信息安全管理
信息系统安全的定义:信息系统安全是指确保以电磁信号为主要形式的、在信息网络系统进行通信、处理和使用的信息内容,在各个物理位置、逻辑区域、存储和传输介质中,处于动态和静态过程中的保密性、完整性和可用性,以及与人、网络、环境有关的技术安全、结构安全和管理安全的综合。总的来说,信息系统安全就是要保证信息系统的用户在允许的时间内、从允许的地点、通过允许的方法,对允许范围内的信息进行所允许的处理。
信息系统安全属性分为三个方面:可用性、保密性和完整性。
完整地构建信息系统的安全体系框架,信息系统安全体系应当由技术体系、组织结构体系和管理体系共同构建。
安全管理制度:1、计算机信息网络系统出入管理制度;2、计算机信息网络系统各工作岗位的工作职责、操作规程;3、计算机信息网络系统的升级、维护制度;4、计算机信息网络系统工作人员人事管理制度;5、计算机信息网络系统安全检查制度;6、计算机信息网络系统应急制度;7、计算机信息网络系统信息资料处理制度;8、计算机信息网络系统工作人员安全教育、培训制度;9、计算机信息网络系统工作人员循环任职、强制休假制度。
物理访问管理注意事项:1、硬件设施在合理范围内是否能防止强制入侵;2、计算机设备的钥匙是否有良好的控制以降低未授权者进入的风险;3、职能终端是否上锁或有安全保护,以防止电路板、芯片或计算机被搬移;4、计算机设备在搬动时是否需要设备授权通行的证明。
应用环境的安全管理,监理安全管理策略:火灾的控制;水灾探测器的安置;计算机机房;
逻辑访问的安全管理,监理的主要原则:1、了解信息处理的整体环境并评估其安全需求,2、通过对一些可能进入系统访问路径进行记录复核,3、通过相关测试数据访问控制点,评价安全系统的功能和有效性,4、分析测试结果和其他审核结论,评价访问控制的环境并判断是否达到控制目标,5、审核书面策略,观察实际操作和流程,与一般公认的信息安全标准相比较,评价组织环境的安全性及适当性等。
架构安全的住处网络系统:局域网的安全VLAN;C /S架构安全;互联网的威胁和安全;采用加密技术;网闸,即安全隔离与信息交换系统;防火墙技术;入侵检测系统;安全漏洞扫描;病毒防范;
数据备份的策略和方式:备份策略的选择:1备份策略包括:全备份、差分备份、增量备份和备份介质轮换。2数据备份与恢复技术涉及到的几个方面(存储设备:存储优化:存储保护:存储管理:备份与恢复技术。)
备份方式的选择:硬件备份:软件备份;人工备份;
灾难恢复的策略:1全自动恢复系统;2手动恢复系统;3数据备份系统;4监理单位法:(建议建设单位制定灾难恢复计划;灾难恢复计划的监理工作:)
1、获得领导层的支持;2、召开解决方案研讨会;3、选定负责人;4、进行业务影响分析;5、评定保持业务持续性的战略;6、组织全体人员熟悉此项计划;7、提供全面的备份中心设施;8、灾难恢复计划以文档形式在工作人员之间共享;9、在系统上装载和运行必需的工具来衡量恢复解决方案的要求;10、保证解决方案中的所有硬件、软件和网络部件的可用性;11、提供可扩展的容量来满足组织的预期工作负荷。12、进行恢复功能测试和灾难恢复模拟。
信息系统工程信息是对参与各方主体从事信息系统工程项目管理(或监理)提供决策支持的一种载体,如项目建议书、可行性研究报告、设计说明书、售后服务协议以及实施标准等。
信息系统工程信息具有的特点:1、现实性:是信息系统工程信息的最基本性质;2、适时性:反映了信息系统工程信息具有突出的时间性的特点;3、复杂性:4共用性和增值性
信息系统工程信息资料的划分:按照工程建设信息的性质划分:引导信息;辨识信息。用途:投资控制、进度、质量、合同、组织、其他
文档管理过程中应该注意的事项:文档的格式应该统一;文档版本要统一;文档的存档标准要统一规定。
监理在信息管理中的主要文档:1、总控类文档:指承检合同、总体方案、项目组织实施方案、技术方案、项目进度计划、质量保证计划、资金分解计划、采购计划、监理规划及实施细则等文档;2、监理实施类文档:工程项目变更监理文档、工程进度监理文档、工程质量监理文档、工程监理日报、工程监理月报、工程验收监理报告、工程监理总结报告;(了解每一种报告包含的主要内容)3监理回复(批复)类文件:总体监理意见、系统集成监理意见、软件开发监理意见、培训监理意见、专题监理意见、其它监理意见、提交资料回复单等。4监理日志及内部文件。
日报:针对近期的工程进度、工程质量、合同管理及其他事项进行综合、分析,提出必要的意见
月报:工程概况;监理工作统计;工程质量控制;工程进度控制;管理协调;监理总评价;下月监理计划
验收报告:工程竣工准备工作概述;验收测试方案与规范;测试结果与分析;验收测试结论
总结报告:工程概况;监理工作统计;工程质量概述;管理协调概述;监理总评价
组织协调的基本原则:公平、公正、独立的原则:即“一碗水端平”;守法原则;诚信原则;科学原则。
组织协调的监理单位常用方法:监理会议:项目监理例会;监理专题会议;监理报告:定期的监理周报、月报;不定期的监理报告;监理通知与回复;日常的监理文件;监理作业文件;应掌握的沟通原则:1、排除第一印象干扰;2、把握人际关系认知的规律;3、创造良好的人际交往条件:(外表问题;态度的类似性;需求的互补性、时空上的接近性。)
信息网络系统的体系框架:网络基础平台、网络服务平台、网络安全平台、网络管理平台、环境平台
网络监理方法:评估、网络仿真、现场旁站、抽查测试、网络性能测试
信息网络系统的验收:设备的验收和系统的验收
了解信息网络系统建设准备阶段的过程划分:立项、工程准备、招标等。
立项评审的基本原则:简单性、灵活性、完整性、可靠性、经济性等。
开标过程:招标、投标、开标、评标、决标、授予合同
立项阶段监理应协助业主做的工作(任务):了解业主现有的人力物力情况;为新系统的建设确定项目组织和人员配备;编制立项申请报告,并提交给上级主管部门;撰写项目可行性报告。
可行性分析的四个主要方面:经济可行性、技术可行性、系统生存环境可行性、各种可选方案。
可行性分析研究的内容:系统建设的必要性;系统实施计划;系统建设的经济效益。
招标阶段监理的重要工作:评估投标单位总体技术方案;审查承建方的实力;把好工程投资关。
监理方在设计阶段的主要工作是进行方案评审,包括:设计组织人员与职责的评审、需求分析符合程度的评审、风险分析、技术经济分析、设计进度的检查、系统边界清晰和完整性评审、系统安全性评审、知识产权保护建议等。
设计阶段的监理工作主要包括以下内容:1、结合信息工程项目特点,收集设计所需的技术经济资料。2、配合设计单位对方案设计进行技术经济分析,优化设计。3、协助业主进行设计文件的评审。4、参与主要设备、材料的选型工作。5、审核方案中主要设备、材料清单。6、审核系统设计方案及其他详细设计文件。7、组织设计文件的报批。8、对方案设计内容进行知识产权保护监督。9、审核技术放案中信息安全保障措施。10、协助业主对工程建设周期总目标进行分析讨论。11、审核承建方编制的工程项目总进度计划,并在项目实施过程中控制其执行。12、如果与合同有冲突,应督促承建方调整工程进度计划。审核承建方编制的各分项工程阶段进度计划,根据实际环境的变化,督促承建方及时调整进度计划。13审核工程设计和承建方的设备/材料清单和采购计划,并检查、敦促其执行。
设计方案评审的基本原则:1、标准化原则;2、先进性和实用性原则;3、可靠性和稳定性原则;可扩展性原则;4、安全性原则;5、可管理性原则;6、对原有设备、7、资源合理整合的原则;8、经济和效益性原则。
网络基础平台方案重点:网络整体规划、网络设备选型、服务器和操作系统选型、存储备份系统选型
网络服务平台方案重点:Internet网络服务系统规划和选型、多媒体业务网络规划和选型、数字证书系统规划和选型
网络安全和管理平台方案重点:防火墙系统;入侵监测和漏洞扫描系统;其他网络安全系统;网络管理系统
环境平台方案的评审:机房建设、综合布线系统
网络安全系统监理方应重视以下几方面的内容:1、风险分析的有效性、准确性。2、确保符合国家法令、法规的要求。3、保证有关评审是在相关职能部门的主持下完成的。4、从技术、市场、工程组织实施、售后服务等各个环节对网络系统的安全性进行整体和分项评估,避免出现任何技术和管理漏洞。
本阶段监理重点归纳:严把方案设计关。统筹规划、充分论证:技术路线、策略和容量配置。细化需求分析工作。跟踪最新行业标准。加强量化测试的重要性
信息网络系统建设实施阶段的监理:实施阶段的监理工作的重点就是“三控两管一协调”。主要监理内容包括:开工前的监理、实施准备阶段的监理、实施阶段的监理(网络集成与测试阶段)。
开工前:审核实施方案、进度计划、实施组织计划、承建单位及个人相关资质。
准备阶段:了解实施的各种活动准备情况。
实施阶段:1组织布线、网络和安全系统方案评审;2对现场布线施工情况等进行检查;3评审项目验收大纲并对各子系统进行测试验收;4移交相应文档并组织相应最终测试验收。
设备采购的监理主要职责:审核承建方的采购计划和采购清单;设备质量、到货时间的审核;订货、进货确认;组织到货验收;设备移交审核;外购硬件和软件的监理。
设备采购监理的重点:设备是否与工程量清单、合同规定的规格相符;设备说明书等证明文件是否齐全;到货是否及时;配套软件是否成熟。
监理流程:承建商提前三天通知设备到货地点、时间,提交清单;协助业主方做好到货验收准备,进行设备验收,发现缺损由承建商负责更换;提交验收报告。
机房工程的监理重点:审查好施工组织方案,重点检查是否有保证工程质量的措施;控制好施工人员资质;严格贯彻《建筑智能化系统工程实施及验收规范》;深入现场落实随装随测的要求。
综合布线的监理综合布线工程包括综合布线设备安装、布放线缆、缆线端接三个环节。综合布线的监理内容主要有两项:按照国家相关标准审查承建方人员施工是否规范;到场设备的验收。
隐蔽工程的监理金属线槽安装:吊架按照相关标准安装;线槽按照规范安装;线槽内配线按照要求安装,线缆不得扭绞,两端贴标签等。
管道安装:要点与金属线槽基本相同,应注意管道的弯曲半径要大于管道直径的6倍。
布线系统测试:测试内容主要是干线、支线连通情况;跳线测试;数据线参数测试。
网络系统安装调试的监理:任何一个网络系统的实施都至少包括两个部分,逻辑设计与物理实现。网络系统的调试与安装通常分为以下几步:网络系统的详细逻辑设计;全部网络设备加电测试;模拟建网调试及连通性测试;实际网络安装调试。
验收的前提条件:1、所有建设项目按照批准设计方案要求全部建成,并满足使用要求。2、各个分项工程全部初验合格。3、各种技术文档和验收资料完备,符合集成合同的内容。4、系统建设和数据处理符合信息安全的要求。5、外购的操作系统、数据库、中间件、应用软件和开发工具符合知识产权相关政策法规的要求。6、各种设备经加电试运行,状态正常。7、经过用户同意
验收方案的审核与实施:1、确认工程验收的基本条件(是否符合合同规定的各项内容,文档是否完备,售后服务和培训计划是否完备)。2、建议业主、 承建方共同推荐人员组成验收组。3、确认工程验收是应达到的标准和要求。4确认验收程序,(验收准备—初步验收—正式验收—验收资料的保存)。
工程验收的组织:工程验收组一般由业主方组织,监理方、承建方共同参与;验收组应有明确分工,一般为测试小组、资料文档评审小组、工程质量鉴定小组。
售后服务与培训监理:督促承建方按照合同规定,向业主提供相应的培训服务。
验收监理主要内容:1、系统整体功能、性能。2、主要设备(或子系统)的功能、性能。3、承建方提交文档的种类和内容。4、系统设计、开发、实施、测试各个阶段涉及的工具和设备都具备合法的知识产权。5、承建方的质量保证和售后服务体系。6、承建方采取必要的管理和工程措施,以方便系统的扩容和升级。
网络基础平台的验收
1、网络基础平台的整体性能:网络整体性能(网络连通性能;网络传输性能;网络安全性能;网络可靠性能;网络管理性能);服务器整体性能(服务器设备连通性能;服务器设备提供的网络服务;服务器设备可靠性能;服务器设备的压力测试);系统整体压力测试验收(网络压力测试、系统运行监控测试)。
2、网络设备:网络检测主要考虑的指标,吞吐量,包丢失,延时,背靠背性能
3、服务器和操作系统
4、数据存储和备份系统
服务平台的验收
Internet 网络服务:(电子邮件服务器;www服务器)
多媒体业务网络:(voip网络、视频会议系统)
数字证书系统(ca系统,ra系统)
网络安全和管理平台的验收
主要是对系统中的设备进行验收,包括:防火墙,入侵监测和漏洞扫描系统(入侵监测、漏洞扫描)、其他网络安全系统(网络防病毒、安全审计、Web信息防篡改系统)、网络管理系统(网络管理、系统管理、运行维护管理)等设备。
环境平台的验收
机房工程:机房工程主要系统的验收:UPS电源系统,接地系统,门禁系统、消防系统、照明系统、空调系统。
综合布线系统:1、环境的验收,主要是各配线间场地的选择以及温湿度的控制;2、器材的验收,必须与合同规格等要求相符,符合相关的国家标准,线缆必须满足各项参数要求,机柜等的安装注意事项。3、设备安装的验收
说明:信息网络系统的验收应以网络设计的总体设计为基础,主要验证系统的整体性能和主要设备运行性能。另外,在验收工作中,要认识到,应用是根本,应用系统是信息系统的核心。
软件包括程序、数据及其相关文档的完整集合。
软件特点:1、软件是一种逻辑实体,具有抽象性;2、软件的质量控制必须着重在软件开发方面下功夫;3、软件在使用过程中,有修改与维护;4、软件的开发与运行依赖于计算机系统;5、软件开发还是手工方式;6、软件本身是复杂的;7、软件成本昂贵;8、软件工作涉及社会因素。
由于工程中甲乙双方的信息量的不对称性、信息管理的不对称性使得第三方介入的必要性存在。
监理目标是通过监理工程师的工作,力求在项目的成本、进度和质量目标内实现建设项目。
监理方的质量控制体系主要有质量管理组织、项目质量控制、设计质量控制程序、开发质量控制程序、测试质量控制程序和系统验收质量控制程序。
进度控制的目标是在规定的时间内,保质保量地完成应用软件系统建设的全部工作。内容:主要是监控项目的进度、比较实际进度与计划的差别、修改计划使项目能够返回预定“轨道”。
进度控制措施有组织、技术、合同、经济和信息管理措施。
进度控制的监理要点:1、有明确项目控制的目的及工作任务。2、加强来自各方面的综合、协调和督促。3、要建立项目管理信息制度。4、项目主管应及时向领导汇报工作执行情况,也应定期向客户报告,并随时向各职能部门介绍整个项目的的进程。5项目控制包括对未来情况的预测、对当时情况的衡量、预测情况和当时情况的比较和及时制定实现目标、进度或预算的修正方案。
成本控制的内容:1、监控费用执行情况以确定与计划的偏差。2、确使所有发生的变化被记录到费用线上。3、避免不正确的、不合适的或者无效的变更反映到费用线上。4、股东权益改变的各种信息
招投标阶段主要任务:是协助业主制定招标文件和评标标准,监督招标过程,对投标单位进行资质审查,确定中标单位后,参与业主和中标单位的合同谈判,协助业主确定合同条款并最终签订信息应用系统建设合同。
可行性研究包括四个方面的研究::经济可行性:指成本/效益分析,从经济角度判断系统是否“合算”。技术可行性:指技术风险评价,从建设基础、问题的复杂性等出发,判断系统开发在时间、费用等限制条件下成功的可能性。法律可行性:确定系统开发可能导致的任何侵权、妨碍和责任。方案的选择:评价系统或产品开发的几个可能的候选方案,并最终给出结论意见。
招标过程:招标:投标、开标:评标:中标:
确定招标方式:1、若可以拟定详细的条件,而且服务的性质准许采用招标方式,则可采用公开或邀请招标的方式进行。2、若不能确切拟定或最后拟定条件,或采购的服务相当复杂,可采用征求建议书、邀请建议书、两阶段招标、竞争性谈判、设计竞赛等方式。3、与其他形式的服务相比,聘用专家提供咨询、研究、监理等服务更侧重对专家知识、技能、经验方面的考虑,故有独特的方式。
审查承建方单位资质:监理单位的主要工作是,协助业主单位对承建单位资质进行审查,如承建单位的软件企业认定情况、系统集成资质情况等,同时考察承建单位在以往的开发过程中是否从事过与本项目相关或相似的开发工作,帮助业主单位选择合格的承建单位,减小项目实施的风险。
审查承建方单位质量管理体系:承建方的质量管理体系是否提供相关认证或评估,标志着承建单位对质量管理的重视程度,也在一定程度上决定了承建单位产品或服务质量水平,因此监理方需对承建单位的质量管理体系进行审查,目前软件企业所遵循的质量管理体系主要有两种:软件能力成熟度模型;ISO质量管理体系
监督招标过程:开标过程监理、评标过程监理、决标过程监理
合同签订管理:监理工程师在与业主与承建单位订立合同的过程中要按条款逐条分析,若发现对业主产生风险较大的条款,要增加相应的抵御条款,要详细分析哪些条款与业主有关、与承建单位有关、与工程检查有关、与工期有关,分门别类分析各自责任和相互联系的关联,做到一清二楚,心中有数。
分析设计阶段监理对应软件工程过程中的软件需求分析和软件设计过程。
此阶段主要任务是评审承建单位提交的项目开发计划、质量保证计划和验收计划,这些计划可以作为合同的一部分或合同附件;对需求分析和设计进行质量控制,对由各种原因导致的变更进行控制,协调业主和承建单位的关系。
分析设计阶段的系统建设任务:需求分析阶段进入条件。需求分析的目标。需求分析的任务。需求分析阶段成果。设计阶段进入条件。软件设计的目标。软件设计的任务。软件设计的成果。分析设计阶段监理工作内容
项目计划监理的目的:对软件计划的相关内容(重点是组织、技术标准、开发计划、进度要求等)、项目计划过程、项目计划组织、文档格式进行审查,确认是否满足要求;给出是否符合要求的结论;确定其可否做为软件开发的前提和依据。
项目计划监理的基本准则:1承建单位制定了软件项目计划,同时该项目计划通过正式的评审,2软件项目计划对项目组织、进度计划、工程标准进行了承诺,3项目的风险分析合理,风险管理方案可行。4项目的阶段划分是明确的。
软件质量管理体系监理(软件管理过程监理的内容):1、监督应用软件系统建设承建单位根据项目合同和业主应用软件系统需求,制定项目软件工程和管理活动,结合成为密切相关、定义完整的项目软件过程。2、评估项目软件过程的技术合理性,包括是否符合标准和规范,是否符合项目合同和业主技术要求。3、项目软件过程文档化,并得到批准;监督和控制承建单位的项目软件过程的状态,促使承建单位支持和实施项目软件过程,提高软件项目实施的计划性,减少软件项目实施的风险。4、监督应用软件系统建设承建单位在软件开发过程中按照项目软件过程的规范实施,跟踪、记录和审查软件管理过程活动
软件质量保证计划监理:1、确保项目遵循书面的承建单位管理策略来实施软件质量保证,承建单位成立了软件质量保证活动的组织。2、控制承建单位依据书面规程,为软件项目制定软件质量保证计划,保障软件质量保证计划符合项目软件过程的规范要求。3、参加承建单位的软件质量保证组按照软件质量保证计划进行的活动。4、参加承建单位的软件质量保证组评审软件工程活动,验证软件工程活动与软件项目计划的一致性。5、参加承建单位软件质量保证组审核指定的软件产品,依据指定的软件标准、规程和合同需求对可交付的软件产品进行评价,验证软件产品与软件项目计划的一致性。6、控制承建单位依据书面规程,归档和处理软件活动和软件工作产品中的偏差,管理和控制不一致性问题的文档。7、软件监理人员和业主的软件质量保证人员定期对软件质量保证组的活动和结果进行评审。8、跟踪和记录软件质量保证活动的情况,审查软件质量保证活动,并给出软件质量保证监理报告。
软件配置管理监理:1、确保应用软件系统建设承建单位的配置管理组织和环境按照软件项目计划的要求成立并配备。2、控制承建单位依据书面规程,为应用软件系统建设项目制定软件配置管理计划。3、监督承建单位使用审批通过的、文档化的软件配置管理计划作为实施软件配置管理活动的基础。4、控制承建单位依据的书面规程,对所有配置项/单元的更改请求和问题报告实施初始准备、记录、评审、批准、和跟踪。5、监督承建单位依据书面规程,控制对基线的更改。6、控制承建单位编制软件配置管理报告,证明软件配置管理活动和软件基线库的内容,并提供给业主。7、监督承建单位依据书面规程,进行软件基线库的审核,进行软件配置管理活动状态的跟踪和记录。8、定期审查软件配置管理活动和软件配置管理基线,以验证它们与文档定义的一致性。9、审核软件配置管理活动及其工作产品,并给出软件配置管理监理报告。
需求说明书评审内容: 清晰、完整、依从、一致、可行、可管理性
【编辑推荐】