我是北大磊哥，關(guān)注我，每周分享干貨！請(qǐng)務(wù)必看完文章，最后出來的才是壓軸的。

重要提示：高分通過軟考高項(xiàng)論文系列文章是我備考階段準(zhǔn)備的，參考了當(dāng)時(shí)網(wǎng)上尋找的還有培訓(xùn)班老師提供的范文，結(jié)合自己的項(xiàng)目情況整合而成，字?jǐn)?shù)都遠(yuǎn)超要求，大家不必?fù)?dān)心記不住，只要記住文章骨架脈絡(luò)，用自己的語言填補(bǔ)就行。

考完之后又進(jìn)行了梳理，加深對(duì)項(xiàng)目管理的理解，我覺得考完后反而能更加深入的理解其中的一些方法和工具，有時(shí)間去細(xì)細(xì)琢磨提升自己，對(duì)自己的工作也有所幫助，也希望對(duì)大家備考高項(xiàng)有所幫助。

本人參與兩次“護(hù)網(wǎng)行動(dòng)”網(wǎng)絡(luò)攻防演習(xí)，深感信息安全的嚴(yán)峻性和重要性以及自己的不足，這方面還需要不斷學(xué)習(xí)。

前言背景：

進(jìn)入21世紀(jì)以來，信息網(wǎng)絡(luò)安全領(lǐng)域的工作的重要性越來越凸顯，信息技術(shù)的應(yīng)用已經(jīng)深入到國家社會(huì)生產(chǎn)生活的各個(gè)方面，稍有疏忽就可能造成極其嚴(yán)重的損失，當(dāng)前較為常見的信息安全問題主要表現(xiàn)為:計(jì)算機(jī)病毒泛濫、惡意軟件的入侵黑客攻擊、利用計(jì)算機(jī)犯罪、網(wǎng)絡(luò)有害信息泛濫、個(gè)人隱私泄露。釣魚網(wǎng)站、電信詐騸社交軟件詐騙等犯罪活動(dòng),已經(jīng)成為直接騙取民眾錢財(cái)?shù)某Ｒ娦问?網(wǎng)上有害信息泛濫個(gè)人隱私泄露嚴(yán)重,嚴(yán)重危害網(wǎng)民的身心健康,危害社會(huì)的安定團(tuán)結(jié)。從最初的木馬、蠕蟲病毒、宏病毒、流氓插件、熊貓燒香、Stuxnet 震網(wǎng)（首個(gè)針對(duì)工業(yè)控制系統(tǒng)的計(jì)算機(jī)蠕蟲，該蠕蟲病毒感染并破壞了伊朗納坦茲的核設(shè)施，并最終使伊朗的布什爾核電站推遲啟動(dòng)），DDOS惡意攻擊，植入木馬病毒控制計(jì)算機(jī)、非法刪除拷貝數(shù)據(jù)、挖礦等；2017年出現(xiàn)的WannaCry勒索病毒和不聲不響盜竊商用信息的程序，這些惡意程序的應(yīng)對(duì)防護(hù)都是我們?cè)谧鲂畔⑾到y(tǒng)項(xiàng)目是所必須考慮的安全問題之一。2012，2017,2019年都考到了安全管理的論文，可知信息系統(tǒng)的安全管理在我們做項(xiàng)目管理的實(shí)踐中確實(shí)是必不可少的。大型項(xiàng)目特別是政府項(xiàng)目都對(duì)安全提出明確的要求。

正文：

論信息系統(tǒng)的安全管理

近年來隨著人們對(duì)生活環(huán)境要求的不斷提升，國家不斷加大對(duì)治理和保護(hù)水環(huán)境的要求和力度。2019年6月，公司中標(biāo)了某市水文局發(fā)布的《某某河流水環(huán)境智能檢測(cè)模擬預(yù)警平臺(tái)》項(xiàng)目以下簡(jiǎn)稱水環(huán)境項(xiàng)目，我參與該項(xiàng)目的前期調(diào)研分析、可行性研究、前景論證工作以及項(xiàng)目投標(biāo)，在項(xiàng)目管理辦公室發(fā)布的項(xiàng)目章程匯總我被任命為項(xiàng)目經(jīng)理。該項(xiàng)目作為本市五年計(jì)劃的重點(diǎn)項(xiàng)目，作為智慧城市建設(shè)的組成部分，投資金額為800萬元，建設(shè)工期為18個(gè)月。

水環(huán)境項(xiàng)目

該項(xiàng)目通過對(duì)河流流域和水體的水環(huán)境進(jìn)行實(shí)時(shí)監(jiān)控和指標(biāo)采集，利用建立的人工智能模型對(duì)重大污染和洪水等自然災(zāi)害進(jìn)行提前預(yù)警，生成評(píng)估報(bào)告和專家建議等。其主要原理是通過物聯(lián)網(wǎng)的傳感器獲取數(shù)據(jù)，由4G/5G無線網(wǎng)絡(luò)傳輸數(shù)據(jù)至云端，利用數(shù)據(jù)倉庫技術(shù)進(jìn)行計(jì)算和存儲(chǔ)；然后經(jīng)過大數(shù)據(jù)技術(shù)和智能模擬仿真平臺(tái)進(jìn)行模擬和分析，得出事物的現(xiàn)狀和發(fā)展的規(guī)律并及時(shí)預(yù)測(cè)未來重大問題和災(zāi)害，可以為政府管理部門提供河流的實(shí)時(shí)水質(zhì)水文指標(biāo)數(shù)據(jù)和預(yù)測(cè)模擬情景，為社會(huì)的生產(chǎn)生活提供更加有效的服務(wù)。該項(xiàng)目主要采用java和Python語言，運(yùn)用了 SpringCloud, HBase, Spark, Kafka, 百度Paddle等技術(shù)，應(yīng)政府國產(chǎn)化要求要求，承載部分采用金蝶中間件，綜合管理功能部分?jǐn)?shù)據(jù)庫采用人大金倉數(shù)據(jù)庫KingBaseESV8，采用集群分布式技術(shù)部署在政務(wù)云服務(wù)器Linux操作系統(tǒng)上。

該項(xiàng)目作為某市重點(diǎn)項(xiàng)目公開招標(biāo)，受到社會(huì)多方面關(guān)注，時(shí)間緊任務(wù)重社會(huì)影響大的特點(diǎn)，經(jīng)公司同意，我組建了項(xiàng)目型團(tuán)隊(duì)，經(jīng)過和專家團(tuán)隊(duì)討論，預(yù)計(jì)該項(xiàng)目需要人力資源約為18人，其中需求分析3人，開發(fā)小組7人，測(cè)試小組3人，質(zhì)量控制小組2人，實(shí)施小2人，配置管理1人，每個(gè)小組組長直接向我匯報(bào)。之后我們共同制定了責(zé)任分配表格，將任務(wù)分配到具體成員。

該河流總長度約90公里，流域面積約2500平方公里，對(duì)社會(huì)生產(chǎn)生活影響較大，政府部門對(duì)安全性要求很高、而且系統(tǒng)涉及干系人眾多、結(jié)構(gòu)復(fù)雜等安全風(fēng)險(xiǎn)較多，信息安全管理對(duì)項(xiàng)目的成功顯得十分重要。如果做不好項(xiàng)目的安全規(guī)劃與管理，不做好項(xiàng)目安全的全局性統(tǒng)領(lǐng)工作，項(xiàng)目的成功將如無本之木，無從談起。下面結(jié)合本人對(duì)水環(huán)境監(jiān)測(cè)的開發(fā)管理實(shí)踐，分別從規(guī)劃安全管理、管理安全策略、技術(shù)安全策略和安全審計(jì)管理等方面對(duì)項(xiàng)目的安全管理過程加以簡(jiǎn)要的論述。

安全等級(jí)保護(hù)

1. 規(guī)劃安全管理

在項(xiàng)目啟動(dòng)之初，水文局領(lǐng)導(dǎo)就明確提出了安全管理上的要求，要求本項(xiàng)目所依賴的水環(huán)境智能系統(tǒng)必須符合國家對(duì)行業(yè)信息系統(tǒng)的安全標(biāo)準(zhǔn)，至少保證本項(xiàng)目信息系統(tǒng)安全等級(jí)符合三級(jí)安全等保要求;根據(jù)安全保護(hù)等級(jí)的標(biāo)準(zhǔn)劃分，本項(xiàng)目屬于安全標(biāo)記保護(hù)級(jí)別，該級(jí)適用于地方各級(jí)國家機(jī)關(guān)、金融單位機(jī)構(gòu)、郵電通信、能源與水源供給部門、交通運(yùn)輸、大型工商與信息技術(shù)企業(yè)、重點(diǎn)工程建設(shè)等單位。

本項(xiàng)目安全管理策略依據(jù)適應(yīng)性原則、動(dòng)態(tài)性原則、簡(jiǎn)單性原則、系統(tǒng)性原則和最小授權(quán)原則,遵循國標(biāo)gb/t22239-2008《信息系統(tǒng)安全等級(jí)保護(hù)基本要求》的要求,將系統(tǒng)安全管理劃分為管理類安全要求和技術(shù)類安全要求。

管理類安全要求主要涉及到人，與信息系統(tǒng)中各種角色參與的活動(dòng)有關(guān),通過控制各角色的活動(dòng),從政策、制度、規(guī)范、流程以及記錄等方面做出規(guī)定來實(shí)現(xiàn)。技術(shù)類安全要求與信息系統(tǒng)提供的技術(shù)安全機(jī)制有關(guān),主要通過在信息主體中部署軟硬件并正確地配置其安全功能來實(shí)現(xiàn)。管理要求和技術(shù)要求是確保信息系統(tǒng)安全不可分割的兩個(gè)部分。

2. 管理安全策略

一個(gè)單位的安全策略一定是定制的,都是針對(duì)本單位的“安全風(fēng)險(xiǎn)”進(jìn)行的。安全策略的核心內(nèi)容就是"七定",即定方案、定崗、定位、定員、定目標(biāo)、定制度、定工作流程。首先要定方案,其次定崗.系統(tǒng)安全是一個(gè)動(dòng)態(tài)的的過程,今天看來是安全的系統(tǒng),明天可能就不再安全。把信息系統(tǒng)的安全目標(biāo)定位于"系統(tǒng)永不停機(jī)、數(shù)據(jù)永不丟失、網(wǎng)絡(luò)永不癱瘓、信息永不泄密",是錯(cuò)誤的,是不現(xiàn)實(shí)的,也是不可能的適度的安全觀點(diǎn):安全代價(jià)低,顯然安全風(fēng)險(xiǎn)肯定大;反之,安全風(fēng)險(xiǎn)要降得很低,安全的代價(jià)也就很大。

在制定系統(tǒng)的信息安全管理制度時(shí),明確安全目標(biāo)、范圍、原則和框架等。本人參照本公司信息安全管理體系的要求,并結(jié)合系統(tǒng)實(shí)際情況,在充分征求了客戶和公司領(lǐng)導(dǎo)的前提下,制定出本系統(tǒng)的安全管理制度。并就制定出來的制度與相關(guān)干系人進(jìn)行討論和評(píng)審,評(píng)審?fù)ㄟ^后請(qǐng)客戶領(lǐng)導(dǎo)簽字確認(rèn),并正式實(shí)施。 在本項(xiàng)目的實(shí)踐中，除了對(duì)項(xiàng)目組本身進(jìn)行安全管理外，還爭(zhēng)取水文部門領(lǐng)導(dǎo)的支持對(duì)該部門全體人員和負(fù)責(zé)人員進(jìn)行了數(shù)次安全管理培訓(xùn)。在安全管理制度、安全管理機(jī)構(gòu)和人員安全管理方面都進(jìn)行了深入考慮制定相關(guān)的政策。 包括《信息系統(tǒng)安全領(lǐng)導(dǎo)機(jī)構(gòu)和職責(zé)》、《信息系統(tǒng)安全辦公室工作職責(zé)和崗位設(shè)置》、《信息系統(tǒng)安全日常操作管理規(guī)定》、《信息系統(tǒng)安全責(zé)任追究制度》、《信息系統(tǒng)安全應(yīng)急預(yù)案》和《機(jī)房管理規(guī)定》等。

3. 技術(shù)安全策略

技術(shù)安全主要從物理安全、網(wǎng)絡(luò)安全、主機(jī)安全、應(yīng)用安全和數(shù)據(jù)安全幾個(gè)方面進(jìn)行考慮。
（1物理安全

該層次的安全包括通信線路的安全,物理設(shè)備的安全,機(jī)房的安全等。本系統(tǒng)部署在水文局自有機(jī)房和政務(wù)云,都符合國家B類機(jī)房要求。

(2)網(wǎng)絡(luò)安全策略

網(wǎng)絡(luò)的安全是整個(gè)系統(tǒng)安全的基礎(chǔ),因此保證網(wǎng)絡(luò)的安全是非常重要的。在網(wǎng)絡(luò)的安全保證方面,使用了防火墻、安全路由、網(wǎng)絡(luò)隔離、防病毒技術(shù)、動(dòng)態(tài)口令卡等設(shè)備和方法,從物理上保證了網(wǎng)絡(luò)的安全。并定期進(jìn)行安全審計(jì),對(duì)審計(jì)出現(xiàn)的問題,及時(shí)加以整改。對(duì)本系統(tǒng)單獨(dú)劃分了ⅥAN,分配了專門的地址段;偏遠(yuǎn)村、社區(qū)通過VPN訪問系統(tǒng),保證了網(wǎng)絡(luò)的安全可靠

(3)主機(jī)安全策略

應(yīng)用服務(wù)器采用虛擬化部署,數(shù)據(jù)庫服務(wù)器采用雙機(jī)熱備和HIA方式,并使用了Debian操作系統(tǒng),從硬件上保證了服務(wù)器的安全。制定了服務(wù)器的安全使用方法,不同的賬戶進(jìn)入服務(wù)器有不同的使用權(quán)限。對(duì)服務(wù)器上的數(shù)據(jù)分級(jí)存放,使用了冗余備份。并定期對(duì)服務(wù)器的安全進(jìn)行審計(jì),根據(jù)審計(jì)結(jié)果進(jìn)行處罰。通過這些措施保證了主機(jī)的安全

(4)應(yīng)用安全策略

系統(tǒng)要求7×24小時(shí)不中斷服務(wù),本系統(tǒng)架構(gòu)采用虛擬化、集群化手段,保證了整個(gè)系統(tǒng)的安全可靠,系統(tǒng)中的一個(gè)部件損壞,不會(huì)影響到系統(tǒng)中其他部件的正常使用,因?yàn)樗鼈兪窍嗷オ?dú)立的。在每個(gè)部件中都采用了集群的技術(shù),如果集群中的一個(gè)服務(wù)器損壞,不會(huì)影響到其他集群服務(wù)器的正常使用,集群中所有服務(wù)器全部損壞的概率是很小的。如果真的全部損壞,我們還建立了應(yīng)急系統(tǒng)并定期的組織應(yīng)急演練。保證了全系統(tǒng)的安全可靠。應(yīng)提供專用的登錄控制模塊對(duì)登錄用戶進(jìn)行身份標(biāo)識(shí)和鑒別;提供登錄失敗處理功能,可采取結(jié)束會(huì)話限制非法登錄次數(shù)和自動(dòng)退出等措施;應(yīng)啟用身份鑒別和登錄失敗處理功能,并根據(jù)安全策略配置相關(guān)參數(shù)。原創(chuàng)提示：本文首發(fā)在今日頭條平臺(tái)【北大磊哥】賬號(hào)下，關(guān)注我，每周分享良心干貨！

(5)數(shù)據(jù)安全策略

數(shù)據(jù)是企業(yè)的核心資源,因此保證數(shù)據(jù)的安全就尤為重要,在本系統(tǒng)首先對(duì)數(shù)據(jù)庫進(jìn)行分域,不同的數(shù)據(jù)放到不同的域中,各個(gè)域相互獨(dú)立,一個(gè)域的損壞不會(huì)影響到其他域的安全。在數(shù)據(jù)庫備份方面采用全量備份和增量備份相結(jié)合的方法,定期備份數(shù)據(jù)文件和日志文件并且使用了企業(yè)級(jí)國產(chǎn)的安全備份恢復(fù)管理軟件,提高了備份的安全和效率。同時(shí)在水文局內(nèi)部機(jī)房進(jìn)行了全套數(shù)據(jù)每周備份，進(jìn)一步保證數(shù)據(jù)安全。

4.安全審計(jì)策略

系統(tǒng)完成開發(fā)和部署后還需要定期進(jìn)行安全審計(jì)，包括系統(tǒng)級(jí)審計(jì)、應(yīng)用級(jí)審計(jì)和用戶級(jí)審計(jì)。記錄、審查主體對(duì)客體進(jìn)行訪問和使用情況,保證安全規(guī)則被正確執(zhí)行,并幫助分析安全事故產(chǎn)生的原因。審計(jì)的主要作用包括：

①對(duì)潛在的攻擊者起到震懾或警告作用

②對(duì)于已經(jīng)發(fā)生的系統(tǒng)破壞行為提供有效的追究證據(jù)

③為系統(tǒng)安全管理員提供有價(jià)值的系統(tǒng)使用日志,從而幫助

系統(tǒng)安全管理員及時(shí)發(fā)現(xiàn)系統(tǒng)入侵行為或潛在的系統(tǒng)漏洞

④為系統(tǒng)安全管理員提供系統(tǒng)運(yùn)行的統(tǒng)計(jì)日志,使系統(tǒng)安全管理員能夠發(fā)現(xiàn)系統(tǒng)性能上的不足或需要改進(jìn)與加強(qiáng)的地方

除了以上這些管理過程，我認(rèn)為還要做好變更和配置管理。在項(xiàng)目的實(shí)施過程中，由于用戶需求、政策導(dǎo)向或新技術(shù)的出現(xiàn)都會(huì)導(dǎo)致變更不可避免，但我嚴(yán)格按照變更控制流程進(jìn)行管理，并未導(dǎo)致項(xiàng)目范圍有較大變動(dòng)。同時(shí)也必須做好配置管理，否則容易造成版本混亂，權(quán)責(zé)不清。我們團(tuán)隊(duì)專門設(shè)置配置管理員，對(duì)項(xiàng)目進(jìn)行定期不定期的配置狀態(tài)審核等工作，保證配置項(xiàng)版本的統(tǒng)一。

經(jīng)過我們團(tuán)隊(duì)不懈的努力，該項(xiàng)目于2021年1月通過水利部門的驗(yàn)收，極大地提高了他們的工作效率和信息化辦公水平，同時(shí)也獲得了河流沿岸相關(guān)關(guān)系人的積極評(píng)價(jià)。本項(xiàng)目的成功得益于良好的整體管理，此外還包括重視安全管理。

總結(jié)這次管理實(shí)踐經(jīng)驗(yàn)，我認(rèn)為做好安全管理,必須做到全員參與，調(diào)動(dòng)相關(guān)關(guān)系人的積極性，增加他們的信息安全意識(shí)，前期做好培訓(xùn)工作，定期進(jìn)行檢查審計(jì)。當(dāng)然在本項(xiàng)目進(jìn)行中也存在一些問題和經(jīng)驗(yàn)教訓(xùn)，由于水文局部分工作人員對(duì)信息安全管理認(rèn)識(shí)不到位，在規(guī)章制度執(zhí)行和后期審計(jì)過程中出現(xiàn)忽視和抵觸現(xiàn)象，雖未產(chǎn)生不良影響但也存在重大的安全風(fēng)險(xiǎn)隱患，經(jīng)過我們項(xiàng)目組多次主動(dòng)的在工作和下班后溝通交流，終于取得的理解和支持。

信息安全管理工作是一個(gè)不斷提升的工作，需要不斷地完善和改進(jìn)。在之后的工作和學(xué)習(xí)過程中，我將不斷地學(xué)習(xí)和應(yīng)用信息系統(tǒng)安全管理知識(shí)，多于同行交流心得經(jīng)驗(yàn)，提高自己的業(yè)務(wù)能力和管理水平，在數(shù)據(jù)化浪潮中爭(zhēng)取為我國的信息化和工業(yè)化建設(shè)貢獻(xiàn)自己一份力量。

PS:歡迎留言討論，我會(huì)積極給予回復(fù)！

希望今天的分享能夠?qū)δ阌兴鶈l(fā)，歡迎關(guān)注，評(píng)論互粉，聽說關(guān)注我并轉(zhuǎn)發(fā)的，能力和收入都嗖嗖漲呢！嗯，魯迅說的