我是北大磊哥,关注我,每周分享干货!请务必看完文章,最后出来的才是压轴的。
风险管理
近年来随着人们对生活环境要求的不断提升,国家不断加大对治理和保护水环境的要求和力度。2019年6月,公司中标了某市水文局发布的《某某河流水环境智能检测模拟预警平台》项目(以下简称智能水环境系统),我参与该项目的前期调研分析、可行性研究、前景论证工作以及项目投标,在项目管理办公室发布的项目章程汇总我被任命为项目经理。该项目作为本市五年计划的重点项目,作为智慧城市建设的组成部分,投资金额为800万元,建设工期为18个月。
该项目通过对河流流域和水体的水环境进行实时监控和指标采集,利用建立的人工智能模型对重大污染和洪水等自然灾害进行提前预警,生成评估报告和专家建议等。其主要原理是通过物联网的传感器获取数据,由4G/5G无线网络传输数据至云端,利用数据仓库技术进行计算和存储;然后经过大数据技术和智能模拟仿真平台进行模拟和分析,得出事物的现状和发展的规律并及时预测未来重大问题和灾害,可以为政府管理部门提供河流的实时水质水文指标数据和预测模拟情景,为社会的生产生活提供更加有效的服务。该项目主要采用java和Python语言,运用了 SpringCloud, HBase, Spark, Kafka, 百度Paddle等技术,应政府国产化要求要求,承载部分采用金蝶中间件,综合管理功能部分数据库采用人大金仓数据库KingBaseESV8,采用集群分布式技术部署在政务云服务器Linux操作系统上。
该项目作为某市重点项目公开招标,受到社会多方面关注,时间紧任务重社会影响大的特点,经公司同意,我组建了项目型团队,经过和专家团队讨论,预计该项目需要人力资源约为18人,其中需求分析3人,开发小组7人,测试小组3人,质量控制小组2人,实施小2人,配置管理1人,每个小组组长直接向我汇报。之后我们共同制定了责任分配表格,将任务分配到具体成员。
风险管理
该河流总长度约90公里,流域面积约2500平方公里,涉及干系人众多。需求、沟通、技术等制约因素较多,且根据物联网项目的建设经验,涉及到的相关部门和人员较多,风险因素较多。如果做不好项目的风险管理,项目的成功就无从谈起,作为项目经理,我带领项目团队通过规划风险管理,综合使用风险识别技术识别系统的潜在风险,对识别的风险进行定性和定量分析,做好规划风险应对以及控制风险等工作,保障了项目工作有条不絮地进行,为后期项目管理奠定了坚实的基础。
风险管理
项目的风险源于项目的临时性和不确定性,在智能水环境项目刚启动的时候我就深深意识到项目的风险是必然的,不能完全避免的。但是只要主动、积极进度风险分析和科学的管理,争取避免发生或者尽量减少风险发生后的影响,绝大多数的风险都是可以通过一定的规划来应对的,甚至可以抓住风险带来的机遇,提高项目干系人的收益。
所以,项目启动之初,我就召集项目团队全体成员,以头脑风暴的形式列出项目所有可能的风险,随后,我又邀请了公司的风险分析专家、某市水文局的处长、基层工作人员等尽量广泛的项目干系人,充分参与和讨论,共同制定了详细的项目风险管理计划。
风险管理计划中确定了1、基本的风险管理活动包括识别风险、风险定性和定量分析、规划风险应对、风险控制, 2、成立了风险管理小组并且明确了各自的职责范围 3、风险管理要求每两周进行一次风险评估会, 4、依据以往的项目经验明确了风险的分类原则 5、列出一个风险管理概率和影响的量表 6、计划中特别注意写了干系人风险承受力的大致范围的描述。经过大家的一致评审,形成了共识的风险管理计划指导后续活动的进行提供了方向和指南。
风险管理
识别风险就是要确定哪些风险会对项目造成影响,记录下风险的属性,并形成风险分解结构(RBS)。我在项目网站上发布了风险管理计划、风险模板和公司项目风险库,让项目团队成员有准备地参加风险识别的头脑风暴会议,会议根据项目的实际情况,把项目中的风险划分为技术风险、团队风险、外部风险三大类,采用风险分解结构形式列举了已知的风险。通过风险识别,整理出可能发生在项目各个阶段的70余条风险。我还充分发挥沟通职能通过公司的BBS平台,利用茶余饭后的访谈来捕获项目中随时产生的新风险。在识别上述风险后,我们还确定了这些风险的基本特性,引起这些风险的主要因素,以及可能会影响项目的方面,形成了详细的风险列表记录。
我定期组织团队成员和项目关系人对RBS的各种工作要素可能存在的风险进行充分的识别。确定引起这些风险的主要因素,以及评估这些风险可能引起的后果,在风险识别的过程中,我充分利用了假设分析和图解技术,以及SWOT分析等信息收集技术,制定了详细的风险登记册。
原创提示:本文首发在今日头条平台【北大磊哥】账号下,关注我,每周分享良心干货!
在智能水环境项目中,数据通过公共移动网络传输,由于数据的涉密性,系统在安全接入以及安全传输上存在一定的技术安全风险,系统外部风险则主要体现在,该项目要与政府内网的众多资源系统进行对接,这些系统存在不确定的风险,数据接口不尽相同,及时的获取相关技术规范以及对接口的测试存在不确定风险,内部及组织管理上的风险包括项目众多的干系人在需求上的变化及冲突、干系人与团队的沟通、团队成员间的冲突、团队骨干成员工程师的可能离职等。
定性风险分析
定性风险分析主要是对已识别的风险进行优先级排序,等级、类别、概率和影响性质的评估,在风险定性分析阶段,我们对识别出来的每一个风险进行了定性的风险分析并重点记录下来。同时还分析了该风险对项目可能的影响,包括对时间、成本和质量等各方面的影响。在这个阶段中,我们还是采用会议讨论的方式来进行的,我额外邀请了行业和技术两位专家参与到我们的风险分析会,提高结果的准确性。
在项目实际操作中,首先我们分析风险对项目目标进度、成本、质量的影响我们将风险影响定性为五级,分别为“非常低”、“低”、“中”、“高”、“非常高”如对成本增加的影响不显著定义为非常低数值为0.05,成本增加小于10%为低并赋予数值为0.1,成本增加10%-20%为中并赋予数值为0.2,成本增加20%-40%为高风险并赋予数值为0.4,成本增加40%以上为非常高并赋予数值为0.8 ;通过专家判断的方法对每个风险发生的概率进行了定性分析,这样我们对每个风险都进行了概率和影响的分析,然后归纳综合所有风险的概率和影响乘积在干系人承受力的范围下进行优先级顺序,通过分析我们认为需求风险、技术风险、人员风险是高风险,需要进行下一步分析,过程风险处于低优先级进入待观察清单内。例如,该项目的安全接入是最主要的技术风险,我从一开始便进行了识别分析,并有针对性地制定了应对计划,获得了市局领导的肯定。
定量风险分析
定量风险分析则是对风险对项目总体目标的影响进行量化分析,即确定风险的影响值。在这个过程中,我们采用了专家判断的方法,组织相关成员对需求风险、技术风险等高优先级的风险进行乐观、中性、悲观访谈估计,求得三个数值然后根据PERT技术,三角概率分布情况分析得到了高优先级风险的具体量化指标。同时,也利用我公司历史项目的数据,用来辅助评估。确定风险进行定量分析之后,更新了风险记录列表。例如,对于外部风险,我将需要配合接入测试的公司分类,分别进行影响的量化分析,根据龙卷风图,对影响最大的因素提早介入沟通,取得了不错的效果。
风险应对计划就是对经过定性、定量分析后所更新的项目《风险分析监控表》进行分析,进一步确定哪些是对项目有利的机会,哪些是对项目不利的威胁,并合理制订有针对性、可行的风险应对措施。
针对技术风险,我们制订的应对措施是与供应商负责人沟通,明确数据接口对接的重要性,先行与水文局专业技术人员了解中间业务平台原理,确认此项需求的可实现性,再商定实现方案及接口开发实施进度时间表,并约定三方负责人每周沟通进度及问题,避免因此接口问题造成整体进度滞后,系统无法近期上线。
风险应对策略
为避免外部风险,我们制订沟通计划,与干系人积极沟通,另外还指定一名技术协调人员,负责与用户方、各个接口开发商进行接口工作的联系,定期沟通汇报,一旦出现问题,项目组对具体问题进行分析研讨,及时响应;针对肉菜经营单位多,设备数量大种类多等情况,我们提前制作统计表进行设备相关信息汇总统计,并安排技术人员到经营单位进行现场考察、查看设备情况,由于进度紧人员少,我们将92个较分散的经营单位的设备升级改造进行外包,大大减轻了进度风险对整个项目的影响。
对于内部资源协调问题,我们与主管领导进行协商,从售后维护组专门抽调一名维护人员和本项目一名开发人员做之前那个项目的系统维护。只有在必须修改程序才能解决问题时,才由本项目中指定的开发人员负责对原系统问题进行修正。而在本项目中,在给该开发人员分配工作任务时考虑到其兼有维护任务,因此他所承担的工作为非关键路径的工作,且与其他系统模块关联较小,容易分解和转移到其他人员。从而可避免因维护原系统造成此项目进滞后问题的产生。
在经过以上几个步骤后,项目风险及应对措施已经比较清晰,这时就要进入风险监控过程。风险监控是执行风险应对措施,并连续对项目工作进行监督以发现新的风险和变化的风险。在此次项目的风险监控中,我们主要采取了风险评审、差异分析和技术绩效评估等方法,通过周期(两周)召开风险会议的方式进行,及时发现了项目建设过程中系统潜在的风险,从某种程度上将风险意识灌输到项目团队的每个人,客观上提高了项目小组的凝聚力。
除了以上这些管理过程,我认为还要做好变更和配置管理。在项目的实施过程中,由于用户需求、政策导向或新技术的出现都会导致变更不可避免,但我严格按照变更控制流程进行管理,并未导致项目范围有较大变动。同时也必须做好配置管理,否则容易造成版本混乱,权责不清。我们团队专门设置配置管理员,对项目进行定期不定期的配置状态审核等工作,保证配置项版本的统一。
经过我们团队不懈的努力,该项目于2021年1月通过水利部门的验收,极大地提高了他们的工作效率和信息化办公水平,同时也获得了河流沿岸相关关系人的积极评价。本项目的成功得益于良好的风险管理。总结这次管理实践经验,我认为做好风险管理,必须做到全员参与,调动相关关系人的积极性,增加他们的风险防范和应对意识,前期做好培训工作,定期进行监控检查。当然在本项目进行中也存在一些问题和经验教训,由于期间汛期雨水过多河流水流速度过快,导致几个传感器被冲走,我们团队及时的利用备件进行重新部署,并未对项目产生不良影响。这要求我在以后的项目管理实践中一定要做好风险管理工作,减少疏漏。在之后的工作和学习过程中,我将不断地学习充电,多于同行交流心得经验,提高自己的业务能力和管理水平,在数据化浪潮中争取为我国的信息化和工业化建设贡献自己一份力量。
PS:欢迎留言讨论,我会积极给予回复!
希望今天的分享能够对你有所启发,欢迎关注,评论和分享,听说关注我并转发的,能力和收入都嗖嗖涨呢!嗯,鲁迅说的
我是北大磊哥,关注我,每周分享干货!请务必看完文章,最后出来的才是压轴的。
本人参与两次“护网行动”网络攻防演习,深感信息安全的严峻性和重要性以及自己的不足,这方面还需要不断学习。
进入21世纪以来,信息网络安全领域的工作的重要性越来越凸显,信息技术的应用已经深入到国家社会生产生活的各个方面,稍有疏忽就可能造成极其严重的损失,当前较为常见的信息安全问题主要表现为:计算机病毒泛滥、恶意软件的入侵黑客攻击、利用计算机犯罪、网络有害信息泛滥、个人隐私泄露。钓鱼网站、电信诈骟社交软件诈骗等犯罪活动,已经成为直接骗取民众钱财的常见形式;网上有害信息泛滥个人隐私泄露严重,严重危害网民的身心健康,危害社会的安定团结。从最初的木马、蠕虫病毒、宏病毒、流氓插件、熊猫烧香、Stuxnet 震网(首个针对工业控制系统的计算机蠕虫,该蠕虫病毒感染并破坏了伊朗纳坦兹的核设施,并最终使伊朗的布什尔核电站推迟启动),DDOS恶意攻击,植入木马病毒控制计算机、非法删除拷贝数据、挖矿等;2017年出现的WannaCry勒索病毒和不声不响盗窃商用信息的程序,这些恶意程序的应对防护都是我们在做信息系统项目是所必须考虑的安全问题之一。2012,2017,2019年都考到了安全管理的论文,可知信息系统的安全管理在我们做项目管理的实践中确实是必不可少的。大型项目特别是政府项目都对安全提出明确的要求 。
论信息系统的安全管理
近年来随着人们对生活环境要求的不断提升,国家不断加大对治理和保护水环境的要求和力度。2019年6月,公司中标了某市水文局发布的《某某河流水环境智能检测模拟预警平台》项目以下简称水环境项目,我参与该项目的前期调研分析、可行性研究、前景论证工作以及项目投标,在项目管理办公室发布的项目章程汇总我被任命为项目经理。该项目作为本市五年计划的重点项目,作为智慧城市建设的组成部分,投资金额为800万元,建设工期为18个月。
水环境项目
该项目通过对河流流域和水体的水环境进行实时监控和指标采集,利用建立的人工智能模型对重大污染和洪水等自然灾害进行提前预警,生成评估报告和专家建议等。其主要原理是通过物联网的传感器获取数据,由4G/5G无线网络传输数据至云端,利用数据仓库技术进行计算和存储;然后经过大数据技术和智能模拟仿真平台进行模拟和分析,得出事物的现状和发展的规律并及时预测未来重大问题和灾害,可以为政府管理部门提供河流的实时水质水文指标数据和预测模拟情景,为社会的生产生活提供更加有效的服务。该项目主要采用java和Python语言,运用了 SpringCloud, HBase, Spark, Kafka, 百度Paddle等技术,应政府国产化要求要求,承载部分采用金蝶中间件,综合管理功能部分数据库采用人大金仓数据库KingBaseESV8,采用集群分布式技术部署在政务云服务器Linux操作系统上。
该项目作为某市重点项目公开招标,受到社会多方面关注,时间紧任务重社会影响大的特点,经公司同意,我组建了项目型团队,经过和专家团队讨论,预计该项目需要人力资源约为18人,其中需求分析3人,开发小组7人,测试小组3人,质量控制小组2人,实施小2人,配置管理1人,每个小组组长直接向我汇报。之后我们共同制定了责任分配表格,将任务分配到具体成员。
该河流总长度约90公里,流域面积约2500平方公里,对社会生产生活影响较大,政府部门对安全性要求很高、而且系统涉及干系人众多、结构复杂等安全风险较多,信息安全管理对项目的成功显得十分重要。如果做不好项目的安全规划与管理,不做好项目安全的全局性统领工作,项目的成功将如无本之木,无从谈起。下面结合本人对水环境监测的开发管理实践,分别从规划安全管理、管理安全策略、技术安全策略和安全审计管理等方面对项目的安全管理过程加以简要的论述。
安全等级保护
在项目启动之初,水文局领导就明确提出了安全管理上的要求,要求本项目所依赖的水环境智能系统必须符合国家对行业信息系统的安全标准,至少保证本项目信息系统安全等级符合三级安全等保要求;根据安全保护等级的标准划分,本项目属于安全标记保护级别 ,该级适用于地方各级国家机关、金融单位机构、邮电通信、能源与水源供给部门、交通运输、大型工商与信息技术企业、重点工程建设等单位。
本项目安全管理策略依据适应性原则、动态性原则、简单性原则、系统性原则和最小授权原则,遵循国标gb/t22239-2008《信息系统安全等级保护基本要求》的要求,将系统安全管理划分为管理类安全要求和技术类安全要求 。
管理类安全要求主要涉及到人,与信息系统中各种角色参与的活动有关,通过控制各角色的活动,从政策、制度、规范、流程以及记录等方面做出规定来实现。技术类安全要求与信息系统提供的技术安全机制有关,主要通过在信息主体中部署软硬件并正确地配置其安全功能来实现。管理要求和技术要求是确保信息系统安全不可分割的两个部分。
一个单位的安全策略一定是定制的,都是针对本单位的“安全风险”进行的。安全策略的核心内容就是"七定",即定方案、定岗、定位、定员、定目标、定制度、定工作流程 。首先要定方案,其次定岗.系统安全是一个动态的的过程,今天看来是安全的系统,明天可能就不再安全。把信息系统的安全目标定位于"系统永不停机、数据永不丢失、网络永不瘫痪、信息永不泄密",是错误的,是不现实的,也是不可能的适度的安全观点:安全代价低,显然安全风险肯定大;反之,安全风险要降得很低,安全的代价也就很大。
在制定系统的信息安全管理制度时,明确安全目标、范围、原则和框架等。本人参照本公司信息安全管理体系的要求,并结合系统实际情况,在充分征求了客户和公司领导的前提下,制定出本系统的安全管理制度。并就制定出来的制度与相关干系人进行讨论和评审,评审通过后请客户领导签字确认,并正式实施。 在本项目的实践中,除了对项目组本身进行安全管理外,还争取水文部门领导的支持对该部门全体人员和负责人员进行了数次安全管理培训。在安全管理制度、安全管理机构和人员安全管理方面都进行了深入考虑制定相关的政策。 包括《信息系统安全领导机构和职责》、《信息系统安全办公室工作职责和岗位设置》、《信息系统安全日常操作管理规定》、《信息系统安全责任追究制度》、《信息系统安全应急预案》和《机房管理规定》等。
技术安全主要从物理安全、网络安全、主机安全、应用安全和数据安全几个方面进行考虑。(1物理安全
该层次的安全包括通信线路的安全,物理设备的安全,机房的安全等。本系统部署在水文局自有机房和政务云,都符合国家B类机房要求。
(2)网络安全策略
网络的安全是整个系统安全的基础,因此保证网络的安全是非常重要的。在网络的安全保证方面,使用了防火墙、安全路由、网络隔离、防病毒技术、动态口令卡等设备和方法,从物理上保证了网络的安全。并定期进行安全审计,对审计出现的问题,及时加以整改。对本系统单独划分了ⅥAN,分配了专门的地址段;偏远村、社区通过VPN访问系统,保证了网络的安全可靠
(3)主机安全策略
应用服务器采用虚拟化部署,数据库服务器采用双机热备和HIA方式,并使用了Debian操作系统,从硬件上保证了服务器的安全。制定了服务器的安全使用方法,不同的账户进入服务器有不同的使用权限。对服务器上的数据分级存放,使用了冗余备份。并定期对服务器的安全进行审计,根据审计结果进行处罚。通过这些措施保证了主机的安全
(4)应用安全策略
系统要求7×24小时不中断服务,本系统架构采用虚拟化、集群化手段,保证了整个系统的安全可靠,系统中的一个部件损坏,不会影响到系统中其他部件的正常使用,因为它们是相互独立的。在每个部件中都采用了集群的技术,如果集群中的一个服务器损坏,不会影响到其他集群服务器的正常使用,集群中所有服务器全部损坏的概率是很小的。如果真的全部损坏,我们还建立了应急系统并定期的组织应急演练。保证了全系统的安全可靠。应提供专用的登录控制模块对登录用户进行身份标识和鉴别;提供登录失败处理功能,可采取结束会话限制非法登录次数和自动退出等措施;应启用身份鉴别和登录失败处理功能,并根据安全策略配置相关参数。原创提示:本文首发在今日头条平台【北大磊哥】账号下,关注我,每周分享良心干货!
(5)数据安全策略
数据是企业的核心资源,因此保证数据的安全就尤为重要,在本系统首先对数据库进行分域,不同的数据放到不同的域中,各个域相互独立,一个域的损坏不会影响到其他域的安全。在数据库备份方面采用全量备份和增量备份相结合的方法,定期备份数据文件和日志文件并且使用了企业级国产的安全备份恢复管理软件,提高了备份的安全和效率。同时在水文局内部机房进行了全套数据每周备份,进一步保证数据安全。
系统完成开发和部署后还需要定期进行安全审计,包括系统级审计、应用级审计和用户级审计。记录、审查主体对客体进行访问和使用情况,保证安全规则被正确执行,并帮助分析安全事故产生的原因。审计的主要作用包括:
①对潜在的攻击者起到震慑或警告作用
②对于已经发生的系统破坏行为提供有效的追究证据
③为系统安全管理员提供有价值的系统使用日志,从而帮助
系统安全管理员及时发现系统入侵行为或潜在的系统漏洞
④为系统安全管理员提供系统运行的统计日志,使系统安全管理员能够发现系统性能上的不足或需要改进与加强的地方
除了以上这些管理过程,我认为还要做好变更和配置管理。在项目的实施过程中,由于用户需求、政策导向或新技术的出现都会导致变更不可避免,但我严格按照变更控制流程进行管理,并未导致项目范围有较大变动。同时也必须做好配置管理,否则容易造成版本混乱,权责不清。我们团队专门设置配置管理员,对项目进行定期不定期的配置状态审核等工作,保证配置项版本的统一。
经过我们团队不懈的努力,该项目于2021年1月通过水利部门的验收,极大地提高了他们的工作效率和信息化办公水平,同时也获得了河流沿岸相关关系人的积极评价。本项目的成功得益于良好的整体管理,此外还包括重视安全管理。
总结这次管理实践经验,我认为做好安全管理,必须做到全员参与,调动相关关系人的积极性,增加他们的信息安全意识,前期做好培训工作,定期进行检查审计。当然在本项目进行中也存在一些问题和经验教训,由于水文局部分工作人员对信息安全管理认识不到位,在规章制度执行和后期审计过程中出现忽视和抵触现象,虽未产生不良影响但也存在重大的安全风险隐患,经过我们项目组多次主动的在工作和下班后沟通交流,终于取得的理解和支持。
信息安全管理工作是一个不断提升的工作,需要不断地完善和改进。在之后的工作和学习过程中,我将不断地学习和应用信息系统安全管理知识,多于同行交流心得经验,提高自己的业务能力和管理水平,在数据化浪潮中争取为我国的信息化和工业化建设贡献自己一份力量。
PS:欢迎留言讨论,我会积极给予回复!
希望今天的分享能够对你有所启发,欢迎关注,评论互粉,听说关注我并转发的,能力和收入都嗖嗖涨呢!嗯,鲁迅说的
相关问答
信息安全技术在当今社会中越来越受到重视,因为随着互联网的发展,人们越来越依赖于数字化的信息交流和存储。然而,这也带来了许多安全威胁,例如黑客...
[最佳回答]珍惜生命随着经济的日益发展,人们生活水平越来越高,拥有私家车的人也越来越多,马路上车辆川流不息的景象随处可见.然而由于有些人交通安全意识的淡...
[最佳回答]自己写的,绝对没有参照其他,觉得好就给分第一章绪论1论文研究的背景2论文研究的意义3论文研究的方法4论文研究的框架第二章相关理论就是文章中你...
是的,有关于核安全的专业论文。以下是一些相关论文的标题和作者:1."NuclearSafetyCulture:AReviewoftheLiteratureandItsA...
安全工程相关的毕业论文比较好的题目是:1.中美安全学科高等教育比较研究2.安全工程专业教育资源优化配置与创新体系研究3.我国安全生产监管问题研究4...
[回答]关于理想,谈的人很多。虽然有破碎的虚空,却总能给人带来一丝希望一丝期待。鲁迅先生曾说过:希望本无所谓有,无所谓无,正如地上的路,走的人多了便成...
上,确立我们一些主要的对外政策,尤其是处理好与美俄日印等大国关系的对外政策。二是提出“亲、诚、惠、容”为价值取向的周边外交理念,这也...二...
也看到过关于安全生产类的论文,许多都是抄袭一大段,雷同率特别高。重要的还是要在文章内容上出新意,题目大多数都相似。也看到过关于安全生产类的论文,许多...
炼...女士不要总是逛街,应该也多打打篮球、乒乓球、羽毛球等,锻炼身体的同时,可以提高自己的胆识,遇到危险可以做到临危不惧。大学生们出门在外,不要轻易泄...
PaperYY采用阿里云认证的高防服务器,充分保护用户隐私。检测报告默认只保留7天,支持自行删除及报告加密、解除用户论文泄露之忧。PaperYY采用阿里云认证的高...
