软件开发项目风险分析及控制措施

实用文档
软件开发项目风险分析及控制措施
1.软件开发项目风险分析及控制措施
1.1 业务风险识别和分析
项目风险是指在项目实施过程中可能出现的事件，导致实际结果偏离预期目标，从而给项目带来损失。

在该项目的建设过程中，软件开发阶段的风险较小，主要风险将集中在项目推广实施阶段。

影响项目推广实施的主要因素包括与本地现有系统的精准对接、各盟市数据整理的准确程度以及后期软件的整体运行维护。

因此，在建设过程中要充分考虑保障系统的稳定性。

1.1.1 业务风险识别和分析对策
在应用过程中，可能会加重经办人员的工作量，造成经办人员不认真应用系统的情况。

这种情况一是会使系统无法正常快速应用，二是会拖慢系统的整体实施步伐。

实用文档
1.1.2 网络安全风险对策
在自治区级统筹的业务形式下，应用、数据集中部署，网络统一使用“金保”专网。

要建立预防机制，防备出现以下问题：
a.在业务经办高峰期，服务器的承受压力过大，导致系统缓慢或者崩溃，无法经办业务；
b.突遇网络问题，系统无法运行，各盟市无法正常经办业务；
c.系统遭受到的木马攻击或漏洞攻击，导致系统崩溃或数据丢失；
d.系统与外部系统的衔接不畅，造成外部不能及时传入数据，发生数据偏差。

实用文档
1.1.3 数据安全风险对策
系统涉及到单位信息、人员信息、基金信息，均为保密信息，要预防数据泄露的问题，加强数据传输安全。

1.2 业务风险对策和管理
项目风险的对策和管理是指在项目实施之前，对项目可能出现的问题进行主动而系统的识别、评估并制定相应的应对程序及行动方案的过程。

目的是有备无患，降低风险因素，减少风险带来的损失。

项目风险管理计划由风险识别、风险评估以及风险应对三个部分组成。

风险事件人员相关影响级别应对措施
领导层对项目的支持力度人员的变动领导层的支持直接影响项目能否成功高新成员应提前介入，交接后能尽快进入角色
实用文档
工作交接的过渡影响项目进度与质量高项目首次会议中要明确，双成员对项目的理解导致目标不一致或后顾之忧方签订项目章程关键成员对项目工作的投入中领导层在项目的全过程中对项目进行大力支持
工作时间投入不足，影响项目进度与质量不是部门业务骨干，很难提升项目的优先级中需要部门领导层的支持，要求关键客户要由部门业务骨干担任
把握业务需求提前进行计算机操作的培训，提升成员的能力高最终用户的计算机水平较低，需要进行详细的操作指导
网络安全是信息化系统中至关重要的一环，其脆弱性和风险性分析至关重要。

网络安全面临的主要风险包括黑客攻击、病毒感染、数据泄露等。

为了解决这些问题，需要加强网络安全措施，如加强病毒防治、缩短数据备份周期等。

同时，还需要建立应急机制，以保障数据安全。

在实施过程中，需要对经办人员进行网络安全培训，提高其安全意识，从而降低网络安全带来的风险。

网络系统涉及到主机和应用服务之间的相互通信。

由于网络系统使用的TCP/IP协议并非专为安全通讯而设计，因此存
实用文档
在大量的安全隐患和威胁。

网络入侵者通常采用预攻击探测、窃听等手段来搜集信息，然后利用IP欺骗、拒绝服务攻击、分布式拒绝服务攻击、篡改、堆栈溢出等手段进行攻击。

网络层的安全主要包括数据传输安全、网络资源的访问控制安全、网络漏洞的检测和网络入侵检测等。

为了解决这些安全问题，可以采取以下综合措施：
1.物理隔离
将核心层的办公应用局域网（核心内网）与外网完全物理隔离。

核心内外网信息交流可采用安全信息交流系统，该系统采用最先进、安全性能最高的嵌入式技术，从根本上解决了隔离网络问信息安全交流的问题，提供了一套高稳定性、高可靠性、迅捷安全的信息传递与交流的解决方案。

2.防火墙
实用文档
采用防火墙来控制核心内部网和政务专网的访问，的连接。

在内部网络系统与政府专网系统之间需要连接时，可以考虑采用防火墙进行逻辑隔离。

3.网络拓扑安全服务
采用网络拓扑安全服务来提供安全配置，以保证非授权用户不能访问任何一台服务器、路由器、交换机或防火墙等网络设备。

网络拓扑安全服务可以提供这些网络设备全面的安全配置列表，也可以采用安全扫描产品来检测包括网络设备在内的网络安全漏洞，并提供专业的安全服务来弥补网络漏洞，加固网络系统。

4.实时入侵检测系统
连接的系统，建立实时入侵检测系统是必要的，以便及时发现各种可能的攻击企图，并采取相应的应对措施。

入侵检测系统能够实时地监测所有访问服务器资源的用户行为，对出现的大量可能危害服务器的行为及时报警、阻断，并提供日志记
实用文档
录和分析，是对防火墙技术、漏洞扫描及修补技术的有利补充。

另外，对于主机安全子系统的脆弱性和风险性，需要进行分析并采取相应的解决措施。