信息系统项目管理师安全管理论文

1、论大型信息系统的安全管理策略 摘要： 2010年3月到7月，本人参与了某省级电信运营商“ NGC( 系统中投诉一体化子系统”的项目建设，担任承建方项目经理 一职。投诉一体化系统包括支撑投诉、建议、咨询、报障工 单流转、处理及监控，同时，基于投诉一体化的工作流平台， 支撑审批单流转、处理，一级电话经理与其他渠道的联动。 新系统要改变过去的被动服务的模式，实现以主动服务、精 确营销、客户关怀为主的要求。 信息安全是大型系统的重要保证，在制定安全管理策略 时，本人科学的运用信息安全管理的理论知识，结合我司信 息安全管理体系的具体要求和系统的具体情况；从信息安全 的制度、流程、岗位、职责、人员为出发点

2、，制定了科学合 理的信息安全制度体系。按照系统实际情况从应用服务、数 据库、服务器、网络等方面进行信息安全的管理。保障了系 统的安全、高效、可靠。 -310 字 正文： 一、项目概述 2009-2011年本人参与了某省级电信运营商的NGCC系 统项目建设，此项目共分四期进行建设，运营商省公司为项 目的发起人，本公司为项目的唯一承建方。运营商原系统是 本公司在2004年建设的，主要面向 2G网络，为用户提供 被动服务为主；2008年后3G网络的全面应用，使得原有系 统已经无法适应客户的业务发展需要，因此必须重新建立一 套以3G网络为主，面向4G网络，对业务流程进行重新梳 理改造，以适应主动服务、

3、精确营销、客户关怀为主要服务 模式的发展要求。 由于NGCC项目过于庞大，因此分为多个子项目来进行 建设，本文以2010年第二期的子项目投诉一体化子系统 为主来对项目实施中的方法、流程、问题等加以分析。 现有投诉一体化系统只能满足地市级范围内的需要，以被 动服务为主，而3G时代要满足全省的业务合并需要，兼顾 外省流动用户业务需要，满足客户提出的集团-省级-市级 统一的业务需求。业务模式和流转规则发生重大变化。需要 支持省内、省外、集团的工单流转，同第三方系统进行交互， 实现主动服务、客户关怀、客户能力挖掘等功能。为此系统 设计采用以下架构 终端（华为桌面云）+集群应用服务器 + 集群中间件+集

4、群数据库其中集群应用软件以 J2EE轻 量级架构 Struct2 + Spring + DAS 为主；服务器采用IBM 小型机、华为刀片服务器；操作系统为IBM的AIX，Suse Linux ;数据库为 Oracle 11g RAC。 在系统的安全管理策略中，本人以建立合理的信息安全管 理制度为前提，设置完整的安全管理岗位和人员；并分别从 应用服务、数据库、服务器、网络等方面进行信息安全的管 理。保障了系统的安全、高效、可靠。 -580 字 二、建立科学合理的信息安全管理制度，完善岗位和人 员的设置。 在制定系统的信息安全管理制度时，本人参照本公司信息 安全管理体系的要求，并结合系统实际情况，

5、在充分征求了 客户和公司领导的前提下，制定出了本系统的安全管理制 度。并就制定出来的制度与相关的干系人进行讨论与评审， 评审通过后请客户的领导签字确认，并正式实施。 在信息安全的岗位和人员的设置上，客户省公司、各地市 公司设置系统安全管理室，统一管理全省、各地市的信息安 全工作。客户省公司设置首席信息安全官，统一领导全省系 统的信息安全工作；各地市公司设置信息安全室经理管理本 地市的安全工作；并设置了相关的系统安全管理人员，如机 房管理员、网络管理员、系统工程师、安全审计人员等职位。 在组织和流程上保证了信息安全的科学、合理、可靠。 三、应用服务的安全管理策略。 电信级的系统要求 7 X 24

6、小时不中断服务，因此在应用服 务的安全设置方面，采用了下面的架构 终端+集群应用服 务器+集群中间件+分布式集群数据库采用此架构保证 了整个系统的安全可靠，系统中的一个部件损坏，不会影响 到系统中其它部件的正常使用，因为它们是相互独立的。在 每个部件中都采用了集群的技术，如果集群中的一个服务器 损坏，不会影响到其它集群服务器的正常使用，集群中所有 服务器全部损坏的概率是很小的。如果真的全部损坏，我们 还建立了应急系统，并定期的组织应急演练。保证了全系统 的安全可靠。 四、数据库的安全策略。 数据是企业的核心资源，因此保证数据的安全就尤为重 要，在本系统中采用了下面的数据保护策略。 首先对数据库

7、进行分域，不同的数据放到不同的域中，各 个域互相独立，一个域的损坏不会影响其它域的安全。设置 当前数据库和历史数据库，当前数据库只存放两天的数据， 其余的数据通过Data Station转移到历史数据库，并把历史 数据库中6个月前的数据转移到磁带库进行存放，保证了数 据的安全可靠。在数据库的备份方面采用全量备份和增量备 份相结合的方法，定期备份数据文件和日志文件，并且使用 了赛门铁克的安全备份恢复管理软件，提高了备份的安全与 效率。 五、服务器的安全策略。 在服务器方面使用了 IBM小型机、华为刀片服务器，并使 用了 AIX、Suse Linux操作系统，从硬件上保证了服务器的 安全。制定了服务器的安全使用方法，不同的帐号进入服务 器有不同的使用权限。对服务器上的数据分级存放，使用了 冗余备份。并定期对服务器的安全使用进行审计，根据审计 结果进行处罚。通过这些措施保证了服务器的安全。 六、网络的安全策略。 网络的安全是整个系统安全的基础，因此保证网络的安全 是非常重要的。在网络的安全保证方面，使用了防火墙、安 全路由、网络隔离、防病毒技术、动态口令卡等设备和方法， 从物理上保证了网络的安全。并定期进行安全审计，对审计 出现的问题，及时加以整改。保证了网络的安全可靠。 结尾： 通过上面的安全制度、措施和方法的应用，整个系统将是 安全、可靠、高效的。在整个的信息系统安全管理方面，高