2015年上半年信息系统项目管理师必过论文论安全管理策略

论信息系统的安全管理摘要2012年2月，我公司中标了“某贸易企业信息化建设系统”的建设项目，我担任项目经理一职。该项目建设造价520万，工期为10个月。该企业希望通过本项目建设，克服部门沟通障碍、业务进展难跟进、数据统计有难度等问题，实现全方位信息化管理的目标。本文以该项目为例，探讨了信息系统安全管理的主要内容。信息安全是大型系统的重要保证，在制定安全管理策略时，本人科学的运用信息安全管理的理论知识，结合我司信息安全管理体系的具体要求和系统的具体情况；从信息安全的制度、流程、岗位、职责、人员为出发点，制定了科学合理的信息安全制度体系。按照系统实际情况从应用服务、数据库、服务器、网络等方面进行信息安全的管理。保障了系统的安全、高效、可靠。正文：随着信息时代的发展，计算机网络得到了广泛应用，网络的安全性已成为不同使用层次的用户共同关心的问题。人们都希望自己的网络系统能更加安全可靠地运行。但随着网络信息传输量的急剧增长，一些机构和部门上网的数据也会遭到不同程度的破坏。攻击者可以窃取网络上的信息，窃用口令、篡改数据库内容，释放计算机病毒等。这致使数据的安全性和自身的利益受到了严重的威胁，所以解决好网络的安全性、可靠性问题，是确保网络正常运行的前提和保障，更好地为企事业单位提供信息咨询、信息检索、信息存取等服务。2012年2月某大型综合性企业为实现信息管理，准备开发一套企业信息系统，主要包含了客户关系管理，项目管理，库房管理，财务管理，消息管理，工作流管理等模块功能，其中以项目管理为核心，实现对项目整个生命周期各个环节进行有效监控，实时动态反应项目各阶段执行情况，进行控制和分析；同时对工作流程进行可配置化管理，实现任务督办，消息提醒，协同办公等功能，计划投资520万，工期10个月，项目采用Ｃ/Ｓ架构，后台数据库采用sqlservice2012，中间件技术采用CORBA,主要用java语言开发。该企业总部对该项目特别重视，对项目提出了很高的要求，成立了以企业公司副总为组长的领导小组，负责整个项目的领导工作，指定信息技术服务中心为甲方的主要联系部门，所以我公司中标后对此项目非常重视。由于前期项目招标过程中我也是主要的参与人之一，对项目情况比较了解，所以公司任命我为项目经理。在系统的安全管理策略中，本人以建立合理的信息安全管理制度为前提，设置完整的安全管理岗位和人员；并分别从应用服务、数据库、服务器、网络等方面进行信息安全的管理。保障了系统的安全、高效、可靠。二、建立科学合理的信息安全管理制度，完善岗位和人员的设置。在制定系统的信息安全管理制度时，本人参照本公司信息安全管理体系的要求，并结合系统实际情况，在充分征求了客户和公司领导的前提下，制定出了本系统的安全管理制度。并就制定出来的制度与相关的干系人进行讨论与评审，评审通过后请客户的领导签字确认，并正式实施。在信息安全的岗位和人员的设置上，客户省公司、各地市公司设置系统安全管理室，统一管理全省、各地市的信息安全工作。客户省公司设置首席信息安全官，统一领导全省系统的信息安全工作；各地市公司设置信息安全室经理管理本地市的安全工作；并设置了相关的系统安全管理人员，如机房管理员、网络管理员、系统工程师、安全审计人员等职位。在组织和流程上保证了信息安全的科学、合理、可靠。三、应用服务的安全管理策略。电信级的系统要求7X24小时不中断服务，因此在应用服务的安全设置方面，采用了下面的架构‘终端+集群应用服务器+集群中间件+分布式集群数据库’。采用此架构保证了整个系统的安全可靠，系统中的一个部件损坏，不会影响到系统中其它部件的正常使用，因为它们是相互独立的。在每个部件中都采用了集群的技术，如果集群中的一个服务器损坏，不会影响到其它集群服务器的正常使用，集群中所有服务器全部损坏的概率是很小的。如果真的全部损坏，我们还建立了应急系统，并定期的组织应急演练。保证了全系统的安全可靠。四、数据库的安全策略。数据是企业的核心资源，因此保证数据的安全就尤为重要，在本系统中采用了下面的数据保护策略。首先对数据库进行分域，不同的数据放到不同的域中，各个域互相独立，一个域的损坏不会影响其它域的安全。设置当前数据库和历史数据库，当前数据库只存放两天的数据，其余的数据通过DataStation转移到历史数据库，并把历史数据库中6个月前的数据转移到磁带库进行存放，保证了数据的安全可靠。在数据库的备份方面采用全量备份和增量备份相结合的方法，定期备份数据文件和日志文件，并且使用了赛门铁克的安全备份恢复管理软件，提高了备份的安全与效率。五、服务器的安全策略。在服务器方面使用了IBM小型机、华为刀片服务器，并使用了AIX、SuseLinux操作系统，从硬件上保证了服务器的安全。制定了服务器的安全使用方法，不同的帐号进入服务器有不同的使用权限。对服务器上的数据分级存放，使用了冗余备份。并定期对服务器的安全使用进行审计，根据审计结果进行处罚。通过这些措施保证了服务器的安全。六、网络的安全策略。网络的安全是整个系统安全的基础，因此保证网络的安全是非常重要的。在网络的安全保证方面，使用了防火墙、安全路由、网络隔离、防病毒技术、动态口令卡等设备和方法，从物理上保证了网络的安全。并定期进行安全审计，对审计出现的问题，及时加以整改。保证了网络的安全可靠。通过上面的安全制度、措施和方法的应用，整个系统将是安全、可靠、高效的。在整个的信息系统安全管理方面，高层领导还要大力支持；加大对员工进行安全意识的教育与宣传；提高全员的安全防范意识，才能真整的保证系统的安全高效可靠。任何系统的安全都不是一成不变的，因此必须不断加强系统安全完善措施，不断发现和改进漏洞，积极进行防护，才是保障信息系统安全的根本。