◆盧曉煒 李大卓

（中交水運規(guī)劃設(shè)計院有限公司 北京 100007）

信息安全技術(shù)在項目管理中的應(yīng)用

◆盧曉煒 李大卓

（中交水運規(guī)劃設(shè)計院有限公司 北京 100007）

伴隨著信息技術(shù)快速發(fā)展，信息技術(shù)被越來越多的應(yīng)用于項目管理之中，以提高項目管理的效率與水平。項目管理中，如何防止信息泄露丟失至關(guān)重要，本文著重探討如何利用現(xiàn)代信息安全技術(shù)，預(yù)防信息泄露風險，將信息安全技術(shù)有效投諸于項目管理生命周期之中，以有效保障信息安全。

信息安全；項目管理；應(yīng)用

0 引言

現(xiàn)代社會對信息安全愈加重視，信息保護顯得尤為重要。在愈加成熟的信息安全技術(shù)推動下，互聯(lián)網(wǎng)、計算機、企業(yè)、項目管理之間逐漸構(gòu)建起互聯(lián)互操作的集成系統(tǒng)，成為系統(tǒng)安全的基本保障與主要驅(qū)動力?，F(xiàn)代信息安全技術(shù)對于項目開發(fā)、集成、管理、運行、維護至關(guān)重要，貫穿于項目管理始終。利用信息安全技術(shù)可有效提升項目信息的完整性、可用性、可記錄性等。

1 信息安全防護的重要性

1.1 項目管理對信息安全的切實需求

信息安全技術(shù)的快速發(fā)展，為項目管理提供了現(xiàn)代化技術(shù)支撐，極大程度上提高了項目管理效率與質(zhì)量。信息安全是項目管理中的極大隱患，為減少隱患，降低甚至規(guī)避風險，預(yù)防項目管理過程中出現(xiàn)意外事件，不僅需要加強人防、物防，還要利用技防管控項目管理中的各種應(yīng)用系統(tǒng)，避免出現(xiàn)因操作不當、非法入侵等給企業(yè)帶去的不良影響。所以，信息安全技術(shù)是項目管理順利開展的重要保障,是企業(yè)管理人員必須切實執(zhí)行的管理舉措。

1.2 信息安全技防是落實項目管理體制的強力支撐

信息安全管理是企業(yè)開展項目管理的重要條件，借助技術(shù)防范措施可有效保障管理制度的順利實施，換言之，技防措施是推動項目管理制度有效落實的強力支撐。毋庸置疑，在項目開展的各個周期，都會涉及企業(yè)相關(guān)信息，這些信息是企業(yè)發(fā)展之本，是企業(yè)重要的無形資產(chǎn)，這些信息一旦出現(xiàn)閃失，必定直接影響企業(yè)的生存與發(fā)展，其損失無法估量。因此，必須采取強有力的技防措施確保重要信息完整、安全、真實、可控、可用、可核查。進而降低企業(yè)管理風險，增強企業(yè)風控能力，以最優(yōu)的信息管理方式保證企業(yè)項目管理的順利開展。

1.3 信息安全技術(shù)可保障項目管理效率的提升

項目管理需要以企業(yè)目標為中心完善其生命周期，但是項目管理的各個環(huán)節(jié)都極具風險性，而科學的信息安全技術(shù)可高效的應(yīng)對項目管理各環(huán)節(jié)的風險，進而有效提升企業(yè)項目管理效率，對此，需強化信息網(wǎng)絡(luò)的幾項能力，即提升信息安全支撐能力與對抗能力，強化對突發(fā)事件的應(yīng)急處理能力，提升對信息安全的管控能力。

2 信息安全技術(shù)在項目管理中的應(yīng)用

信息安全在項目管理中的各層次結(jié)構(gòu)為表1所示。

表1 信息安全技術(shù)防控監(jiān)督體系

認證授權(quán)口令與證書認證訪問控制防火墻審計跟蹤入侵檢測、取證、審計網(wǎng)絡(luò)防病毒網(wǎng)絡(luò)整體與單機防病毒災(zāi)難恢復(fù)與備份 災(zāi)難恢復(fù)與數(shù)據(jù)備份計劃，數(shù)據(jù)存儲與備份技術(shù)

2.1 網(wǎng)絡(luò)安全

項目具體實施中，常常需要借助互聯(lián)網(wǎng)傳遞信息，因此，應(yīng)利用VPN對信息做加密處理，確保信息安全順暢傳遞。若條件允許，可在網(wǎng)絡(luò)邊界配以入侵檢測舉措。對于涉密信息集成項目，可適當運用物理隔離措施，確保涉密信息的安全，隨后利用訪問控制措施確保網(wǎng)絡(luò)層面的安全。另外，定期掃描、彌補網(wǎng)絡(luò)設(shè)備漏洞。

2.2 系統(tǒng)安全

系統(tǒng)安全涵蓋操作系統(tǒng)與數(shù)據(jù)庫系統(tǒng)的安全。其中，操作系統(tǒng)是整個網(wǎng)絡(luò)系統(tǒng)的基礎(chǔ)所在，而數(shù)據(jù)庫則是應(yīng)用系統(tǒng)的關(guān)鍵與核心。項目管理過程中，從應(yīng)用系統(tǒng)的采購到調(diào)試運行，需要開展全面細致的檢查，準確安裝配置。防止出現(xiàn)缺省安裝，全面更改缺省用戶及其賬號配置，全面預(yù)防黑客鉆缺省賬戶的空子入侵攻擊。系統(tǒng)維護中，要實現(xiàn)對更改口令、清除不存在用戶、根據(jù)工作需要管理用戶、更新系統(tǒng)補丁、備份系統(tǒng)六項工作進行定期管理，從而全方位、全過程確保系統(tǒng)安全。另外，在信息安防技術(shù)中，系統(tǒng)安全是最基礎(chǔ)的安全，是信息安全技術(shù)防范體系的基石，是我們在項目管理中應(yīng)切實做到的。

2.3 數(shù)據(jù)加密

在項目管理中對于其中重要的業(yè)務(wù)數(shù)據(jù)和管理數(shù)據(jù)，應(yīng)采取硬件與軟件相結(jié)合的方式。盡管軟件加密較為經(jīng)濟有效，但不適用要求較高的情況，對此，我們必須應(yīng)用國家認可的硬件加密措施，有效保障數(shù)據(jù)信息的安全性與保密性。

2.4 物理安全

物理安全，主要涵蓋環(huán)境、媒體與設(shè)備安全。項目管理中，服務(wù)器、數(shù)據(jù)庫等會置于機房環(huán)境中，控制好溫濕度可為設(shè)備運行提供更加適宜的環(huán)境。利用人防、物防、技防手段可預(yù)防數(shù)據(jù)庫被毀壞，確保設(shè)備安全。項目實施中，項目信息是企業(yè)核心機密，是企業(yè)無形資產(chǎn),一般會儲存于移動終端和筆記本電腦中，極易被盜取或丟失,因此，項目實施中，應(yīng)加強對媒體介質(zhì)的保護。

2.5 應(yīng)用安全

項目實施中，常用E-mail傳遞信息，為確保信息的安全可靠與完整性，應(yīng)嚴格管理E-mail賬號口令，定期更新口令，正常的E-mail郵件需要備份，來歷不明的郵件則應(yīng)拒收。另外，Web安全也至關(guān)重要?，F(xiàn)如今，應(yīng)用系統(tǒng)借助Web瀏覽器開展訪問，不僅是熱門安全領(lǐng)域，更是常被黑客攻擊的領(lǐng)域。對此，（1）定期開展安全評估與安全加固；（2）增強內(nèi)容與應(yīng)用系統(tǒng)的安全性。應(yīng)用系統(tǒng)多存在漏洞，對此，就需要我們進行盡早排查發(fā)現(xiàn)漏洞，并及時彌補，借助訪問控制措施增強Web訪問的安全性。

2.6 認證授權(quán)

項目管理中，不僅要對外加強信息保密，還要對內(nèi)做好安全防控?，F(xiàn)如今，內(nèi)部威脅加大，企業(yè)信息安全問題的最要源頭就在于內(nèi)外的勾結(jié)。為強化信息完整性、保密性、安全性、可用性，應(yīng)嚴格管理系統(tǒng)口令。借助于CA/PKI認證方式，確保身份完整性、真實性、嚴密性。項目管理中，還應(yīng)構(gòu)建完善的信任環(huán)境，做好信息安全交互，以保證信息安全，維護企業(yè)核心利益。

2.7 訪問控制

訪問控制是防范與保護網(wǎng)絡(luò)安全的基礎(chǔ)，主要在于保障網(wǎng)絡(luò)資源的安全，不被非法入侵與使用，是確保網(wǎng)絡(luò)安全的核心要素之一。借助于訪問控制列表，可對防火墻、路由器進行更加合理的配置，完善入網(wǎng)訪問控制、操作權(quán)限控制、目標安全控制、屬性安全控制、網(wǎng)絡(luò)檢測、網(wǎng)絡(luò)服務(wù)器安全控制、防火墻控制。全面確保項目管理中訪問控制的安全。

2.8 審計跟蹤

項目管理中，企業(yè)內(nèi)外部勾結(jié)是信息安全的主要誘因。因此，應(yīng)對項目管理網(wǎng)絡(luò)系統(tǒng)、數(shù)據(jù)庫、應(yīng)用系統(tǒng)等內(nèi)部審計進行全面檢查。借助入侵檢測方式全面檢測所有系統(tǒng)，合理配置訪問日志，記錄各項安全事宜，便于日后審計。假若出現(xiàn)重大安全事件，聯(lián)系并配合公安部門調(diào)查取證，做好現(xiàn)場保護，以追溯事發(fā)源頭。

2.9 網(wǎng)絡(luò)病毒防護

網(wǎng)絡(luò)系統(tǒng)中可充分利用網(wǎng)絡(luò)整體與單機防病毒體系，對于感染病毒的機器，應(yīng)及時檢測并斷網(wǎng)隔離，防止擴大傳播。經(jīng)常更新殺毒軟件與網(wǎng)絡(luò)設(shè)備，定期備份引導(dǎo)區(qū)信息，發(fā)布漏洞信息，以便于用戶下載修補，降低病毒入侵的可能性。

2.10 災(zāi)難恢復(fù)、備份

項目管理風險性大，貫穿項目始終。因此，對災(zāi)難恢復(fù)是保證項目業(yè)務(wù)持續(xù)性的重要手段。對此，應(yīng)根據(jù)災(zāi)難恢復(fù)標準要求，制定科學的備份計劃，恢復(fù)演練，強化災(zāi)難恢復(fù)水平，盡可能弱化災(zāi)難影響。

3 結(jié)語

項目管理是企業(yè)開展業(yè)務(wù)、運行發(fā)展不可或缺的一環(huán)，貫穿于項目發(fā)展始終。其中，信息安全直接關(guān)乎項目乃至企業(yè)能否健康持續(xù)運行。因此，在項目管理中可將現(xiàn)代信息安全技術(shù)融入其中，找尋項目實施有效性與安全性的平衡點，將信息化建設(shè)中的身份認證、訪問控制、防火墻、安全掃描、入侵檢測、PKI、VPN、安全審計結(jié)合起來，調(diào)動各自優(yōu)勢，發(fā)揮整體功能，更好的為項目管理保駕護航，使企業(yè)在信息化管理的保障下走向高效、健康、安全發(fā)展之路。

[1]馬建中，許紅.信息安全技術(shù)在項目管理中的應(yīng)用[J].信息技術(shù)與信息化，2015.

[2]武靖.計算機技術(shù)在項目管理中的應(yīng)用[J].企業(yè)改革與管理，2016.