統(tǒng)項(xiàng)目管理;安全管理;信息安全

信息系統(tǒng)是由計(jì)算機(jī)硬件、網(wǎng)絡(luò)和通信設(shè)備、計(jì)算機(jī)軟件、信息資源、信息用戶和規(guī)章制度組成的以信息流為目的的人機(jī)一體化系統(tǒng)。其主要任務(wù)是最大限度的利用現(xiàn)代計(jì)算機(jī)及網(wǎng)絡(luò)通訊技術(shù)加強(qiáng)企事業(yè)單位的信息管理。目前，信息系統(tǒng)已成為技術(shù)改造和提高管理水平的重要手段。因此，做好信息系統(tǒng)項(xiàng)目管理至關(guān)重要。

一、信息系統(tǒng)項(xiàng)目管理的現(xiàn)狀

伴隨信息技術(shù)的飛速發(fā)展，信息系統(tǒng)經(jīng)歷了從簡(jiǎn)單的數(shù)據(jù)處理信息系統(tǒng)，到孤立的業(yè)務(wù)管理信息系統(tǒng)，再到集成的智能信息系統(tǒng)的不斷發(fā)展。在此過(guò)程中，信息系統(tǒng)項(xiàng)目管理也在探索中前進(jìn)，逐步從粗放式的管理模式，發(fā)展為注重項(xiàng)目質(zhì)量、時(shí)間、進(jìn)度、范圍管理的協(xié)調(diào)，兼顧平衡項(xiàng)目的整體、人力資源、溝通、干系人、風(fēng)險(xiǎn)、采購(gòu)等其他管理間的矛盾的管理模式。

但隨著信息系統(tǒng)應(yīng)用的深入，信息安全事件頻繁發(fā)生。網(wǎng)絡(luò)攻擊、有害程序、信息泄露等報(bào)道層出不窮。這些都暴露出信息系統(tǒng)在建設(shè)時(shí)普遍缺少安全規(guī)劃，和對(duì)系統(tǒng)安全、網(wǎng)絡(luò)安全、數(shù)據(jù)安全等問(wèn)題的考慮，更偏重技術(shù)架構(gòu)，講求技術(shù)的先進(jìn)性、功能的全面、性能的高超等。

二、安全管理在信息系統(tǒng)項(xiàng)目管理中的重要性

信息在存儲(chǔ)、處理和交換過(guò)程中，都存在泄密或被截取、竊聽(tīng)、竄改和偽造的可能性。為保障信息系統(tǒng)的可靠、正常運(yùn)行，必須綜合應(yīng)用各種安全措施，即通過(guò)技術(shù)的、管理的、行政的手段，實(shí)現(xiàn)業(yè)務(wù)連續(xù)性，達(dá)到信息系統(tǒng)安全的目的?？梢?jiàn)，做好信息系統(tǒng)項(xiàng)目的安全管理已經(jīng)刻不容緩。

三、對(duì)信息系統(tǒng)項(xiàng)目安全管理的建議

信息系統(tǒng)項(xiàng)目的安全管理在明確其目標(biāo)的前提下，應(yīng)從人防和技防兩方面入手。人防是指通過(guò)加強(qiáng)人員管理，建立信息安全相關(guān)制度等方式，進(jìn)行信息系統(tǒng)項(xiàng)目的安全管理;技防是利用技術(shù)手段保障信息系統(tǒng)項(xiàng)目的安全。

（一）加強(qiáng)人員管理

信息系統(tǒng)項(xiàng)目涉及的人員包括：項(xiàng)目發(fā)起人，項(xiàng)目管理人員，技術(shù)人員，用戶等。項(xiàng)目管理歸根結(jié)底還是對(duì)人員的管理，許多安全事件都是由內(nèi)部人員引起的，因此提升人員的安全意識(shí)、職業(yè)道德和業(yè)務(wù)素質(zhì)至關(guān)重要，能夠起到事半功倍的效果。人員管理首先要加強(qiáng)人員審查。根據(jù)信息系統(tǒng)所規(guī)定的安全等級(jí)確定審查標(biāo)準(zhǔn)。所有人員的工作、活動(dòng)范圍應(yīng)被限制在完成其任務(wù)的最小范圍內(nèi)。對(duì)于涉密人員，必須對(duì)其是否值得信任進(jìn)行審查，并簽訂保密協(xié)議。同時(shí)，可以通過(guò)各種形式的信息安全法制教育、安全技術(shù)培訓(xùn)及宣傳，將信息安全意識(shí)融入到項(xiàng)目的全生命周期中，使之成為一種常態(tài)。

（二）建立信息安全管理制度

信息安全管理制度包括信息系統(tǒng)項(xiàng)目的應(yīng)用系統(tǒng)管理、網(wǎng)絡(luò)管理、運(yùn)維管理、應(yīng)急事件處置、機(jī)房管理、安全職責(zé)等方面的制度，涵蓋項(xiàng)目管理的方方面面。正所謂沒(méi)有規(guī)矩不成方圓，只有健全了制度，規(guī)范項(xiàng)目干系人的工作行為，使項(xiàng)目管理科學(xué)化、流程化，才能真正規(guī)范項(xiàng)目管理。

（三）建立網(wǎng)絡(luò)和應(yīng)用系統(tǒng)安全策略

網(wǎng)絡(luò)作為信息的主要收集、存儲(chǔ)、分配、傳輸、應(yīng)用的載體，其安全對(duì)整個(gè)信息的安全起著至關(guān)重要的甚至是決定性的作用?？梢岳肰LAN對(duì)網(wǎng)絡(luò)進(jìn)行劃分，控制廣播活動(dòng)，提高網(wǎng)絡(luò)的安全性。同時(shí)，安裝防火墻，配置訪問(wèn)控制策略，僅開(kāi)放需要使用的端口，開(kāi)啟日志訪問(wèn)，有效阻斷并記錄非法訪問(wèn)。防火墻是一種實(shí)用性很強(qiáng)的網(wǎng)絡(luò)安全防御技術(shù)，能夠阻擋對(duì)網(wǎng)絡(luò)的非法訪問(wèn)和不安全數(shù)據(jù)的傳遞，使得本地系統(tǒng)和網(wǎng)絡(luò)免于受到許多網(wǎng)絡(luò)安全威脅。在此基礎(chǔ)上，部署入侵檢測(cè)系統(tǒng)IDS，對(duì)網(wǎng)絡(luò)、系統(tǒng)的運(yùn)行狀況進(jìn)行監(jiān)視，盡可能發(fā)現(xiàn)各種攻擊企圖、攻擊行為或攻擊結(jié)果，并發(fā)出報(bào)警，以保證網(wǎng)絡(luò)系統(tǒng)資源的機(jī)密性、完整性和可用性。

對(duì)于應(yīng)用系統(tǒng)，在設(shè)計(jì)、開(kāi)發(fā)階段就要有安全意識(shí)，時(shí)時(shí)刻刻將安全放在首位。對(duì)于用戶輸入要進(jìn)行判斷過(guò)濾，防止越權(quán)操作。系統(tǒng)開(kāi)發(fā)完成后，除了功能測(cè)試外，還需進(jìn)行安全測(cè)試，可以利用漏洞掃描系統(tǒng)對(duì)操作系統(tǒng)、中間件、數(shù)據(jù)庫(kù)、應(yīng)用系統(tǒng)進(jìn)行全面掃描，仔細(xì)分析掃描結(jié)果，修補(bǔ)漏洞。應(yīng)用系統(tǒng)正式進(jìn)入運(yùn)行環(huán)境，可以按照“三員”管理，即分別設(shè)置系統(tǒng)管理員、安全管理員、安全審計(jì)員，明確分工、職責(zé)和權(quán)限，各自獨(dú)立登錄，相互制約和控制。

（四）建立操作系統(tǒng)和數(shù)據(jù)安全策略

操作系統(tǒng)是計(jì)算機(jī)系統(tǒng)最基礎(chǔ)的軟件，操作系統(tǒng)安全是計(jì)算機(jī)系統(tǒng)軟件安全的必要條件。若缺乏這個(gè)安全的根基，構(gòu)筑在其上的應(yīng)用系統(tǒng)的安全性就得不到保障。操作系統(tǒng)安全性的主要目標(biāo)是標(biāo)識(shí)系統(tǒng)中的用戶，對(duì)用戶身份進(jìn)行認(rèn)證，對(duì)用戶的操作進(jìn)行控制，防止惡意用戶對(duì)計(jì)算機(jī)資源進(jìn)行竊取、篡改、破壞等非法存取，防止正當(dāng)用戶操作不當(dāng)而危害系統(tǒng)安全，從而保證系統(tǒng)運(yùn)行的安全性?？梢圆扇】诹?、數(shù)字證書(shū)等身份認(rèn)證方式，實(shí)施細(xì)粒度的用戶訪問(wèn)控制、細(xì)化訪問(wèn)權(quán)限，安裝防病毒軟件應(yīng)對(duì)攻擊，以及加強(qiáng)審計(jì)等保護(hù)措施。

數(shù)據(jù)作為應(yīng)用系統(tǒng)的核心資源，安全性尤為重要。數(shù)據(jù)庫(kù)系統(tǒng)是存儲(chǔ)、管理、使用和維護(hù)數(shù)據(jù)的平臺(tái)。可以采取的數(shù)據(jù)保護(hù)策略有：設(shè)置當(dāng)前數(shù)據(jù)庫(kù)和歷史數(shù)據(jù)庫(kù)，當(dāng)前數(shù)據(jù)庫(kù)只存放近期的數(shù)據(jù)，其余數(shù)據(jù)轉(zhuǎn)移到歷史數(shù)據(jù)庫(kù)，并把歷史數(shù)據(jù)庫(kù)中較早前的數(shù)據(jù)轉(zhuǎn)移到磁帶庫(kù)進(jìn)行存放;在數(shù)據(jù)庫(kù)備份方面，可采用全量備份和增量備份相結(jié)合的方法，定期備份數(shù)據(jù)文件和日志文件;對(duì)于敏感數(shù)據(jù)可加密后保存。

四、結(jié)語(yǔ)

綜上所述，信息系統(tǒng)項(xiàng)目管理的安全管理需建立人防和技防相結(jié)合的安全管理方案，不能顧此失彼。隨著信息技術(shù)應(yīng)用的不斷深入，信息系統(tǒng)項(xiàng)目的安全管理將面臨更加嚴(yán)峻的考驗(yàn)，尤其是大數(shù)據(jù)時(shí)代已經(jīng)來(lái)臨，加強(qiáng)信息系統(tǒng)項(xiàng)目的安全管理迫在眉睫，信息系統(tǒng)項(xiàng)目相關(guān)人員必須提高安全意識(shí)，不斷完善信息安全管理制度，探索技術(shù)防護(hù)手段，使信息系統(tǒng)項(xiàng)目的安全管理過(guò)程更加完備，措施和工具更加有效。

參考文獻(xiàn)：

[1]何光旭.醫(yī)院信息系統(tǒng)項(xiàng)目管理的現(xiàn)狀與突破[J].信息安全與技術(shù)，2014（7）：94-96.

[2]李貴鵬，李思藝，徐冰清.智慧城市信息安全運(yùn)營(yíng)平臺(tái)研究[J].信息安全研究，2019（5）：420-429.

[3]晏嵩，胡俊峰.基于信息安全的計(jì)算機(jī)網(wǎng)絡(luò)應(yīng)用[J].科技創(chuàng)新與應(yīng)用，2019（14）：179-180.