(上海高重信息科技有限公司 上海 200333)

背景：

半个多世纪以来，全球科技文明发展非常迅速，并且随着信息化技术的快速迭代，极大的丰富了人类科技社会的进步，加速经济社会的发展。当今全球的信息化时代已经成为科技发展的主旋律，作为第一生产力的科技实力已经越来越受到国内外各科研机构的重视，以网络与信息安全为主要科研课题的项目研究已经变为了信息相关工作的要点和难点。近年来，国内外由于相关信息安全以及网络安全疏于防范，造成大量公司与院校的网络瘫痪，重要信息的丢失与泄露，导致对公司或个人造成了严重的经济损失。据统计，2017年美国受欺诈行为影响的人数上升了8%，达到1670万人；原因是重要的社保和信用卡数据遭到泄漏，黑客成功入侵130万受害者，并从其帐户当中窃取到168亿美元；2016年5月，江苏警方破获一例盗取和倒卖公民个人信息案件，涉案人员遍布全国15个省市，通过各种手段非法盗窃1.1亿条公民个人信息、新鲜数据6000万多条进行售卖；而这些案例仅是诸多信息安全事件中的冰山一角。近二十年来，我国的信息科技水平取得很大飞跃，国内的网络以及信息安全相关的科研项目无论是数量还是质量上都大幅增长，该领域科研项目管理与分析的重要性进一步彰显。

项目管理，作为管理形式的一种，即运用先进的管理理论，通过实施有效的措施对项目进行调整及优化，使项目在规定的进度、成本及质量要求下，创造出超过现有资源价值的一种方法。在网络与信息安全科研项目领域，我们同样需要一套理念先进、切实可行的项目管理方法。本文将通过对完成等级保护测评相关的互联网金融平台项目进行分析研究，探讨如何可以针对性的对网络与信息安全相关的科研项目进行管理与分析，以案例项目存在的问题作为基础，分析运用哪些技术手段与控制方法，目的是更贴近现状的改良与提高网络与信息安全的科研项目的管理。

一、互金平台科研项目管理情况

随着国内互联网技术的飞速发展，在技术驱动及服务需求的背景下，国内金融领域的业务形态已发生了深刻改变，产生了基于互联网技术的金融平台，即常说的“互金平台”。互金平台是传统金融行业与互联网理念融合的产物，它具有执行效率高、覆盖广泛、发展迅速、投入成本低等优势，但在支付与投资更加便捷的同时，也存在着很高的风险，如易发生恶意骗贷、非法挪用资金、卷款跑路等资金风险；另外，网络安全风险也同样存在，一旦信息系统遭到恶意攻击，极易造成业务中断、数据泄露等，危及资金及个人敏感信息安全。互联网经济的本质，通过互联网技术放大金融行业的交易数额，使得交易和支付都更加便捷，更加充满不确定性。

我国改革开放以来，以银行券商为代表的传统金融业作为借贷主渠道，是经济社会主要的借贷来源，支持企业发展，也承担企业发展风险，具有合法合规的资金管理责任，并为国家反洗钱反经济犯罪提供了重要的情报支撑。毫无疑问，传统的以银行券商为代表的金融业，在现代整体经济发展中控制着主要的经济资源，是经济的重要支柱行业。金融业杠杆作用，使得支配的资金数额及其宏大，广泛影响众多产业与上下游产业，受金融业系统性风险波及的企业之多，结合互联网的金融行业加速资金控制规模的扩张，当互联网金融业出现重大问题，极有可能产生类似排山倒海般的金融海啸重大影响，不可避免地牵涉数量众多的公民与家庭存款、投资。如杭州的MZ金融，据其官网资料显示，该平台成立9年来，累计投资90多亿，注册用户超过83万。在业内，该平台算是一家“历史悠久”的互金平台了，但就在业务量不断上升，整体运营良好的状态下，突然出现卷款跑路事件，导致公司陷入突然死亡状态，近百万投资者的资金无法兑现，遭受了严重的损失。从互金行业的曝光平台可知，类似事件屡见不鲜，且数量有进一步增加之势。金融业不可否认在享受互联网便捷的同时，也面临着来自互联网的巨大威胁，采用互金平台的科研项目管理分析与控制就显得非常有现实意义。

结合现有互金平台等级保护的科研项目管理案例看，大量的公司项目或多或少存在相关技术与管理的控制缺失，从而导致部分科研工作的后续进展缓慢甚至失败并产生重大经济损害。根据行业第三方研究机构最新数据显示，截至2017年12月底，正常运营的互金平台有1931家，其中通过信息系统安全等保三级备案认证的平台有143家，仅占在运营平台数量的7.4%。探索加强网络与信息安全的科研项目的管理控制与标准化路径已迫在眉睫。

从当前我公司处理的数十个等级保护相关项目的管理研究分析，包括计算机技术手段的评估、关键人员的现场访谈、管理制度有效性的论证等，探查各种信息系统技术层面存在的隐患，以及管理制度层面存在的缺陷，为各阶段制订整改方案，加强过程控制提供了充分依据。

2017年底针对QC金融公司，通过等级保护测评后的研究，过程涉及该项目管理控制水平提升的量化分析，互金平台企业内控评估，以及降低业务风险水平的有效性评估。具体情况将在以下部分开展论述，以期对我国互金平台的科研项目管理水平的提升，提供借鉴与经验。

二、互金平台科研项目的隐患与难点解析

金融与互联网的结合，存在着风险放大的可能。网络与信息安全的科研项目在具体的项目管理中，结合近年以来的计算机技术和先进的新算法，对于防火墙、交换机、堡垒机等加以核实确认，同时论证防病毒、防恶意代码、防数据篡改的技术足够抵御最新的网络威胁，将新技术手段作为基石完成创新变革，不断提升国内互金平台科研项目管理水平。已收集的数据表明，有很多管理问题存在于互金平台网络与信息安全领域的科研项目中：

(一)互金平台先期方案设计与规划普遍不完善

QC金融成立于2015年，公司专注于金融领域相关业务，包括投、融资咨询，融法律咨询，互联网金融等服务，管理团队在银行、融资租赁、互联网、法律等领域具有多年的经验及储备。项目组成立后，公司任命我为项目经理，全面负责项目管理工作，同时参入相关领域的调研及评估工作。经调研发现，QC金融在信息化建设方面投入了一定的资源，自行搭建了网络系统，开发了核心业务系统，配备了基本的网络安全防护措施，以支撑公司核心业务的发展；安全管理方面，也建立了初步的安全管理制度等文件。

在测评项目实施过程中，我根据QC金融现状制定了合理的项目管理计划，并按照项目管理理论及网络安全最佳实践对项目实施管理，同时参加了安全管理部分的访谈、评估工作。在评估过程中，我着重对公司安全方针和策略、安全方案设计与规划等内容进行评估，发现了诸多待完善之处。如安全策略过于简单，系统建设方案需求不明确，系统功能规划不完善等问题，导致公司现有的安全防护手段与弥补风险所需的控制措施之间还存在很大的差距，远远超出了公司可承受风险的程度。结合QC公司实际网络安全情况调研，比对类似平台的信息安全情况，对存在问题综合分析，当前QC公司安全现状与公司核心业务之间有着密切的关系，这也是行业内普遍存在的问题之一。

互金平台企业往往存在这种现象，先开展业务，一切以业务为优先，后强化项目管理控制的通病，也就是说先期的方案设计与规划普遍不完善甚至有重大的缺失。很多互金平台往往等到规划中漏洞隐患演变成现实的大爆发，给运营产生重大经济损失，才意识到项目管理控制的缺失，方案设计与规划不完善、不适用、甚至没有规划与整体设计。其结果既损害企业自身利益，也给信任企业的用户留下企业信用或者能力存在缺陷的不良感受。

QC金融公司在等级保护测评前没有完善先期的方案设计与整体规划，导致以往信息系统与制度管理上小问题不断，大问题偶尔发生，如在整体规划中未明确授权管理需求，导致开发后系统授权管理功能薄弱，无法合理分配人员权限，而管理制度上也未定义授权管理流程，在执行过程中无章可循；类似问题还存在于变更控制、检查审批、数据保护等方面。类似问题造成企业资源配置的非效率化，同时对于后续的技术与管理层面改进无所适从，没有制定目标期限、没有待改进的目标成果、没有计划实施的哪些方式、没有准备好过程如何控制、没有预先计划提升管理控制的财力人力技术的资源准备、没有充分不同部门之间的协调。这一系列的问题解决推进相对缓慢，需要企业高层的参与或者授权。

在日常的开发、测试、运维等工作中，忽视整体规划的情况时有发生，如在每周一项目例会中，相关人员对汇报内容没有计划性，经常只汇报若干节点，而未从项目的整个流程考虑，导致汇报效果未达预期；在系统测试过程中，只注重单点测试，忽略了整体测试，无法保障测试的质量；在运维工作中，仅仅将技术层的物理设备，软件开发测试运维当做日常管理的近乎全部重要工作。类似的片面管理视角直接导致在实际的互金平台科研项目运营中丧失了非常关键的并且是完全应当注意的完整性。以上情况普遍存在于互金平台科研项目中，没有好的整体项目规划，大多数情况下就没有完善的管理控制过程，间接导致了大量互金平台科研项目或大或小的各种突发状况，没有规划，往往还会间接导致后续的管理混乱，以及无效的控制。

(二)互金平台的管理模式过于依赖技术

互金平台离不开现代计算机项目管理技术的运用，大量现代化网络安全产品与设备的运用给互金平台科研项目的管理带来许多方便与支撑。面对近年来网络上频发的各类黑客与恶意代码攻击事件，各种新技术、防病毒软件、防DDOS攻击、防勒索、防劫持、数据防泄漏、网页防篡改等安全产品与针对性的安全服务一定程度上加强了互金平台科研项目的管理控制。但是，从项目管理维度对我参入的测评内容进行分析，结合QC金融公司的案例以及互金平台通常的管理方式来探讨，现状还是有重大缺陷的：存在过于依赖安全设备和技术。比如，我对“人员安全管理”控制域测评时，发现在人员考勤方面，公司明确了考勤制度，安装了打卡机，要求所有员工上下班时必须打卡，以为这样就可以把考勤管理好。然而，在实际执行过程中，存在部分员工代打卡情况，也许更换更高级的指纹或虹膜考勤机，能很大成都上降低代打卡的发生，但出现这一现象的本质，是公司管理层相对忽视了人员的作用，没有积极调动员工工作主观能动性，没有充分释放员工积极工作带来的管理红利与增值。各级员工不清晰企业与个人发展的关联性、一致性，不明确自身价值，对于上级尚未直接布置的任务不能站在组织的视角积极主动思考。这些将产生互金平台管控缺乏内在长期提升与改善的动因。此类互金平台科研项目过于依赖技术与安全产品，不从根本上调动员工工作积极性，导致非常多的网络与信息安全的科研项目管理出现不同程度的失控，即使取得阶段性成果，但依然潜伏下深远的不利因素。

(三)互金平台科研项目管理理念提升效率慢

2000年以后，互联网技术科研成果日新月异，不断取得突破。2007年，国内第一家互联网理财平台产生，但接下来互金行业未得到迅速发展，直到2013年，行业才走出了静默期，在随后的三年中进入了飞速发展期。对于网络安全科研项目的管理控制来说，本身就需要不断修正与提升，寻找理念更新的动因相当重要，需要丰富的理论来指导实践。在QC金融公司，我与项目相关的高中层管理人员进行访谈，了解到部分管理人员的管理理念还沿用了传统的项目管理方法，与公司核心系统的业务形态存在较多不匹配性。现阶段国内针对网络与信息安全科研项目的管理控制，没有及时发展出与互联网科研相适应的新管理理论。理论的提升不应滞后于互联网技术的发展，两者之间的关系是相互重视，并相互促进。

三、互金平台科研项目内部控制的完善

科研项目的管理需要完整的程序保障，指导或约束员工日常工作，并融于其中成为员工的自觉行动。QC金融公司已建立初步的内控程序，但仍存在诸多需完善的地方。例如，公司安全组织架构需明确核心人员职责，关键角色由专人担任，并制定周密的监督措施；持续建立或完善公司有关授权管理、变更控制、关键事项评审及批准等流程，加强公司项目中的质量管理，建立并完善内审机制，适时引入外审，把质量管理的理念贯穿于公司项目整体实施中。

根据QC金融公司现状，需从以下三方面完善项目内控管理：

首先，确保公司分层治理结构运行有效。无论对于创业期的小团队还是上市公司的董事会，都应当重视内部控制，这将给企业带来发展红利，并有效规避企业经营风险。从顶层设计入手，强化内部控制，最好由董事会、监事会主导实施，而不是授权给技术或者财务等职能相对单一的部门负责组织实施。

其次，有效的内控体系同时包含了技术与管理层面的控制，既需要可靠的设备与技术、硬性的条款、操作流程、授权审批流程、内部全面检查的审计机制，又需要结合柔性的对人员管理、激励与惩罚，加强企业文化建设，凝聚员工工作动力。大公司管理层与董事会之间存在可能的冲突，以股东价值最大化作为长期目标是得到学术界广泛认可的，同时兼顾不同利益相关方的权益，比如客户、员工、供应商、银行、监管部门等等。应当避免管理层和董事会之间道德背离与价值背离的情况发生。想要保护互金平台股东权益的稳定与增长，而且确保股东大会委托管理层合理经营企业的责任不出现背离，就离不开高水平的科研项目内控体系。再次，公司治理结构有效性与内部控制是一种高度正向关联的关系。有效的内控体系消耗较小的资源，提升高效的管理水平，收获优良的增长业绩，可以从不同阶段、每单位资源投入的有效产出进行评估。

最后，国内互联网金融领域的高精尖技术与设备相对发达国家许多方面还未取得相对优势，大量的研究处于概念阶段，需要持续研发更新更加适用于互联网金融领域的网络服务器、交换机、防火墙等核心设备。同时加强算法、互联网金融领域人工智能的软件层面的研发，从技术角度提高管理效率和内控水平，规避各类业务与网络风险。

四、互金平台科研项目管理结论

通过上述对QC金融公司项目管理分析得知，出现的问题主要表现在缺少整体规划、过分依赖设备和技术、管理理念提升缓慢及内部控制措施不善等方面，这就要求我们有针对性的纠正问题，完善现有控制措施，并做到持续改善。QC金融核心系统经过等级保护测评后，公司内控得到有效提升，在大量依靠制度的标准化基础上，还需要依靠企业文化、企业经营理念、以及追求股东价值最大化的管理目标与员工个人幸福与满意度之间两者的平衡，依靠硬性的制度，同时还需要良好的柔性管理，才能够较好滴解决项目实际需要解决的问题。

现阶段，我国互联网金融发展势头迅猛，各类问题、隐患也很突出，我们需要进一步重视互金平台科研项目的网络与信息安全研究，找出存在的隐患和风险进行精确的点对点优化，持续加强项目的内部控制有效性；另外，员工的主观能动性、优势技术的研发与应用都需要在实际项目中加强，使我们可以更优质地开展互金平台科研项目的网络与信息安全研究，让项目管理更上一个台阶。