基于企業(yè)網(wǎng)絡(luò)安全工作項(xiàng)目化的探究

◆朱 斌

基于企業(yè)網(wǎng)絡(luò)安全工作項(xiàng)目化的探究

◆朱 斌

（廣西沿海鐵路股份有限公司 廣西 530000）

網(wǎng)絡(luò)安全一直以來都是企業(yè)中不可割舍的工作，在企業(yè)信息化發(fā)達(dá)的當(dāng)下，網(wǎng)絡(luò)安全工作在管理和技術(shù)方面都必不可少，安全管理工作更是重中之重。企業(yè)一般有自己的IT技術(shù)團(tuán)隊(duì)，或者通過購買第三方安全服務(wù)來做網(wǎng)絡(luò)安全管理，而管理方法也是多種多樣。本文是用項(xiàng)目化的思路來管理企業(yè)的網(wǎng)絡(luò)安全工作，對其進(jìn)行探究。

企業(yè)；項(xiàng)目化；網(wǎng)絡(luò)安全；管理思路

0 引言

現(xiàn)今網(wǎng)絡(luò)安全問題日益嚴(yán)峻，如何有效地做好網(wǎng)絡(luò)安全工作，進(jìn)行有效的安全管理，一直是企業(yè)所面臨的重要問題。其中一個(gè)新思路就是引用項(xiàng)目的形式來管理和開展網(wǎng)絡(luò)安全工作。

項(xiàng)目指一系列獨(dú)特的、復(fù)雜的并相互關(guān)聯(lián)的活動(dòng)，它有著一個(gè)明確的目標(biāo)或目的，必須在特定的時(shí)間、預(yù)算、資源限定內(nèi)，依據(jù)規(guī)范完成。所謂項(xiàng)目管理，就是項(xiàng)目的管理者，在有限的資源約束下，運(yùn)用系統(tǒng)的觀點(diǎn)、方法和理論，對項(xiàng)目涉及的全部工作進(jìn)行有效地管理。即從項(xiàng)目的投資決策開始到項(xiàng)目結(jié)束的全過程進(jìn)行計(jì)劃、組織、指揮、協(xié)調(diào)、控制和評價(jià)，以實(shí)現(xiàn)項(xiàng)目的目標(biāo)。

1 安全管理項(xiàng)目化概述

1.1 基本要求

網(wǎng)絡(luò)安全工作經(jīng)過這幾年的飛速發(fā)展，已經(jīng)成為許多企業(yè)中的一項(xiàng)重要工作。作為企業(yè)中網(wǎng)絡(luò)安全的管理者或執(zhí)行者，有必要深入了解與關(guān)注網(wǎng)絡(luò)安全的發(fā)展趨勢和法律法規(guī)等。

首先網(wǎng)絡(luò)安全工作的基本要求方面，企業(yè)應(yīng)該考慮到自身?xiàng)l件，清楚企業(yè)中的從事安全崗位人員的能力，條件滿足時(shí)使得安全工作最優(yōu)化；若本身企業(yè)安全業(yè)務(wù)能力欠缺，在預(yù)算允許時(shí)，可通過外包給有資質(zhì)的第三方安全服務(wù)團(tuán)隊(duì)來做。

無論在什么條件下，想做好網(wǎng)絡(luò)安全工作，就要方法得當(dāng)。項(xiàng)目化安全工作，對于項(xiàng)目來說，安全工作可看成一個(gè)長期的項(xiàng)目，需要組建一個(gè)項(xiàng)目團(tuán)隊(duì)，有項(xiàng)目經(jīng)理和項(xiàng)目成員。項(xiàng)目經(jīng)理可以由主管安全的領(lǐng)導(dǎo)擔(dān)任，項(xiàng)目成員由相關(guān)專業(yè)技術(shù)人員擔(dān)任。除了有相應(yīng)資質(zhì)的人員擔(dān)任該職務(wù)外，還需考慮加入有經(jīng)驗(yàn)的人員。項(xiàng)目經(jīng)理制定工作目標(biāo)、項(xiàng)目計(jì)劃、監(jiān)控項(xiàng)目過程、質(zhì)量、風(fēng)險(xiǎn)等，相應(yīng)的人員制定項(xiàng)目實(shí)施方案、配備相應(yīng)的工具等等。圖1簡要展現(xiàn)了項(xiàng)目組織結(jié)構(gòu)。

圖1 項(xiàng)目組織結(jié)構(gòu)

1.2 風(fēng)險(xiǎn)評估

風(fēng)險(xiǎn)評估作為評估企業(yè)資產(chǎn)風(fēng)險(xiǎn)的一種科學(xué)方法，得到了業(yè)界的認(rèn)可，已寫在法律律文中，同時(shí)也有相應(yīng)的國家標(biāo)準(zhǔn)。

而一次風(fēng)險(xiǎn)評估工作可看作一個(gè)循環(huán)開展的短項(xiàng)目，即需組建風(fēng)險(xiǎn)評估團(tuán)隊(duì)，風(fēng)險(xiǎn)評估的架構(gòu)可參考上一章節(jié)的組織框架，有需要時(shí)還可以聘請第三方技術(shù)專家組成骨干技術(shù)專家小組。作為一個(gè)項(xiàng)目，首先要確定評估依據(jù)和評估方法。

項(xiàng)目方案制定，在項(xiàng)目團(tuán)隊(duì)以建立的基礎(chǔ)上，明確角色、職責(zé)；制定工作計(jì)劃，包括工作內(nèi)容、工作形式、工作成果等；計(jì)劃和制定項(xiàng)目的實(shí)施時(shí)間與進(jìn)度。

風(fēng)險(xiǎn)評估的準(zhǔn)備工作，先是資產(chǎn)識(shí)別、威脅識(shí)別、脆弱性識(shí)別，通過風(fēng)險(xiǎn)評估風(fēng)險(xiǎn)計(jì)算方法評估出風(fēng)險(xiǎn)等級，將發(fā)現(xiàn)的風(fēng)險(xiǎn)進(jìn)行處置，直到企業(yè)可以接受的范圍，最后形成相應(yīng)的成果報(bào)告。具體詳細(xì)的方法可閱讀GBT 20984-2007《信息安全技術(shù)信息安全風(fēng)險(xiǎn)評估規(guī)范》。

風(fēng)險(xiǎn)評估工作項(xiàng)目化是一個(gè)非常值得推薦的方式，直接購買第三方風(fēng)險(xiǎn)評估服務(wù)的工作模式也如此，企業(yè)自行以項(xiàng)目化的形式開展風(fēng)險(xiǎn)評估工作也基本相同。

1.3 安全集成

安全集成是指從事計(jì)算機(jī)應(yīng)用系統(tǒng)工程和網(wǎng)絡(luò)系統(tǒng)工程的安全需求界定、安全設(shè)計(jì)、建設(shè)實(shí)施、安全保證的活動(dòng)。

若企業(yè)有這個(gè)需求和能力，也可以采用項(xiàng)目化的形式，組成該項(xiàng)目組。以項(xiàng)目開始的團(tuán)隊(duì)建立、方案設(shè)計(jì)、建設(shè)實(shí)施、安全保證、運(yùn)行維護(hù)，到最后的培訓(xùn)等，各個(gè)環(huán)節(jié)和工作都需要有相應(yīng)的項(xiàng)目成員參與實(shí)施，由項(xiàng)目經(jīng)理把控、監(jiān)督與驗(yàn)收等。即企業(yè)的安全集成工作也是可以項(xiàng)目的形式開展。

1.4 應(yīng)急響應(yīng)

網(wǎng)絡(luò)安全應(yīng)急響應(yīng)涵蓋了安全事件發(fā)生后為維持和恢復(fù)網(wǎng)絡(luò)而進(jìn)行的一系列活動(dòng)，包括準(zhǔn)備、檢測、抑制、根除、恢復(fù)、總結(jié)等六個(gè)階段。好像看似與項(xiàng)目化沒什么聯(lián)系，但是如果也將應(yīng)急響應(yīng)工作看成一個(gè)臨時(shí)性項(xiàng)目，是需要一個(gè)項(xiàng)目團(tuán)隊(duì)的。

應(yīng)急響應(yīng)開展應(yīng)注意一些原則，如保密性原則、規(guī)范性原則、最小影響原則等。在應(yīng)急響應(yīng)項(xiàng)目前的一些準(zhǔn)備工作，應(yīng)有風(fēng)險(xiǎn)評估項(xiàng)目團(tuán)隊(duì)人員配合，進(jìn)行風(fēng)險(xiǎn)評估，進(jìn)行業(yè)務(wù)影響分析，并制定應(yīng)急響應(yīng)預(yù)案。

1.5 安全培訓(xùn)

安全培訓(xùn)可對企業(yè)中安全管理、建設(shè)、運(yùn)行維護(hù)等與網(wǎng)絡(luò)和信息安全相關(guān)的崗位人員進(jìn)行開展，它是以提高安全意識(shí)、安全素質(zhì)和安全技能為目的教育培訓(xùn)活動(dòng)。

安全培訓(xùn)工作也是一項(xiàng)重要的長期的工作，畢竟按照人員管理，入職前培訓(xùn)是必不可少的。作為一個(gè)培訓(xùn)項(xiàng)目來講，也需要很多工作，如需求分析、制定培訓(xùn)計(jì)劃、培訓(xùn)前準(zhǔn)備、實(shí)施培訓(xùn)、培訓(xùn)評價(jià)等。

1.6 等級測評

等級測評主要針對的是需要進(jìn)行等保測評的系統(tǒng)，除了一些特殊行業(yè)有本行業(yè)標(biāo)準(zhǔn)外，大部分企業(yè)還是按照國家標(biāo)準(zhǔn)來開展等級測評。等級測評中應(yīng)該注意風(fēng)險(xiǎn)問題，一為影響系統(tǒng)正常運(yùn)行的風(fēng)險(xiǎn)；二為敏感信息泄露風(fēng)險(xiǎn)。項(xiàng)目組應(yīng)提早做好等級測評風(fēng)險(xiǎn)的規(guī)避工作，等級測評過程包括四個(gè)基本測評活動(dòng)：測評準(zhǔn)備活動(dòng)、方案編制活動(dòng)、現(xiàn)場測評活動(dòng)、報(bào)告編制活動(dòng)。

企業(yè)的等級測評項(xiàng)目組開展完此項(xiàng)工作，并同時(shí)做好相應(yīng)整改工作，則也可邀請有資質(zhì)的等級測評機(jī)構(gòu)來做測評與協(xié)助整改。設(shè)立等級為二級及以上的系統(tǒng)，通過測評后，企業(yè)將拿到公安的等級備案證明。若企業(yè)自身無此差距測評的能力，可購買具有信息安全等級保護(hù)安全建設(shè)服務(wù)機(jī)構(gòu)資質(zhì)的企業(yè)的服務(wù)支持，企業(yè)內(nèi)部人員與合作方共同組建項(xiàng)目組。

2 項(xiàng)目化管理要求及過程

2.1 項(xiàng)目化管理要求

網(wǎng)絡(luò)安全工作若以項(xiàng)目化的形式開展，則企業(yè)需對項(xiàng)目進(jìn)行科學(xué)的管理，實(shí)現(xiàn)組織架構(gòu)、風(fēng)險(xiǎn)管理、合同管理、協(xié)調(diào)管理、監(jiān)控管理、進(jìn)度控制、變更管理的嚴(yán)格控制。

前文也簡要講述了一些項(xiàng)目的要求，項(xiàng)目管理方法也尤其重要，如要有：階段化管理、量化管理和優(yōu)化管理三個(gè)方面。使安全工作項(xiàng)目化之后的優(yōu)勢，可將安全工作能夠在有限資源的限定條件下，實(shí)現(xiàn)或超過設(shè)定的需求和期望。

2.2 項(xiàng)目化管理過程

安全項(xiàng)目化管理中，可涉及項(xiàng)目整體管理、項(xiàng)目時(shí)間管理、項(xiàng)目成本管理、項(xiàng)目質(zhì)量管理、項(xiàng)目人力資源管理、項(xiàng)目溝通管理、項(xiàng)目風(fēng)險(xiǎn)管理和項(xiàng)目采購管理等幾方面。

對于企業(yè)項(xiàng)目化的安全工作，項(xiàng)目過程管控非常重要。從啟動(dòng)各過程到收尾各過程，需要規(guī)劃和有效執(zhí)行，并監(jiān)控整個(gè)過程。在識(shí)別過程中，資產(chǎn)識(shí)別、威脅識(shí)別、脆弱性識(shí)別，每個(gè)過程都需要合理合規(guī)，規(guī)避風(fēng)險(xiǎn)，做到全過程監(jiān)控。整個(gè)項(xiàng)目過程除了有各項(xiàng)管理，有一位或多位有豐富經(jīng)驗(yàn)的項(xiàng)目經(jīng)理也至關(guān)重要。

企業(yè)中開展安全工作，無論采用什么方式開展，管理極為重要，技術(shù)和管理需要同步進(jìn)行。

3 總結(jié)

作為網(wǎng)絡(luò)安全工作，企業(yè)有要求有責(zé)任，管理的方法、實(shí)施的方法千差萬別不離其一，管理人才與技術(shù)人才，也是企業(yè)安全工作的核心資產(chǎn)。所有的工作均可采用項(xiàng)目化的形式開展，項(xiàng)目管理中注重目標(biāo)、監(jiān)控過程方法和質(zhì)量、規(guī)避風(fēng)險(xiǎn)等，網(wǎng)絡(luò)安全工作切不可盲目開展，最終可能導(dǎo)致企業(yè)費(fèi)時(shí)費(fèi)力，而安全工作成果不理想。

最后對基于企業(yè)網(wǎng)絡(luò)安全工作項(xiàng)目化的總結(jié)如下：

（1）明確企業(yè)網(wǎng)絡(luò)安全工作的要求、責(zé)任、目標(biāo)和意義；

（2）風(fēng)評、測評、集成、應(yīng)急、培訓(xùn)等基本工作落實(shí)到位；

（3）采用項(xiàng)目化的形式開展和管理網(wǎng)絡(luò)安全工作，各司其職、相互配合；

（4）企業(yè)注重專業(yè)網(wǎng)絡(luò)安全人才的培養(yǎng)，一為管理人才，二為技術(shù)人才；

（5）優(yōu)化管理方法、制定管理制度，考核制度分明，完善企業(yè)安全體系。

[1]孫強(qiáng)，劉新，于灝.企業(yè)網(wǎng)絡(luò)信息安全管控平臺(tái)的設(shè)計(jì)與展望[J].信息技術(shù)，2018，42(12)：57-60.

[2]黃建業(yè).“互聯(lián)網(wǎng)+”時(shí)代背景下企業(yè)網(wǎng)絡(luò)安全的思考[J].網(wǎng)絡(luò)安全技術(shù)與應(yīng)用，2018(11)：83，85.

[3]崔堯.企業(yè)信息化建設(shè)中的網(wǎng)絡(luò)安全管理問題[J].電子技術(shù)與軟件工程，2018(16)：198.