魏金秀
(中国大唐集团科学技术研究院,北京 石景山 100043)
摘 要:近年来,电力企业信息化迅猛发展,国家对电力系统网络化建设的投入力度也逐渐增大,随之而来的对电力系统网络安全问题的重视程度也逐渐增大,相应产生了很多网络安全服务。截止目前,网络安全服务已形成一套较为系统全面的项目开展管理流程,但仍存在不足。本文以此为出发点,分析目前电力企业网络安全服务项目管理手段存在的问题,并尝试提出改进建议。
关键词:电力企业;网络安全;项目管理;问题及对策
0 引言
随着互联网技术的飞速发展,网络安全问题愈发突出。电力行业作为我国的支柱型产业,其自身的网络安全直接影响我国经济发展,同时亦会对电力能源的供应产生重大影响。而网络安全服务开展时的项目管理质量高低与被测系统安全问题息息相关。做好网络安全服务项目管理对提升电力系统网络安全性有至关重要的作用。
1 网络安全服务内容及项目管理措施
现有的网络安全服务内容包含很多,在此我们选择较为重要的几种做详细展开。
1.1 等级保护测评
2017年6月,《网络安全法》正式实施,规定我国实行网络安全等级保护制度,并由公安部牵头组织全国各单位、部门开展等级保护工作。其工作的核心是对信息系统分等级、按标准进行建设、管理和监督[1]。为了保证等级保护制度落实到位,此项工作需要由专业的等保测评机构组织开展并出具报告。目前,针对等级保护测评已经形成一套较为科学详细的工作流程,与之配套的标准文件也逐渐完善。
等级保护测评总体流程包括系统定级、备案、测评工作开展、后续整改以及公安机关检查。其中,测评工作开展阶段又可细化为测评准备、方案编制、现场测评、分析与报告编制几个环节。每个环节还包含若干流程,涉及实施质量保证、进度控制、风险监控等多个方面。这样的项目管理体系虽结构清晰,但仍存在不足,需要根据实际情况做进一步补充改进。
1.2 风险评估
信息安全风险评估是指依据国家有关信息技术标准,对信息系统及由其处理、传输和存储的信息的保密性、完整性和可用性等安全属性进行评价的过程。主要从资产、脆弱性和威胁三方面入手识别信息系统安全风险,我国是从2003年7月提出开展风险评估的要求。
作为信息安全等级保护制度建设的重要科学方法之一,信息安全风险评估贯穿信息系统建设的各个阶段[3]。《信息安全技术 信息安全风险评估规范》(GBT 20984-2007)文件中对信息安全风险评估实施流程有大致规范,但各个机构在具体实施过程中流程又有所不同。就电力企业而言,其项目开展流程分为项目启动、资产评估、威胁评估、脆弱性评估、风险分析、有效性控制措施确认及报告编制七个阶段。为规范风险评估工作,开展风险评估的机构一般也会结合国家相关标准文件形成符合自身工作开展的指导文件,对项目开展尽可能做规范管理。
1.3 其他
除以上两种较为典型的网络安全服务外,随着国家及电力行业对网络空间安全重视程度的提高,各类新型网络安全服务相继产生。源代码检测、压力测试、渗透测试、攻防演练、上线前安全评估、电厂安全方案评估等都是行业安全部门不陌生的业务范围。
就渗透测试而言,可以作为等级保护测评评估工具的一种,亦可以作为单独的开展项目。如通过红蓝双方定期的攻防演练或各类网络安全竞赛不断提高安全人员专业能力以及电力监控系统的安全防御能力以应对愈发严峻的网络安全形势。但此类项目由于缺少相关标准文件,故项目开展流程并不统一,项目管理亦存在诸多不足。
2 问题分析
由上文分析我们可以得知电力企业网络安全服务项目在项目管理方面有较为科学的管理措施,但在实际实施过程中仍暴露出一些问题,可以概括为以下几个方面:
1)人员方面
网络安全服务项目的开展往往涉及项目委托方、项目实施方、地方公安局等多方人员,项目的开展需要各方人员的协同配合。但在项目实施过程中,经常会遇到项目委托方对接人员配合度不够、测评所需材料无法提供、对接人员不完全了解被测系统等情况,以上情况都会对项目完成周期及项目质量产生较大影响。除此之外,网络安全服务多数对信息安全技术要求较高,故项目实施方工作人员需要有足够的专业能力。要能深刻理解国家标准、知晓安全领域特殊要求,就电力行业而言,工作人员还需要熟练掌握电厂系统知识。综上,在人员管理方面,需要考虑的方面有很多。
2)项目流程
无论是测评项目还是其他测试评估服务都是一项涉及多方面的较为复杂的系统工程,故对项目开展流程的把控不可或缺。一般而言,项目开展方在项目开展前都会确定开展流程,但是由于缺乏统一标准以及科学的项目管理指导,所制定的流程在落地时往往达不到预期。如项目工期拖延、人员分工不明确,甚至会出现最终交付成果委托方不承认的情况,这都是项目流程管理出错产生的直接影响。
3)过程文档
除最终交付物外,网络安全服务项目在整个实施过程中会产生许多文档文件,如电厂被测系统资料、参与人员资质文件、报告初稿等。此类文件很多涉及公司机密,并且对日后追溯项目过程有很大作用,但往往缺乏统一管理归档,是目前管理过程中较容易被忽略的一环。
4)质量把控
目前,网络安全服务项目质量管理多存在不足,或没有采用合适的质量管理方法,或者质量管理达不到预期目标。产生这些现象的原因多是因为项目质量管理缺乏系统性和规划,或者公司没有制定相关的质量标准,风险防范意识缺乏。同时,就项目质量管理而言,应贯穿整个项目始终,包括项目收尾后针对发现的安全问题是否得到后续整改也应作为项目质量考核标准之一,但实际操作中我们会发现,多数项目在完成报告编制与交付后就不再做后续跟进,很多问题在第二年再次检查中依然存在,这极大的背离了安全服务的初衷。
3 网络安全服务分组管理办法
针对网络安全服务项目管理的模型研究有很多,其中PMBOK项目管理知识体系应用最广泛[5]。结合实际可操作性以及PMBOK中提到的五大项目管理过程组思想,我们提出网络安全服务分组管理办法。该办法即要求网络安全服务项目开展工作组需包含项目领导组、项目实施组、质量管控组以及行政管理组四部分。每组成员负责分内工作,相互之间亦有联结,贯穿整个项目管理全貌。
3.1 项目领导组
项目领导组是项目开展的核心,需考虑到项目各方面。首先,项目领导组成员需包含实施方与委托方双方人员,且需是具有信息安全话语权、专业能力强、实战经验丰富的领导阶层。在项目开展前双方沟通确定项目涉及人员、编制详细可行的开展流程方案、确定人员分组并制定考核标准。项目实施过程中做到全程把控,出现配合不足、工期延误等情况能及时做出调整,保证项目顺利进行并确保项目最终完成情况符合委托方预期。项目领导组具有很强的灵活性,如针对上文提到的实施人员专业能力不足的情况,就可以对相关人员进行全生命周期培训以提高项目质量,具体操作可自行把控。
3.2 项目实施组
项目实施组主要负责项目具体实施。该组成员需具备较高的专业技术水平,参与制定项目开展流程方案、明确实施人员分工和权责并提供高质量交付物。
3.3 质量管控组
质量管控组顾名思义即对网络安全服务项目开展全程进行质量监督,包括风险管控和项目结束后后续整改情况检查。网络安全服务工作中涉及的环节和技术点很多,流程特征也十分明显,若前期工作不到位,后续工作就会受到很大影响,故需建立全生命周期的质量管控体系,保障测评项目质量。质量管控组可以在各环节设定质控关键节点,配合项目领导组在每个节点设定相关考核标准及奖惩措施,力求从每个环节保障项目质量。如报告编制,可以设定编制人自审、小组内部审核、质控组三审以及终审等环节,提高报告质量[7]。
3.4 行政管理组
行政管理组主要负责项目情况统计、过程文档管理以及项目总结三方面工作。项目情况统计即对于项目的基本情况,如合同编号、合同金额、启动及结束时间、负责人、委托单位等信息可由行政管理组进行详细统计归档,便于后期查验;而对于项目开展过程中产生的所有过程文档都交由行政管理组统一整理归档;项目完成后,行政管理组联同其他三组对整个项目开展进行回溯整理,形成项目总结报告。
4 结语
随着网络安全态势愈发严峻,网络安全服务也会越来越重要,科学的项目管理十分必要。本文通过总结电力行业网络安全服务现有项目管理内容及措施,分析发现存在的问题,并结合以往项目管理研究提出改进办法,希望能够为后续网络安全服务工作的开展提供一些参考和建议。并对以后网络安全服务项目管理的研究起到抛砖引玉的作用。
参考文献
[1].中华人民共和国国家质量监督检验检疫总局、中国国家标准化管理委员会. 信息安全技术 信息系统安全等级保护实施指南:GB/T 25058-2010, 2010.
[2].午泽强. 等级保护测评项目执行管理信息系统的设计与实现[D].山西大学,2020.
[3].中华人民共和国国家质量监督检验检疫总局、中国国家标准化管理委员会. 信息安全技术 信息安全风险评估规范:GB/T 20984-2007, 2007.
[4].戴晓婧,宋华云,胡皓, 等.基于PDCA的等保测评项目文档化管理[J].信息技术与标准化,2014,(12):64-67. DOI:10.3969/j.issn.1671-539X.2014.12.024.
[5].王心玉.PMBOK在信息安全等级测评项目中的应用[J].信息网络安全,2012,(z1):4-6.
[6].尹湘培.PDCA循环在等级测评项目质量管理中的应用探析[J].信息网络安全,2012,(z1):7-9.
[7].武建双.网络安全测评项目质量管理浅析[J].网络安全技术与应用,2018,(11):5,16. DOI:10.3969/j.issn.1009-6833.2018.11.004.
[8].王军红.CMMI在网络安全项目管理中的应用[J].沈阳师范大学学报(自然科学版),2011,29(2):237-240. DOI:10.3969/j.issn.1673-5862.2011.02.026.
[9].王智,黄俊强.信息安全测评项目中的风险管理与风险规避[J].信息网络安全,2012,(z1):39-40.
[10].肖龙宝.电力工程项目管理过程存在风险及解决措施[J].大科技,2021,(4):75-76.
[11].A Guide to the Project Management Body of Knowledge [M],Project Management Institute, PMBOK Guide Fourth Edition
[12].刘立人,童演超,黄杰璋, 等.基于CIM模型的全过程工程项目管理风险研究[J].项目管理技术,2020,18(5):90-94.
[13].张运嵩,蒋建峰.从PMBOK第六版看项目管理发展新趋势[J].价值工程,2020,39(6):7-9.
[14].曾宪波.Z公共资源交易中心网站安全等级保护测评项目管理研究[D].广东:广东工业大学,2018. DOI:10.7666/d.D01524987.
[15].吕捷.基于风险评估的企业信息化项目管理方法[J].人力资源管理,2018,(3):360-361. DOI:10.3969/j.issn.1673-8209.2018.03.318.