浅谈信息系统项目管理的安全管理
 
浅谈信息系统项目管理的安全管理
来源:整理自https://www.xzbu.com/1/view-14872820.htm | 作者:pmtc2fac8 | 发布时间: 2019-12-10 | 176 次浏览 | 分享到:
随着近年来各种类型的信息安全事件频繁出现,信息系统的安全管理变得越来越重要。如何在项目建设时,就统筹考虑安全管理,成为备受关注的问题。本文从信息系统的特点,信息系统项目管理的现状入手,阐述了安全管理在信息系统项目管理中的重要性,给出了安全管理的建议。

摘要:随着近年来各种类型的信息安全事件频繁出现,信息系统的安全管理变得越来越重要。如何在项目建设时,就统筹考虑安全管理,成为备受关注的问题。本文从信息系统的特点,信息系统项目管理的现状入手,阐述了安全管理在信息系统项目管理中的重要性,给出了安全管理的建议。 
  关键词:信息系统;信息系统项目管理;安全管理;信息安全 

引言
   信息系统是由计算机硬件、网络和通信设备、计算机软件、信息资源、信息用户和规章制度组成的以信息流为目的的人机一体化系统。其主要任务是最大限度的利用现代计算机及网络通讯技术加强企事业单位的信息管理。目前,信息系统已成为技术改造和提高管理水平的重要手段。因此,做好信息系统项目管理至关重要。 
  一、信息系统项目管理的现状 
  伴随信息技术的飞速发展,信息系统经历了从简单的数据处理信息系统,到孤立的业务管理信息系统,再到集成的智能信息系统的不断发展。在此过程中,信息系统项目管理也在探索中前进,逐步从粗放式的管理模式,发展为注重项目质量、时间、进度、范围管理的协调,兼顾平衡项目的整体、人力资源、沟通、干系人、风险、采购等其他管理间的矛盾的管理模式。 
  但随着信息系统应用的深入,信息安全事件频繁发生。网络攻击、有害程序、信息泄露等报道层出不穷。这些都暴露出信息系统在建设时普遍缺少安全规划,和对系统安全、网络安全、数据安全等问题的考虑,更偏重技术架构,讲求技术的先进性、功能的全面、性能的高超等。 
  二、安全管理在信息系统项目管理中的重要性 
  信息在存储、处理和交换过程中,都存在泄密或被截取、窃听、窜改和伪造的可能性。为保障信息系统的可靠、正常运行,必须综合应用各种安全措施,即通过技术的、管理的、行政的手段,实现业务连续性,达到信息系统安全的目的。可见,做好信息系统项目的安全管理已经刻不容缓。 
  三、对信息系统项目安全管理的建议 
  信息系统项目的安全管理在明确其目标的前提下,应从人防和技防两方面入手。人防是指通过加强人员管理,建立信息安全相关制度等方式,进行信息系统项目的安全管理;技防是利用技术手段保障信息系统项目的安全。 
  (一)加强人员管理 
  信息系统项目涉及的人员包括:项目发起人,项目管理人员,技术人员,用户等。项目管理归根结底还是对人员的管理,许多安全事件都是由内部人员引起的,因此提升人员的安全意识、职业道德和业务素质至关重要,能够起到事半功倍的效果。人员管理首先要加强人员审查。根据信息系统所规定的安全等级确定审查标准。所有人员的工作、活动范围应被限制在完成其任务的最小范围内。对于涉密人员,必须对其是否值得信任进行审查,并签订保密协议。同时,可以通过各种形式的信息安全法制教育、安全技术培训及宣传,将信息安全意识融入到项目的全生命周期中,使之成为一种常态。 
  (二)建立信息安全管理制度 
  信息安全管理制度包括信息系统项目的应用系统管理、网络管理、运维管理、应急事件处置、机房管理、安全职责等方面的制度,涵盖项目管理的方方面面。正所谓没有规矩不成方圆,只有健全了制度,规范项目干系人的工作行为,使项目管理科学化、流程化,才能真正规范项目管理。 
  (三)建立网络和应用系统安全策略 
  网络作为信息的主要收集、存储、分配、传输、应用的载体,其安全对整个信息的安全起着至关重要的甚至是决定性的作用。可以利用VLAN对网络进行划分,控制广播活动,提高网络的安全性。同时,安装防火墙,配置访问控制策略,仅开放需要使用的端口,开启日志访问,有效阻断并记录非法访问。防火墙是一种实用性很强的网络安全防御技术,能够阻挡对网络的非法访问和不安全数据的传递,使得本地系统和网络免于受到许多网络安全威胁。在此基础上,部署入侵检测系统IDS,对网络、系统的运行状况进行监视,尽可能发现各种攻击企图、攻击行为或攻击结果,并发出报警,以保证网络系统资源的机密性、完整性和可用性。 
  对于应用系统,在设计、开发阶段就要有安全意识,时时刻刻将安全放在首位。对于用户输入要进行判断过滤,防止越权操作。系统开发完成后,除了功能测试外,还需进行安全测试,可以利用漏洞扫描系统对操作系统、中间件、数据库、应用系统进行全面扫描,仔细分析扫描结果,修补漏洞。应用系统正式进入运行环境,可以按照“三员”管理,即分别设置系统管理员、安全管理员、安全审计员,明确分工、职责和权限,各自独立登录,相互制约和控制。 
  (四)建立操作系统和数据安全策略 
  操作系统是计算机系统最基础的软件,操作系统安全是计算机系统软件安全的必要条件。若缺乏这个安全的根基,构筑在其上的应用系统的安全性就得不到保障。操作系统安全性的主要目标是标识系统中的用户,对用户身份进行认证,对用户的操作进行控制,防止恶意用户对计算机资源进行窃取、篡改、破坏等非法存取,防止正当用户操作不当而危害系统安全,从而保证系统运行的安全性。可以采取口令、数字证书等身份认证方式,实施细粒度的用户访问控制、细化访问权限,安装防病毒软件应对攻击,以及加强审计等保护措施。 
  数据作为应用系统的核心资源,安全性尤为重要。数据库系统是存储、管理、使用和维护数据的平台。可以采取的数据保护策略有:设置当前数据库和历史数据库,当前数据库只存放近期的数据,其余数据转移到历史数据库,并把历史数据库中较早前的数据转移到磁带库进行存放;在数据库备份方面,可采用全量备份和增量备份相结合的方法,定期备份数据文件和日志文件;对于敏感数据可加密后保存。 
  四、结语 
  综上所述,信息系统项目管理的安全管理需建立人防和技防相结合的安全管理方案,不能顾此失彼。随着信息技术应用的不断深入,信息系统项目的安全管理将面临更加严峻的考验,尤其是大数据时代已经来临,加强信息系统项目的安全管理迫在眉睫,信息系统项目相关人员必须提高安全意识,不断完善信息安全管理制度,探索技术防护手段,使信息系统项目的安全管理过程更加完备,措施和工具更加有效。 

 


  参考文献: 
  [1]何光旭.医院信息系统项目管理的现状与突破[J].信息安全与技术,20147):94-96. 
  [2]李贵鹏,李思艺,徐冰清.智慧城市信息安全运营平台研究[J].信息安全研究,20195):420-429. 
  [3]晏嵩,胡俊峰.基于信息安全的计算机网络应用[J].科技创新与应用,201914):179-180.