《软件开发项目风险分析及控制措施.pdf》由会员分享,可在线阅读,更多相关《软件开发项目风险分析及控制措施.pdf(5页珍藏版)》请在taowenge.com淘文阁网|工程机械CAD图纸|机械工程制图|CAD装配图下载|SolidWorks_CaTia_CAD_UG_PROE_设计图分享下载上搜索。
1、1 1 软件开发项目风险分析及控制措施软件开发项目风险分析及控制措施1.11.1 业务风险识别和分析业务风险识别和分析项目风险就是指在项目实施过程中发生的某些事件,导致实际结果偏离预期目标,从而给项目带来损失。该项目建设过程中软件开发阶段风险较小,主要风险将集中在项目推广实施阶段,影响项目推广实施的主要因素包括与本地现有系统的精准对接,各盟市数据整理的准确程度以及后期软件的整体运行维护,因此在建设过程中要充分考虑保障系统的稳定性。()业务从分散到集中,办事程序规范化、程序化,工作方式有很大的变动,办事流程也会有较大的变化。在应用过程中,可能会加重经办人员的工作量,造成经办人员不认真应用系统的情
2、况。这种情况一是会使系统无法正常快速应用,二是会拖慢系统的整体的实施步伐。()在自治区级统筹的业务形式下,应用、数据集中部署,网络统一使用“金保”专网。要建立预防机制,防备出现如下的问题:a.在业务经办高峰期,服务器的承受压力过大,导致系统缓慢或者崩溃,无法经办业务;b.突遇网络问题,系统无法运行,各盟市无法正常经办业务;c.系统遭受到的木马攻击或漏洞攻击,导致系统崩溃或数据丢失;d.系统与外部系统的衔接不畅,造成外部不能及时传入数据,发生数据偏差。()系统涉及到单位信息、人员信息、基金信息,均为保密信息,要预防数据泄露的问题,加强数据传输安全。1.21.2 业务风险对策和管理业务风险对策和管
3、理项目风险的对策和管理就是在项目实施之前,对项目可能出现的问题进行主动而系统的识别、评估并制定相应的应对程序及行动方案的过程,目的是有备无患,降低风险因素,减少风险带来的损失。项目风险管理计划由风险识别、风险评估以及风险应对三个部分组成。风险风险风险事件风险事件人员:相关影响相关影响级别级别应对措施应对措施领导层对项目的支持力度人员的变动领导层的支持直接影响项高目能否成功工作交接的过渡影响项目高进度与质量对项目的理解存在分歧,领导层在项目的全过程中对项目进行大力支持新成员应提前介入,交接后能尽快进入角色项目首次会议中要明确,双成员对项目的理解导致目标不一致或后顾之忧中方签订项目章程关键成员对项
4、目工作的投入工作时间投入不足,影响中项目进度与质量不是部门业务骨干,很难需要部门领导层的支持,提升项目的优先级要求关键客户要由部门业务中骨干担任提前进行计算机操作的培成员的能力把握业务需求最终用户的计算机水影响对系统的掌握程度平与信息化经验设备:采购不及时,影响安装进设备采购的及时程度度中训、强调培训与考核跟踪采购计划,准备采购资低金网络的联接工作应积极纳入网络联通的进度与质量产品与技术:直接影响系统的安装与调中试跟踪控制项目的整体计划中,并严格差异化程度大,导致实施产品的差异化程度周期长,反之周期就短开发质量直接影响实施进定制产品的开发质量度及质量,影响项目成员的心态网络平台的稳定性及安全网
5、络平台质量性直接影响是否返工方法与策略:中高高尽量按成熟产品的标准流程实现需求详细分析客户需求,开发过程严格按照控制体系进行,多级测试策略加强网络安全措施(病毒防治),缩短数据备份周期由手工数据准备成电子数数据准备据,信息的准确性差并且周期长需要清楚旧系统的数据结数据迁移构才能保证顺利迁移并行工作带来工作量的增新旧系统并行的影响大,影响工作热情及质量低中高数据准备工作应提前进行培训相关方法,对于准确性需要领导签字认可客户协调旧系统的供应商提供数据结构及流程尽量缩短并行周期,不断对客户进行再次培训;部门领导需要在绩效考核上支持环境:国家新政策的发布直接影国家政策的影响响到系统需求的变更中实施前落
6、实新政策的可能性此外,通过需求分析,找准高频、高难的功能点,再结合经办规程,尽可能的简化部分程序,减少不必要的操作步骤;在培训过程中,并加强对经办人员的操作培训,引导用户接受全信息化数据管理,享受信息化带来的方便。从而降低业务操作带来的风险。将核心数据和应用分割处理,启用实时备份,建立应急机制,在遭遇网络或木马攻击时,系统自动切换至安全模式下,以保障数据安全。加强对数据的管理,实施追溯质。将每一条数据都做到有据可查,以降低数据安全的风险。1.31.3 物理安全子系统脆弱性风险性分析及解决措施物理安全子系统脆弱性风险性分析及解决措施物理层安全面临的风险主要是环境安全和设备设施安全问题。主要是保证
7、网络系统的物理安全,防范因为物理介质信号辐射等造成的安全风险,保证信号传输的完整性保密性和可靠性。1.41.4 网络安全子系统脆弱性风险性分析及解决措施网络安全子系统脆弱性风险性分析及解决措施网络系统关系到所有主机和应用服务的相互通信。由于网络系统内运行的TPC/IP 协议并非专为安全通讯而设计,所以网络系统存在大量安全隐患和威胁。网络入侵者一般采用预攻击探测、窃听等搜集信息,然后利用 IP 欺骗拒绝服务攻击、分布式拒绝服务攻击篡改堆栈溢出等手段进行攻击。网络层的安全主要有数据传输安全网络资源的访问控制安全、网络漏洞的检测网络入侵检测等。为此可以采取综合全面的措施:(1)物理隔离核心层的办公应
8、用局域网(核心内网)与外网完全物理隔离。核心内外网信息交流可采用安全信息交流系统安全信息交流系统从“信息交流”和“信息安全”的角度出发,采用目前最先进安全性能最高的嵌入式技术从根本上解决了隔离网络问信息安全交流的问题,提供了一套高稳定性、高可靠性迅捷安全的信息传递与交流的解决方案(2)防火墙核心内部网和政务专网的访问及外网与 Internet 连接的安全控制可采用防火墙,内部网络系统与政府专网系统之间需要连接,考虑采用防火墙进行逻辑隔离。(3)网络拓朴安全服务网络设备采用网络拓扑安全服务提供安全配置 o 在网络系统中所涉及的网络设备的安全,即保证非授权用户不能访问任一台服务器路由器交换机或防火
9、墙等网络设备。网络拓扑安全服务既可以提供这些网络设备全面的安全配置列表也可采用安全扫描产品来检测包括网络设备在内的网络安全漏洞,并提供专业的安全服务来弥补网络漏洞加固网络系统。(4)实时入侵检测系统直接与 Internet 连接遭遇攻击的风险很大需要建立实时入侵检测系统,及时发现各种可能的攻击企图从而采取相应的应对措施,入侵检测系统能够实时地监测所有访问服务器资源的用户行为,对出现的大量可能危害服务器的行为及时报警阻断并提供日志记录和分析是对防火墙技术漏洞扫描及修补技术的有利补充。1.51.5 主机安全子系统脆弱性风险性分析及解决措施主机安全子系统脆弱性风险性分析及解决措施主机安全子系统主要对各种应用服务器数据库服务器等进行保护,保证主机上的操作系统和数据的安全。一方面对操作系统进行漏洞扫描,找出系统自身的漏洞以及管理人员配置不当造成的安全隐患,并对这些漏洞或隐患提供修补服务,对整个信息系统的安全具有极为重要的意义,网络安全扫描系统能够对多种操作系统进行系统级的安全扫描,配备了大量的漏洞库可经济有效地实施网络主机系统的安全。另一方面建立完善的网络防病毒方案实现对网络病毒防护的集中控制管理。目前通过网络和各种存储介质进行病毒传播和攻击的活动非常普遍新型病毒层出不穷对广大用户造成大量损害针对该操作系统的病毒也很多。因此,对网络中的服务器和客户机进行定期的防病毒扫描和实时状态的监控。