信息安全技術(shù)在項(xiàng)目管理中的應(yīng)用

◆盧曉煒 李大卓

（中交水運(yùn)規(guī)劃設(shè)計(jì)院有限公司 北京 100007）

信息安全技術(shù)在項(xiàng)目管理中的應(yīng)用

◆盧曉煒 李大卓

（中交水運(yùn)規(guī)劃設(shè)計(jì)院有限公司 北京 100007）

伴隨著信息技術(shù)快速發(fā)展，信息技術(shù)被越來越多的應(yīng)用于項(xiàng)目管理之中，以提高項(xiàng)目管理的效率與水平。項(xiàng)目管理中，如何防止信息泄露丟失至關(guān)重要，本文著重探討如何利用現(xiàn)代信息安全技術(shù)，預(yù)防信息泄露風(fēng)險(xiǎn)，將信息安全技術(shù)有效投諸于項(xiàng)目管理生命周期之中，以有效保障信息安全。

信息安全；項(xiàng)目管理；應(yīng)用

0 引言

現(xiàn)代社會對信息安全愈加重視，信息保護(hù)顯得尤為重要。在愈加成熟的信息安全技術(shù)推動(dòng)下，互聯(lián)網(wǎng)、計(jì)算機(jī)、企業(yè)、項(xiàng)目管理之間逐漸構(gòu)建起互聯(lián)互操作的集成系統(tǒng)，成為系統(tǒng)安全的基本保障與主要驅(qū)動(dòng)力?，F(xiàn)代信息安全技術(shù)對于項(xiàng)目開發(fā)、集成、管理、運(yùn)行、維護(hù)至關(guān)重要，貫穿于項(xiàng)目管理始終。利用信息安全技術(shù)可有效提升項(xiàng)目信息的完整性、可用性、可記錄性等。

1 信息安全防護(hù)的重要性

1.1 項(xiàng)目管理對信息安全的切實(shí)需求

信息安全技術(shù)的快速發(fā)展，為項(xiàng)目管理提供了現(xiàn)代化技術(shù)支撐，極大程度上提高了項(xiàng)目管理效率與質(zhì)量。信息安全是項(xiàng)目管理中的極大隱患，為減少隱患，降低甚至規(guī)避風(fēng)險(xiǎn)，預(yù)防項(xiàng)目管理過程中出現(xiàn)意外事件，不僅需要加強(qiáng)人防、物防，還要利用技防管控項(xiàng)目管理中的各種應(yīng)用系統(tǒng)，避免出現(xiàn)因操作不當(dāng)、非法入侵等給企業(yè)帶去的不良影響。所以，信息安全技術(shù)是項(xiàng)目管理順利開展的重要保障,是企業(yè)管理人員必須切實(shí)執(zhí)行的管理舉措。

1.2 信息安全技防是落實(shí)項(xiàng)目管理體制的強(qiáng)力支撐

信息安全管理是企業(yè)開展項(xiàng)目管理的重要條件，借助技術(shù)防范措施可有效保障管理制度的順利實(shí)施，換言之，技防措施是推動(dòng)項(xiàng)目管理制度有效落實(shí)的強(qiáng)力支撐。毋庸置疑，在項(xiàng)目開展的各個(gè)周期，都會涉及企業(yè)相關(guān)信息，這些信息是企業(yè)發(fā)展之本，是企業(yè)重要的無形資產(chǎn)，這些信息一旦出現(xiàn)閃失，必定直接影響企業(yè)的生存與發(fā)展，其損失無法估量。因此，必須采取強(qiáng)有力的技防措施確保重要信息完整、安全、真實(shí)、可控、可用、可核查。進(jìn)而降低企業(yè)管理風(fēng)險(xiǎn)，增強(qiáng)企業(yè)風(fēng)控能力，以最優(yōu)的信息管理方式保證企業(yè)項(xiàng)目管理的順利開展。

1.3 信息安全技術(shù)可保障項(xiàng)目管理效率的提升

項(xiàng)目管理需要以企業(yè)目標(biāo)為中心完善其生命周期，但是項(xiàng)目管理的各個(gè)環(huán)節(jié)都極具風(fēng)險(xiǎn)性，而科學(xué)的信息安全技術(shù)可高效的應(yīng)對項(xiàng)目管理各環(huán)節(jié)的風(fēng)險(xiǎn)，進(jìn)而有效提升企業(yè)項(xiàng)目管理效率，對此，需強(qiáng)化信息網(wǎng)絡(luò)的幾項(xiàng)能力，即提升信息安全支撐能力與對抗能力，強(qiáng)化對突發(fā)事件的應(yīng)急處理能力，提升對信息安全的管控能力。

2 信息安全技術(shù)在項(xiàng)目管理中的應(yīng)用

信息安全在項(xiàng)目管理中的各層次結(jié)構(gòu)為表1所示。

表1 信息安全技術(shù)防控監(jiān)督體系

認(rèn)證授權(quán)口令與證書認(rèn)證訪問控制防火墻審計(jì)跟蹤入侵檢測、取證、審計(jì)網(wǎng)絡(luò)防病毒網(wǎng)絡(luò)整體與單機(jī)防病毒災(zāi)難恢復(fù)與備份 災(zāi)難恢復(fù)與數(shù)據(jù)備份計(jì)劃，數(shù)據(jù)存儲與備份技術(shù)

2.1 網(wǎng)絡(luò)安全

項(xiàng)目具體實(shí)施中，常常需要借助互聯(lián)網(wǎng)傳遞信息，因此，應(yīng)利用VPN對信息做加密處理，確保信息安全順暢傳遞。若條件允許，可在網(wǎng)絡(luò)邊界配以入侵檢測舉措。對于涉密信息集成項(xiàng)目，可適當(dāng)運(yùn)用物理隔離措施，確保涉密信息的安全，隨后利用訪問控制措施確保網(wǎng)絡(luò)層面的安全。另外，定期掃描、彌補(bǔ)網(wǎng)絡(luò)設(shè)備漏洞。

2.2 系統(tǒng)安全

系統(tǒng)安全涵蓋操作系統(tǒng)與數(shù)據(jù)庫系統(tǒng)的安全。其中，操作系統(tǒng)是整個(gè)網(wǎng)絡(luò)系統(tǒng)的基礎(chǔ)所在，而數(shù)據(jù)庫則是應(yīng)用系統(tǒng)的關(guān)鍵與核心。項(xiàng)目管理過程中，從應(yīng)用系統(tǒng)的采購到調(diào)試運(yùn)行，需要開展全面細(xì)致的檢查，準(zhǔn)確安裝配置。防止出現(xiàn)缺省安裝，全面更改缺省用戶及其賬號配置，全面預(yù)防黑客鉆缺省賬戶的空子入侵攻擊。系統(tǒng)維護(hù)中，要實(shí)現(xiàn)對更改口令、清除不存在用戶、根據(jù)工作需要管理用戶、更新系統(tǒng)補(bǔ)丁、備份系統(tǒng)六項(xiàng)工作進(jìn)行定期管理，從而全方位、全過程確保系統(tǒng)安全。另外，在信息安防技術(shù)中，系統(tǒng)安全是最基礎(chǔ)的安全，是信息安全技術(shù)防范體系的基石，是我們在項(xiàng)目管理中應(yīng)切實(shí)做到的。

2.3 數(shù)據(jù)加密

在項(xiàng)目管理中對于其中重要的業(yè)務(wù)數(shù)據(jù)和管理數(shù)據(jù)，應(yīng)采取硬件與軟件相結(jié)合的方式。盡管軟件加密較為經(jīng)濟(jì)有效，但不適用要求較高的情況，對此，我們必須應(yīng)用國家認(rèn)可的硬件加密措施，有效保障數(shù)據(jù)信息的安全性與保密性。

2.4 物理安全

物理安全，主要涵蓋環(huán)境、媒體與設(shè)備安全。項(xiàng)目管理中，服務(wù)器、數(shù)據(jù)庫等會置于機(jī)房環(huán)境中，控制好溫濕度可為設(shè)備運(yùn)行提供更加適宜的環(huán)境。利用人防、物防、技防手段可預(yù)防數(shù)據(jù)庫被毀壞，確保設(shè)備安全。項(xiàng)目實(shí)施中，項(xiàng)目信息是企業(yè)核心機(jī)密，是企業(yè)無形資產(chǎn),一般會儲存于移動(dòng)終端和筆記本電腦中，極易被盜取或丟失,因此，項(xiàng)目實(shí)施中，應(yīng)加強(qiáng)對媒體介質(zhì)的保護(hù)。

2.5 應(yīng)用安全

項(xiàng)目實(shí)施中，常用E-mail傳遞信息，為確保信息的安全可靠與完整性，應(yīng)嚴(yán)格管理E-mail賬號口令，定期更新口令，正常的E-mail郵件需要備份，來歷不明的郵件則應(yīng)拒收。另外，Web安全也至關(guān)重要?，F(xiàn)如今，應(yīng)用系統(tǒng)借助Web瀏覽器開展訪問，不僅是熱門安全領(lǐng)域，更是常被黑客攻擊的領(lǐng)域。對此，（1）定期開展安全評估與安全加固；（2）增強(qiáng)內(nèi)容與應(yīng)用系統(tǒng)的安全性。應(yīng)用系統(tǒng)多存在漏洞，對此，就需要我們進(jìn)行盡早排查發(fā)現(xiàn)漏洞，并及時(shí)彌補(bǔ)，借助訪問控制措施增強(qiáng)Web訪問的安全性。

2.6 認(rèn)證授權(quán)

項(xiàng)目管理中，不僅要對外加強(qiáng)信息保密，還要對內(nèi)做好安全防控?，F(xiàn)如今，內(nèi)部威脅加大，企業(yè)信息安全問題的最要源頭就在于內(nèi)外的勾結(jié)。為強(qiáng)化信息完整性、保密性、安全性、可用性，應(yīng)嚴(yán)格管理系統(tǒng)口令。借助于CA/PKI認(rèn)證方式，確保身份完整性、真實(shí)性、嚴(yán)密性。項(xiàng)目管理中，還應(yīng)構(gòu)建完善的信任環(huán)境，做好信息安全交互，以保證信息安全，維護(hù)企業(yè)核心利益。

2.7 訪問控制

訪問控制是防范與保護(hù)網(wǎng)絡(luò)安全的基礎(chǔ)，主要在于保障網(wǎng)絡(luò)資源的安全，不被非法入侵與使用，是確保網(wǎng)絡(luò)安全的核心要素之一。借助于訪問控制列表，可對防火墻、路由器進(jìn)行更加合理的配置，完善入網(wǎng)訪問控制、操作權(quán)限控制、目標(biāo)安全控制、屬性安全控制、網(wǎng)絡(luò)檢測、網(wǎng)絡(luò)服務(wù)器安全控制、防火墻控制。全面確保項(xiàng)目管理中訪問控制的安全。

2.8 審計(jì)跟蹤

項(xiàng)目管理中，企業(yè)內(nèi)外部勾結(jié)是信息安全的主要誘因。因此，應(yīng)對項(xiàng)目管理網(wǎng)絡(luò)系統(tǒng)、數(shù)據(jù)庫、應(yīng)用系統(tǒng)等內(nèi)部審計(jì)進(jìn)行全面檢查。借助入侵檢測方式全面檢測所有系統(tǒng)，合理配置訪問日志，記錄各項(xiàng)安全事宜，便于日后審計(jì)。假若出現(xiàn)重大安全事件，聯(lián)系并配合公安部門調(diào)查取證，做好現(xiàn)場保護(hù)，以追溯事發(fā)源頭。

2.9 網(wǎng)絡(luò)病毒防護(hù)

網(wǎng)絡(luò)系統(tǒng)中可充分利用網(wǎng)絡(luò)整體與單機(jī)防病毒體系，對于感染病毒的機(jī)器，應(yīng)及時(shí)檢測并斷網(wǎng)隔離，防止擴(kuò)大傳播。經(jīng)常更新殺毒軟件與網(wǎng)絡(luò)設(shè)備，定期備份引導(dǎo)區(qū)信息，發(fā)布漏洞信息，以便于用戶下載修補(bǔ)，降低病毒入侵的可能性。

2.10 災(zāi)難恢復(fù)、備份

項(xiàng)目管理風(fēng)險(xiǎn)性大，貫穿項(xiàng)目始終。因此，對災(zāi)難恢復(fù)是保證項(xiàng)目業(yè)務(wù)持續(xù)性的重要手段。對此，應(yīng)根據(jù)災(zāi)難恢復(fù)標(biāo)準(zhǔn)要求，制定科學(xué)的備份計(jì)劃，恢復(fù)演練，強(qiáng)化災(zāi)難恢復(fù)水平，盡可能弱化災(zāi)難影響。

3 結(jié)語

項(xiàng)目管理是企業(yè)開展業(yè)務(wù)、運(yùn)行發(fā)展不可或缺的一環(huán)，貫穿于項(xiàng)目發(fā)展始終。其中，信息安全直接關(guān)乎項(xiàng)目乃至企業(yè)能否健康持續(xù)運(yùn)行。因此，在項(xiàng)目管理中可將現(xiàn)代信息安全技術(shù)融入其中，找尋項(xiàng)目實(shí)施有效性與安全性的平衡點(diǎn)，將信息化建設(shè)中的身份認(rèn)證、訪問控制、防火墻、安全掃描、入侵檢測、PKI、VPN、安全審計(jì)結(jié)合起來，調(diào)動(dòng)各自優(yōu)勢，發(fā)揮整體功能，更好的為項(xiàng)目管理保駕護(hù)航，使企業(yè)在信息化管理的保障下走向高效、健康、安全發(fā)展之路。

[1]馬建中，許紅.信息安全技術(shù)在項(xiàng)目管理中的應(yīng)用[J].信息技術(shù)與信息化，2015.

[2]武靖.計(jì)算機(jī)技術(shù)在項(xiàng)目管理中的應(yīng)用[J].企業(yè)改革與管理，2016.