淺談信息系統項目管理的安全管理

樊婭奇

摘 要：隨著近年來各種類型的信息安全事件頻繁出現，信息系統的安全管理變得越來越重要。如何在項目建設時，就統籌考慮安全管理，成為備受關注的問題。本文從信息系統的特點，信息系統項目管理的現狀入手，闡述了安全管理在信息系統項目管理中的重要性，給出了安全管理的建議。

關鍵詞：信息系統;信息系統項目管理;安全管理;信息安全

信息系統是由計算機硬件、網絡和通信設備、計算機軟件、信息資源、信息用戶和規章制度組成的以信息流為目的的人機一體化系統。其主要任務是最大限度的利用現代計算機及網絡通訊技術加強企事業單位的信息管理。目前，信息系統已成為技術改造和提高管理水平的重要手段。因此，做好信息系統項目管理至關重要。

一、信息系統項目管理的現狀

伴隨信息技術的飛速發展，信息系統經歷了從簡單的數據處理信息系統，到孤立的業務管理信息系統，再到集成的智能信息系統的不斷發展。在此過程中，信息系統項目管理也在探索中前進，逐步從粗放式的管理模式，發展為注重項目質量、時間、進度、范圍管理的協調，兼顧平衡項目的整體、人力資源、溝通、干系人、風險、采購等其他管理間的矛盾的管理模式。

但隨著信息系統應用的深入，信息安全事件頻繁發生。網絡攻擊、有害程序、信息泄露等報道層出不窮。這些都暴露出信息系統在建設時普遍缺少安全規劃，和對系統安全、網絡安全、數據安全等問題的考慮，更偏重技術架構，講求技術的先進性、功能的全面、性能的高超等。

二、安全管理在信息系統項目管理中的重要性

信息在存儲、處理和交換過程中，都存在泄密或被截取、竊聽、竄改和偽造的可能性。為保障信息系統的可靠、正常運行，必須綜合應用各種安全措施，即通過技術的、管理的、行政的手段，實現業務連續性，達到信息系統安全的目的。可見，做好信息系統項目的安全管理已經刻不容緩。

三、對信息系統項目安全管理的建議

信息系統項目的安全管理在明確其目標的前提下，應從人防和技防兩方面入手。人防是指通過加強人員管理，建立信息安全相關制度等方式，進行信息系統項目的安全管理;技防是利用技術手段保障信息系統項目的安全。

（一）加強人員管理

信息系統項目涉及的人員包括：項目發起人，項目管理人員，技術人員，用戶等。項目管理歸根結底還是對人員的管理，許多安全事件都是由內部人員引起的，因此提升人員的安全意識、職業道德和業務素質至關重要，能夠起到事半功倍的效果。人員管理首先要加強人員審查。根據信息系統所規定的安全等級確定審查標準。所有人員的工作、活動范圍應被限制在完成其任務的最小范圍內。對于涉密人員，必須對其是否值得信任進行審查，并簽訂保密協議。同時，可以通過各種形式的信息安全法制教育、安全技術培訓及宣傳，將信息安全意識融入到項目的全生命周期中，使之成為一種常態。

（二）建立信息安全管理制度

信息安全管理制度包括信息系統項目的應用系統管理、網絡管理、運維管理、應急事件處置、機房管理、安全職責等方面的制度，涵蓋項目管理的方方面面。正所謂沒有規矩不成方圓，只有健全了制度，規范項目干系人的工作行為，使項目管理科學化、流程化，才能真正規范項目管理。

（三）建立網絡和應用系統安全策略

網絡作為信息的主要收集、存儲、分配、傳輸、應用的載體，其安全對整個信息的安全起著至關重要的甚至是決定性的作用。可以利用VLAN對網絡進行劃分，控制廣播活動，提高網絡的安全性。同時，安裝防火墻，配置訪問控制策略，僅開放需要使用的端口，開啟日志訪問，有效阻斷并記錄非法訪問。防火墻是一種實用性很強的網絡安全防御技術，能夠阻擋對網絡的非法訪問和不安全數據的傳遞，使得本地系統和網絡免于受到許多網絡安全威脅。在此基礎上，部署入侵檢測系統IDS，對網絡、系統的運行狀況進行監視，盡可能發現各種攻擊企圖、攻擊行為或攻擊結果，并發出報警，以保證網絡系統資源的機密性、完整性和可用性。

對于應用系統，在設計、開發階段就要有安全意識，時時刻刻將安全放在首位。對于用戶輸入要進行判斷過濾，防止越權操作。系統開發完成后，除了功能測試外，還需進行安全測試，可以利用漏洞掃描系統對操作系統、中間件、數據庫、應用系統進行全面掃描，仔細分析掃描結果，修補漏洞。應用系統正式進入運行環境，可以按照“三員”管理，即分別設置系統管理員、安全管理員、安全審計員，明確分工、職責和權限，各自獨立登錄，相互制約和控制。

（四）建立操作系統和數據安全策略

操作系統是計算機系統最基礎的軟件，操作系統安全是計算機系統軟件安全的必要條件。若缺乏這個安全的根基，構筑在其上的應用系統的安全性就得不到保障。操作系統安全性的主要目標是標識系統中的用戶，對用戶身份進行認證，對用戶的操作進行控制，防止惡意用戶對計算機資源進行竊取、篡改、破壞等非法存取，防止正當用戶操作不當而危害系統安全，從而保證系統運行的安全性。可以采取口令、數字證書等身份認證方式，實施細粒度的用戶訪問控制、細化訪問權限，安裝防病毒軟件應對攻擊，以及加強審計等保護措施。

數據作為應用系統的核心資源，安全性尤為重要。數據庫系統是存儲、管理、使用和維護數據的平臺。可以采取的數據保護策略有：設置當前數據庫和歷史數據庫，當前數據庫只存放近期的數據，其余數據轉移到歷史數據庫，并把歷史數據庫中較早前的數據轉移到磁帶庫進行存放;在數據庫備份方面，可采用全量備份和增量備份相結合的方法，定期備份數據文件和日志文件;對于敏感數據可加密后保存。

四、結語

綜上所述，信息系統項目管理的安全管理需建立人防和技防相結合的安全管理方案，不能顧此失彼。隨著信息技術應用的不斷深入，信息系統項目的安全管理將面臨更加嚴峻的考驗，尤其是大數據時代已經來臨，加強信息系統項目的安全管理迫在眉睫，信息系統項目相關人員必須提高安全意識，不斷完善信息安全管理制度，探索技術防護手段，使信息系統項目的安全管理過程更加完備，措施和工具更加有效。

參考文獻：

[1]何光旭.醫院信息系統項目管理的現狀與突破[J].信息安全與技術，2014（7）：94-96.

[2]李貴鵬，李思藝，徐冰清.智慧城市信息安全運營平臺研究[J].信息安全研究，2019（5）：420-429.

[3]晏嵩，胡俊峰.基于信息安全的計算機網絡應用[J].科技創新與應用，2019（14）：179-180.