当IT项目经理应该做哪些事情?
项目经理是具体项目工作的管理者,他们在工作中不断提升自己的领导才华,同时该职业又是一个权利与责任并存的职业, 他们主要对项目进行背景调查,收集整理项目相关资料,进行需求策划,撰写项目调查报告和信息综述,对项目组成部分或模块进行完整系统设计,联系项目相关单位和相关技术专家,制定项目可行性研究报告,协同配合制定和申报立项报告材料,组织项目团队完成项目任务,保证项目的完成时间和完成质量。下面是我为大家整理的IT项目经理应该做什么,欢迎阅读!
IT项目经理应该做什么
经常看到这样的项目经理,一副整天忙得团团转的样子,电话不停地作响,一个小时之内要发出几十个指令,好像他所领导的团队离开了他就一天也活不下去。然后他还会说:"我很忙"或"我很累","我需要增加人手"。这样的项目经理经常事无巨细都要亲自过问,即使旗下有人,你说他能不累吗
甚至还有这样的事列发生,研发部门经理亲自参与项目软件的编码工作,如果只有一、两个项目,也许这样还可以,试想,如果有十几个项目你能都参与具体的技术工作,另外是否考虑过部门经理参与具体项目后所带来的其他问题,部门日常事物务无处理,部门人员无人关注,部门的其他项目得不到项目经理的协助,更是无人为部门的未来作打算。类似的项目经理的行为很多:譬如善于销售的经理就对自己的销售人员总是不放心,觉得下面的人出马总是不那么牢靠;文笔较好的项目经理总是要亲自起草文件,因为秘书起草的东西总是叫他看不上眼,如此等等。
由此造成的结果是经理整天搞得手忙脚乱,管理效率很低。做经理者没有时间考虑部门发展的问题,做下属者觉得自己得不到信任,做事小心翼翼,不敢越雷池半步,没有积极性。
由此想到刘备,文不如诸葛亮,武不如关张赵马黄,但是他会用人,会笼络人。做项目经理人的恐怕都需要学习一下刘备的做法,即便你是在某些方面非常地出色。你可以把你的经验传授给你的下属,不要怕他们犯错误。"用人不疑,疑人不用",虽然很难做到而且有时也不一定非要做到,但是你既然给了一个人那个位置,那份薪水,就应该让他们充分地发挥,你不能替他们做事,你不能"抢"你付给他们的权力。记得有次记者采访CA公司总裁汪嘉廉先生时,汪先生说他到目前还没有个人email地址,记者很惊诧的问他为什么时,他说“没有必要,我有很好的业务总监们,他们会处理好公司的日常事务,我要有充足的时间考虑公司的发展战略,我不希望被一些琐事打扰”。汪嘉廉是一位好的管理者,所以CA才有今天的地位。
做得好的项目经理可能看起来每天的工作并不是那么紧张。所以有些下属就可能提出这样的问题:"我们忙,你在干什么"
项目经理,对于一个团队履行它的使命和发展负责的人。因此创造出一个大于其各组成部分的总和的真正的整体,创造出一个富有活力的整体,应该是其第一使命。即人们经常谈论的管理,通过管理则可以把在自然界1+1〉2的不可能转变为可能。为履行这一使命,项目经理应该做什么呢
一、一个项目经理首先要制定目标,即确定团队的目标,只有知道往哪走,才能到达那里。确定目标是什么,而且目标要能够有效的支撑团队的责任,有助于团队的发展。而且要将目标传达给团队的每一位人员,让他们认识到他们在实现目标过程中的责任和重要性。
二、一个项目经理要进行组织工作,即如何安排工作,需要分析所需的各项活动、决定和关系,他需要对工作分类,确定作业任务的主次和轻重缓急,并为作业分配适当的执行的人员。
三、一个项目经理要进行激励和信息交流工作。他把担任各项职能的人组合成为一个团队,它需要通过对下属的激励,以及同上、下、同级间的相互信息交流,协调完成工作。
四、一个项目经理需要进行衡量考核,衡量团队的绩效和个人的绩效。首先需要确立衡量的标准,这个标准不但要专注于团队的绩效,而且还要求专注于个人的工作并帮助他做好工作。一个项目经理把衡量的意义和结果通报给他的下级、上级和同级。
五、一个项目经理要培养人,也包括他自己。项目经理比其他人更了解其下属的长处和短处、更清楚下属的培训需求,也常常拥有帮助其下属改进工作绩效所必需的技能,只有下属的技能提高了,整个团队的效率才可能提升,只有团队的成员有发展,他们才会在执行工作时投入热情和责任。 经理需要制定培训计划并部署。
在我们这个行业,好多项目经理是在业务或者说技术方面有过硬的能力后才被赋予经理这一责任的,他们可能没有受过管理学的教育,希望此文能够给与他们思考与认识自己责任。
项目经理该做什么,不该做什么
1以目标导向来做事情
首先要明白该做什么,其次才是如何做。目标是项目管理的重要特征,项目经理做事原则都是围绕项目目标展开,对于有利于项目目标达成而又不违背项目经理职业道德和行为准则的事情都是该做的事情。
目标有短期目标和常用目标,把当前项目按目标完成可能是短期目标,通过一年时间带出一个高效的团队可能是一个长期目标。对于非临时项目的项目经理,更加应 该着眼于项目长期目标,而不是太在意于当前项目的短期利益。只有意识到这点,才能够认识到培训,教练,团队,自发,团队语言和规则等在整个项目中的重要 性。
2对自己定义的目标进行分解
对于软件项目,项目经理根据商业或用户需求会定义软件产品发布后的故障率小于05个/KLOC代码。要达到这个目标就需要结合项目的时间过程分析影响该 目标的要素,各个阶段交付物的质量,缺陷的泄露,测试的水平,需求的变更和稳定性,前期的需求设计和开发规范,团队规则,开发人员的责任心多方面因素都可 能影响到该目标的实现。
一个总体目标的达成绝对不是简单的改善一项影响要素就可以达成的,而且各个要素间还存在这正反作用,必须要综合性的系统思考。确定出期望的各个要素的区间 水平,然后将这些期望值列入到计划中进行跟踪和控制。这一系列的过程要表明的都是你做的每一件事情都是有目的的,都是为了实现当初定义的目标而服务,绝不 是无中生有。
3具体实际 *** 作的关注点
首先对于风险和危机的重视度远大于对问题的重视度。不是说问题解决不重要,而是项目经理应该更多的管理风险和消除隐患,不让风险转换为真正的问题。项目经 理必须有足够的问题前瞻性和敏锐的洞察力,发现各种征兆和危机,危机发生前应对往往仅仅是项目经理找成员谈谈心,或者说组织一次关于规程的培训,但危机如 果发生造成的损失会远远大于风险应对的成本。
项目经理应该更多的取做教练,而不是去做领导。管理者要懂得授权,但项目经理更关注的是授权不会影响到进度和质量,因此项目经理绝对不是越俎代庖啥事情都 自己做,也不是盲目授权后啥都不管,而是充当好教练的角色。让项目成员有能力的全完成事情,而且是有责任心的去完成事情。如果自己做只花1个小时,而教会 团队成员做需要一天,从团队常用的角度必须花费这一天时间教会成员如何正确的做事情。
PMBOK九大知识体系内容都是项目需要考虑做的内容。里面有个关键词是项目管理组,项目管理组是由项目核心成员共同组成的。必须要分清楚哪些是项目经理 做,哪些是项目管理组做。另外一个关注点是做事情的粒度,项目任务的跟踪是项目经理要做的,但项目经理应该根据项目目标确定自己跟踪任务的粒度,粒度太细 的可以由项目成员或小组负责人跟踪。项目经理该做什么不能简单项目经理人与项目成员的实战指南
在一个团队中,作为一名团队领导,将:
1) 避免团队目标向政治问题妥协
2) 向团队目标显示个人承诺
3) 不用太多优先级的事物冲淡团队的工作
4) 公正、公平的对待团队成员
5) 愿意面对和解决与团队成员不良表现有关的问题
6) 对来自员工的新思维和新信息采取开放的态度
作为团队成员,要将:
1) 展示对个人角色和责任的真正理解
2) 展示目标和以事实为基础的判断
3) 和其他团队成员有效地合作
4) 使团队目标优先个人目标
5) 展示投身于任何项目成功所需的努力的愿望
6) 愿意分享信息、感受和产生适当的反馈
7) 当其他成员需要时给予适当的帮助
8) 展示对自己的高标准要求
9) 支持团队决策
10) 以为团队的成功而奋斗的方式体现带头作用
11) 对别人的反馈做出积极的反应的理解为二元问题,更多的是跟项目目标和管理粒度相关的做事情的粒度问题。
IT项目经理的经验总结
本人做项目经理工作多年,感到做这个工作最要紧的就是要明白什么是因地制宜、因势利导,只有最合适的,没有什么叫对的,什么叫错的,项目经理最忌讳的就是完美主义倾向,尤其是做技术人员出身的,喜欢寻找标准答案,耽误了工作进度,也迷茫了自己。以下是本人一些做项目的个人体会,写出来供大家指点,在讨论过程中共同提高水平。
项目开始阶段是一个最重要的阶段。项目经理在接手一个新项目的时候,首先要尽可能地多从各个方面了解项目的情况,如:
1这个项目是什么项目,具体大概做什么事情,是谁提出来的,目的是解决什么问题。在国内很多客户都很不成熟的情况下,千万不要根据项目的名称望文生义地去想象项目的目标。一个名为“办公自动化”的项目很有可能在你进场以后一个月才发现客户其实需要的是一个计算机生产管理辅助信息系统系统。前期了解情况的工作越详细,后面的惊讶就越少,项目的风险就越小。
2这个项目里牵涉哪些方面的人,如投资方、具体业务干系方、项目建成后的运营方、技术监督方等等,很多项目里除了业主单位的结构很复杂以外,还有一些其他单位也会牵涉进来,如项目监理公司、业主的行业主管机构等。项目经理需要了解每个方面的人对这个项目的看法和期望是什么。事先了解各个方面的看法和期望,可以让你在做项目碰到问题的时候,就每件事情分析哪些人会在什么方面支持你,哪些人会出于什么目的反对你,从而提前准备联合朋友去对抗敌人,让事情向你所希望的方向发展。没有永远的朋友,也没有永远的敌人,只有一致的利益,这句话作为项目经理是一定要记住的;
3基本了解了客户的情况后,下面的事情就是了解自己公司各方面对这个项目的看法。首先是高层领导是否重视,这个决定了你在需要资源的时候,公司是否会根据你的要求提供最有力的支持。领导口头肯定是说支持的,你需要做的是了解公司对这个项目的实际期望,是想把项目越做越大还是想赚钱是想做样板工程还是干脆想敷衍了事,公司领导对项目的态度决定了你做这个项目的战略,而这个战略方针将对你做项目计划产生直接的影响;
4在做整体项目计划前,还要大致计算一下你手上的资源。首先是时间,现在市场竞争激烈,往往很多项目要求在几乎不可能的时间范围里完成。对于这一点,你在做项目的风险控制计划的时候要充分考虑。其次是人员,根据项目预算和已往经验,大致计算一下未来的项目小组有多少种角色,每个角色目前公司是否有人,是否能完全归这个项目使用,是否需要另外招聘一些人员,招聘的准备工作要尽早启动。最后就是一些设备的准备,项目所需大件关键设备要尽早预定,以后不管发生设备等人还是人等设备的情况,浪费的都是你的时间;
5现在是做项目说明书的时候了。一份好的项目说明书不仅将要做的事情描述得很清楚(主要是讲做什么,而不是说怎么做),而且把如何检查也说明得很透彻。也就是说它不仅说明白了要做哪些事情,也让客户的业务人员(一般不懂技术)知道项目做成什么样就算完成了。简单地说,项目说明书描述项目做哪些事情和每件事情做到什么程度以及如何检查每一个结果。
6 是到做总体计划的'时间了吗不,你现在已经知道了客户的目标和你手上的资源,那么做计划以前,你还需要和你的经理和客户充分沟通资源的问题。因为很多资源是还不明确的,你需要写一份报告,详细分析这个项目的风险以及对资源的需求情况。如果一些问题不能得到解决的话,将发生什么样的后果。如果资源不够,就要高层改变策略,增加对这个项目的投入。甚至在条件许可的情况下,有些公司会放弃这个项目。总之,没有人能完成一个不可能完成的任务,如果项目经理不能尽早发现风险,那么就只能去当烈士了。
7明白了要做哪些事情和你手上的筹码以及你做这个项目的总体策略,现在是成立项目小组的时候了。很多项目经理都没有自己选择组员的权利,那么,就尽量发挥你的影响力去寻找那些你想要的人吧。成员的组成根据项目不同,相差较大,很难有什么具体要求,但是,一定要有精通客户业务的人,很多小项目里,这个人就是项目经理本人,大项目里会配备行业专家(Industry expert),这样和客户沟通起来才不会鸡同鸭讲,双方才可以相互理解。我经常看到的情况是我们的技术人员和客户交谈时满口的专业术语,结果搞得客户一头雾水,反过来,他还指责客户不懂技术。其实,明白自己想做什么的客户已经是很好的客户了,不知道自己要做什么,更不懂怎么做还要指手画脚的客户到处存在,但是要明白,是客户选择了你,而不是你选择了客户,有了客户你才有工资拿,心平气和一点吧。
8现在你要面对三群人:你的领导、你的组员和你的客户,和这些人沟通,让他们知道你打算怎么做,什么时候要他们做什么准备这些事情将是你的主要工作。既然沟通这么重要,那些事先定义一下沟通的原则也是一件很要紧的事情。很多沟通原则都是潜规则,如果你在一个部门时间做长了,对这些规则的运用觉得是一件理所应当的事情,但是,你现在面对的是多个部门甚至多个单位,不把沟通规则说清楚,你以后就会吃亏。下面的东西看起来无聊,其实还是很管用的:第一个是规定信息的流动方式和介质,是推还是拉。推的意思就是项目经理将主动发布信息,不管通过电话、邮件还是书面方式,保证将信息传达到每个人。这种情况适合小项目,人少;拉的意思就是项目经理就是一个类似web服务器,你自己需要什么信息就去问他。当然,没有项目经理把自己搞得那么累,他会用发布信息到公共介质的方式公布信息,简单的是白板,复杂一点的是项目的公共信息交互区,潜规则就是我发了你没去看就不要说我没告诉你。说这些看似很无聊,其实里面牵涉信息传达不完全的责任问题。当然,这些都是指一般的方式,而且不要绝对化,一般情况下,主动沟通和被动访问是同时存在的,尤其是对领导,项目经理更加应该主动去和领导沟通。第二个问题就是文档问题,很多人怕写文档,但是项目经理一定要牢记“好记性不如烂笔头”的道理。有理有时候为什么会说不清呢就是因为没有证据。所以项目经理开始就要和客户说清楚有些文档是必须签字的,比如项目经理的项目日志,每个星期至少让客户签字,另外所有达成共识的东西,比如会议纪要,甚至领导的讲话记录,都要写成文档,双方签字,这样以后扯皮的时候,就能做到有据可查。记住:说了的就和没说一样,只有写下来大家签字后才算真正发生了的。还有一些问题,比如你提交的报告,给领导(包括本方领导和客户领导)做一个选择题,结果领导压住不批,让你无所适从,结果拖延了进度。这时候,你可以等,但是注意要留记录,标明是谁的责任;另外,如果你在开始阶段就和领导商定:如果批示提交三天后没有得到领导答复就算对方同意,这样你就会主动很多。再比如不同事件的审批流程问题:什么等级的事情记录在项目日志里、什么等级的事情要双方项目经理专门签署备忘录、什么等级的事情要双方领导出面签署合同附件等等。事先想得越周到,以后的工作就越主动。
9 好了,做了很多前期工作,定义了一些游戏规则,现在是坐下来做计划的时候了。这一节,任意找一本项目管理的书都会说得比我好,所以我就少写一点,说一些自己的体会就是了。首先是找几个关键组员,比如客户业务专家、系统分析员等等,做一下项目模块划分工作。项目分成几块去做,每一块完成什么,模块之间的信息如何交换等等。需求定义的是做什么的问题,而这里说的是怎么做的问题。这里要强调一点:完成一个目标有很多种方式,你要选一种你最熟悉的,而不是看上去最完美的,这个思路会让你的项目减少很多风险。有时候客户会被某种新技术打动,坚持要你采用那种新技术,你就应该告诉他:你选我做这个项目,就应该容许我采用自己最喜欢的方式做事情,新技术之所以有诱惑力,就是因为吃亏的人还不多,我不希望你成为第一批受害者。采用一个计划会让你的工作更加明确,比如用微软的Project软件,你填写完表格以后,就可以知道这个项目有多少件事情要做,每件事情需要什么资源,他们之间的前后关系如何,消耗的时间有多长,完成后有什么标志等。所有的结果最后用一个叫做甘特图的形式表现出来。你做完这个表以后会惊奇地发现,甘特图上项目的结束时间会远远落后于你的计划结束时间(签合同的人永远不会先征求你的意见的)。当然,学过项目管理的人会大谈什么WBS、优化路径之类的东西,但是我的经验是你再优化也不可能把这些东西安排到计划的时间结束。如果你没碰到这个问题,在我恭喜你挑了一个轻松活之前,请你再去确认你是否罗列了所有要做的事情和正确评估了他们所需要的时间。这时候,你就要考虑牺牲一些任务的时间(也意味着质量)了。按照什么标准牺牲这个项目的战略!我们在第三节提到过的战略。我的经验是如果你什么都赶进度,其结果可能就是十件事情你一件也没做好,想想多么失败啊。所以,把资源投到你熟悉和有把握的事情上,最后的结果是十件事情,你有三件做成了精品,三件完成,还有四件因为某些原因延误,成绩单是否靓丽了很多呢战略决定优先级,而正确排列事情的优先级是一个项目经理能力的主要体现。
好,现在项目已经完成了前期工作,了解了项目的目标、搞清楚了手上的资源,制定了项目的策略,然后编制了项目的整体计划,项目进入实施阶段。进入这个阶段反而是项目经理比较空闲的时候,不像前期的时候项目经理要象记者一样到处和不同的人接触,搞清楚他们在说什么,努力猜测他们在想什么和他们的真正目的,那才是最累人的事情。当然,小项目的项目经理往往自己也是一个资源,要做很多事情,这时候反而比谁都苦。项目经理这段时间的主要工作是保持和客户领导以及自己领导的沟通。和客户领导沟通时特别要注意,除非你需要对方给你支持,那么你才需要讲得具体一点,否则,告诉他一切正常就可以了,而且态度要积极一些,千万不要说一些领导不懂的细节,比如:“王局长,最近项目进度还算正常,就是JVM经常发生一些内存泄漏的情况…”王局长:“(&$@@”。和自己的领导汇报也要注意这个问题,除非他是一个技术高手,你需要他的技术经验,否则一般就汇报进度是否正常以及有问题时你的对策和打算就可以了,有些需要他支持的地方,比如资源调用需要说详细一点。
和组员开会,除了一些项目进度跟踪会议以外,还有很多讨论会,需要大家用头脑风暴方法给出解决问题。与会人员很多都是技术人员,他们的特点是注重细节、缺乏大局观、有点消极悲观、自尊心强(如果总结得不对,欢迎大家拍砖),所以,你作为会议的主持人,只要负责提出问题和记录下他们的观点,千万不要做评判者的角色。一个问题,有很多方面,从不同的角度看,现象是完全不同的,想想盲人摸象的故事吧。这些技术人员,他们往往精通一个方面,就自己的角度发表见解,除非一些很特别的情况,你都应该认为,他们提出的方案,从他们的角度来看是最合理的。你的长处是掌握事情的优先级,评估各个方面的轻重缓急,从而根据他们的意见得出一个合适的(而不是正确的)方案。所以,在会议上,你要充分尊重每一个人和他的意见,夸奖那些意见提得比较好的人,千万不要把会议带入无休止的争论(你要让大家知道事情不是非黑即白的,而是多元的,唉,我们的教育惹的祸…)。会后,你自己写文档,做决定。会议上大家的面子都被照顾了,自然实施起来的阻力就小,如果还有意见的,你就私下找他聊,如果还不能说服他,你就要让他明白,因为你负责这个项目、你担当风险,所以,这个优先级应该你来判断。组织中的高层,并不见得水平会比一般的成员高,但是,他要承担组织的风险,加之信息的不对称性,所以,对事情的优先级的判断肯定比下属强。
在开发过程中,内部管理还要注意的一点是时刻强调以验收为目的的思想,每个任务的最终可交付成果一定要是可以被检查的,比如,界面要求:美观大方、简洁明快,这个要求我就不知道如何检查。所以,给开发小组布置任务的时候就要考虑如何检查结果,比如我见过一个计划,里面有一个任务开发人员熟悉EJB编程,这个任务,除了让这些人去参加一些专业认证考试,否则,结果很难被检查。所以,时刻考虑如何检查结果、如何向客户交付是项目经理一直要注意的事情,我听说有些老项目经理拿到项目是倒排计划的,即首先看如何验收和验收标准,然后决定工作计划。很多项目开始了很久,还不知道如何验收,那么这个项目出问题的可能性就很大了。做项目就是为了验收,我们的角色不是研究机构,我们的目的就是在付出那么多劳动后得到结果。另外我插一句:我是极其不主张到客户现场开发的。尤其是一大群技术人员直接和客户交流,很容易引起冲突和矛盾(技术人员的本性决定的)。我的做法是项目经理和项目实施人员到现场,软件开发人员还是在公司做项目。项目实施人员就是初级项目经理,他们了解自己的产品,懂得一些客户的业务,关键是在于他们具有良好的沟通能力,俗称“皮厚”。他们是客户和研发人员的桥梁,其职业方向也是很机动灵活,以后可以有很多方向可以转,比开发人员的路要宽得多。
接着,我们再谈谈最让人头痛的需求变更问题。变更通常分为两种:一种是部分更改了原先的目标,即需求变更;另一种是没改变目标,但是客户不满意目前的实现方式,大到流程的实现,小到界面的布局,都是属于这类。碰到这种情况是难以避免的,主要是事先沟通的不够充分和客户随着项目的进展,慢慢想清楚了问题,改变了以前的思路。这时候,如果需要改并且你的战略是容许这种情况的,那么注意下面几点:
1确保以前的文档,就是记载着以前的结论的东西,客户是否签过字,如果没有,赶紧把你的工作停下来,赶快再和客户自己确认一下你的方案,然后让他签字,避免以后说话没有凭据;
2和客户坐下来,自己探讨他修改的根本目的是什么,是不是有同样能达到相同目的,但是对你来说有代价更小的选择
3(项目初期的工作)明确更改流程,一般是客户指定一人签字(否则客户每个领导都有权力来插一杠子,你就废了),以正式项目文件的方式提交给你,然后,你做评估分析,分析对成本、进度的影响,在你的领导同意后,出相应意见书,主要是要说明更改设计的原因和指出由此带来的不确定后果(这个东西先写出来,后面如果真的发生了,至少不是你的错)。然后再让客户在上面签字。见过医院给病人做手术以前让家人签的免责条款吗对,就学习那个,让大家都意识到任何的更改都有成本和代价。
;
其实实施的工作也就是将开发好的系统,平台等,安装部署在客户服务器上,在保证在内部环境运行正常的情况下,再在客户实际环境中进行测试,测试通过后,就可给客户使用再做好售后服务以上内容纯属原创,打字不容易,谢谢采纳
#云原生背景#
云计算是信息技术发展和服务模式创新的集中体现,是信息化发展的重要变革和必然趋势。随着“新基建”加速布局,以及企业数字化转型的逐步深入,如何深化用云进一步提升云计算使用效能成为现阶段云计算发展的重点。云原生以其高效稳定、快速响应的特点极大地释放了云计算效能,成为企业数字业务应用创新的原动力,云原生进入快速发展阶段,就像集装箱加速贸易全球化进程一样,云原生技术正在助力云计算普及和企业数字化转型。
云原生计算基金会(CNCF)对云原生的定义是:云原生技术有利于各组织在公有云、私有云和混合云等新型动态环境中,构建和运行可d性扩展的应用。云原生的代表技术包括容器、服务网格、微服务、不可变基础设施和声明式编程API。
#云安全时代市场发展#
云安全几乎是伴随着云计算市场而发展起来的,云基础设施投资的快速增长,无疑为云安全发展提供土壤。根据 IDC 数据,2020 年全球云安全支出占云 IT 支出比例仅为 11%,说明目前云安全支出远远不够,假设这一比例提升至 5%,那么2020 年全球云安全市场空间可达 532 亿美元,2023 年可达 1089 亿美元。
海外云安全市场:技术创新与兼并整合活跃。整体来看,海外云安全市场正处于快速发展阶段,技术创新活跃,兼并整合频繁。一方面,云安全技术创新活跃,并呈现融合发展趋势。例如,综合型安全公司 PaloAlto 的 Prisma 产品线将 CWPP、CSPM 和 CASB 三个云安全技术产品统一融合,提供综合解决方案及 SASE、容器安全、微隔离等一系列云上安全能力。另一方面,新兴的云安全企业快速发展,同时,传统安全供应商也通过自研+兼并的方式加强云安全布局。
国内云安全市场:市场空间广阔,尚处于技术追随阶段。市场规模上,根据中国信通院数据,2019 年我国云计算整体市场规模达 13345亿元,增速 386%。预计 2020-2022 年仍将处于快速增长阶段,到 2023 年市场规模将超过 37542 亿元。中性假设下,安全投入占云计算市场规模的 3%-5%,那么 2023 年中国云安全市场规模有望达到 1126 亿-1877 亿元。技术发展上,中国在云计算的发展阶段和云原生技术的程度上与海外市场还有一定差距。国内 CWPP 技术应用较为广泛,对于 CASB、CSPM 一些新兴的云安全技术应用较少。但随着国内公有云市场的加速发展,云原生技术的应用越来越广泛,我们认为CASB、SCPM、SASE 等新兴技术在国内的应用也将越来越广泛。
#云上安全呈原生化发展趋势#
云原生技术逐渐成为云计算市场新趋势,所带来的安全问题更为复杂。以容器、服务网格、微服务等为代表的云原生技术,正在影响各行各业的 IT 基础设施、平台和应用系统,也在渗透到如 IT/OT 融合的工业互联网、IT/CT 融合的 5G、边缘计算等新型基础设施中。随着云原生越来越多的落地应用,其相关的安全风险与威胁也不断的显现出来。Docker/Kubernetes 等服务暴露问题、特斯拉 Kubernetes 集群挖矿事件、Docker Hub 中的容器镜像被“投毒”注入挖矿程序、微软 Azure 安全中心检测到大规模 Kubernetes 挖矿事件、Graboid 蠕虫挖矿传播事件等一系列针对云原生的安全攻击事件层出不穷。
从各种各样的安全风险中可以一窥云原生技术的安全态势,云原生环境仍然存在许多安全问题亟待解决。在云原生技术的落地过程中,安全是必须要考虑的重要因素。
#云原生安全的定义#
国内外各组织、企业对云原生安全理念的解释略有差异,结合我国产业现状与痛点,云原生与云计算安全相似,云原生安全也包含两层含义:“面向云原生环境的安全”和“具有云原生特征的安全”。
面向云原生环境的安全,其目标是防护云原生环境中的基础设施、编排系统和微服务的安全。这类安全机制,不一定具备云原生的特性(比如容器化、可编排),它们可以是传统模式部署的,甚至是硬件设备,但其作用是保护日益普及的云原生环境。
具有云原生特征的安全,是指具有云原生的d性敏捷、轻量级、可编排等特性的各类安全机制。云原生是一种理念上的创新,通过容器化、资源编排和微服务重构了传统的开发运营体系,加速业务上线和变更的速度,因而,云原生系统的种种优良特性同样会给安全厂商带来很大的启发,重构安全产品、平台,改变其交付、更新模式。
#云原生安全理念构建#
为缓解传统安全防护建设中存在的痛点,促进云计算成为更加安全可信的信息基础设施,助力云客户更加安全的使用云计算,云原生安全理念兴起,国内外第三方组织、服务商纷纷提出以原生为核心构建和发展云安全。
Gartner提倡以云原生思维建设云安全体系
基于云原生思维,Gartner提出的云安全体系覆盖八方面。其中,基础设施配置、身份和访问管理两部分由云服务商作为基础能力提供,其它六部分,包括持续的云安全态势管理,全方位的可视化、日志、审计和评估,工作负载安全,应用、PaaS 和 API 安全,扩展的数据保护,云威胁检测,客户需基于安全产品实现。
Forrester评估公有云平台原生安全能力
Forrester认为公有云平台原生安全(Public cloud platform native security, PCPNS)应从三大类、37 个方面去衡量。从已提供的产品和功能,以及未来战略规划可以看出,一是考察云服务商自身的安全能力和建设情况,如数据中心安全、内部人员等,二是云平台具备的基础安全功能,如帮助和文档、授权和认证等,三是为用户提供的原生安全产品,如容器安全、数据安全等。
安全狗以4项工作防护体系建设云原生安全
(1)结合云原生技术的具体落地情况开展并落实最小权限、纵深防御工作,对于云原生环境中的各种组成部分,均可贯彻落实“安全左移”的原则,进行安全基线配置,防范于未然。而对于微服务架构Web应用以及Serverless应用的防护而言,其重点是应用安全问题。
(2)围绕云原生应用的生命周期来进行DevSecOps建设,以当前的云原生环境的关键技术栈“K8S + Docker”举例进行分析。应该在容器的全生命周期注重“配置安全”,在项目构建时注重“镜像安全”,在项目部署时注重“容器准入”,在容器的运行环境注重云计算的三要素“计算”“网络”以及“存储”等方面的安全问题。
(3)围绕攻击前、中、后的安全实施准则进行构建,可依据安全实施准则对攻击前、中、后这三个阶段开展检测与防御工作。
(4)改造并综合运用现有云安全技术,不应将“云原生安全”视为一个独立的命题,为云原生环境提供更多支持的主机安全、微隔离等技术可赋能于云原生安全。
#云原生安全新型风险#
云原生架构的安全风险包含云原生基础设施自身的安全风险,以及上层应用云原生化改造后新增和扩大的安全风险。云原生环境面临着严峻的安全风险问题。攻击者可能利用的重要攻击面包括但不限于:容器安全、编排系统、软件供应链等。下面对重要的攻击面安全风险问题进行梳理。
#云原生安全问题梳理#
问题1:容器安全问题
在云原生应用和服务平台的构建过程中,容器技术凭借高d性、敏捷的特性,成为云原生应用场景下的重要技术支撑,因而容器安全也是云原生安全的重要基石。
(1)容器镜像不安全
Sysdig的报告中提到,在用户的生产环境中,会将公开的镜像仓库作为软件源,如最大的容器镜像仓库Docker Hub。一方面,很多开源软件会在Docker Hub上发布容器镜像。另一方面,开发者通常会直接下载公开仓库中的容器镜像,或者基于这些基础镜像定制自己的镜像,整个过程非常方便、高效。然而,Docker Hub上的镜像安全并不理想,有大量的官方镜像存在高危漏洞,如果使用了这些带高危漏洞的镜像,就会极大的增加容器和主机的入侵风险。目前容器镜像的安全问题主要有以下三点:
1不安全的第三方组件
在实际的容器化应用开发过程当中,很少从零开始构建镜像,而是在基础镜像之上增加自己的程序和代码,然后统一打包最终的业务镜像并上线运行,这导致许多开发者根本不知道基础镜像中包含多少组件,以及包含哪些组件,包含的组件越多,可能存在的漏洞就越多。
2恶意镜像
公共镜像仓库中可能存在第三方上传的恶意镜像,如果使用了这些恶意镜像来创建容器后,将会影响容器和应用程序的安全
3敏感信息泄露
为了开发和调试的方便,开发者将敏感信息存在配置文件中,例如数据库密码、证书和密钥等内容,在构建镜像时,这些敏感信息跟随配置文件一并打包进镜像,从而造成敏感信息泄露
(2)容器生命周期的时间短
云原生技术以其敏捷、可靠的特点驱动引领企业的业务发展,成为企业数字业务应用创新的原动力。在容器环境下,一部分容器是以docker的命令启动和管理的,还有大量的容器是通过Kubernetes容器编排系统启动和管理,带来了容器在构建、部署、运行,快速敏捷的特点,大量容器生命周期短于1小时,这样一来容器的生命周期防护较传统虚拟化环境发生了巨大的变化,容器的全生命周期防护存在很大变数。对防守者而言,需要采用传统异常检测和行为分析相结合的方式,来适应短容器生命周期的场景。
传统的异常检测采用WAF、IDS等设备,其规则库已经很完善,通过这种检测方法能够直观的展示出存在的威胁,在容器环境下,这种方法仍然适用。
传统的异常检测能够快速、精确地发现已知威胁,但大多数未知威胁是无法通过规则库匹配到的,因而需要通过行为分析机制来从大量模式中将异常模式分析出来。一般来说,一段生产运营时间内的业务模式是相对固定的,这意味着,业务行为是可以预测的,无论启动多少个容器,容器内部的行为总是相似的。通过机器学习、采集进程行为,自动构建出合理的基线,利用这些基线对容器内的未知威胁进行检测。
(3)容器运行时安全
容器技术带来便利的同时,往往会忽略容器运行时的安全加固,由于容器的生命周期短、轻量级的特性,传统在宿主机或虚拟机上安装杀毒软件来对一个运行一两个进程的容器进行防护,显示费时费力且消耗资源,但在黑客眼里容器和裸奔没有什么区别。容器运行时安全主要关注点:
1不安全的容器应用
与传统的Web安全类似,容器环境下也会存在SQL注入、XSS、RCE、XXE等漏洞,容器在对外提供服务的同时,就有可能被攻击者利用,从而导致容器被入侵
2容器DDOS攻击
默认情况下,docker并不会对容器的资源使用进行限制,默认情况下可以无限使用CPU、内存、硬盘资源,造成不同层面的DDOS攻击
(4)容器微隔离
在容器环境中,与传统网络相比,容器的生命周期变得短了很多,其变化频率也快很多。容器之间有着复杂的访问关系,尤其是当容器数量达到一定规模以后,这种访问关系带来的东西向流量,将会变得异常的庞大和复杂。因此,在容器环境中,网络的隔离需求已经不仅仅是物理网络的隔离,而是变成了容器与容器之间、容器组与宿主机之间、宿主机与宿主机之间的隔离。
问题2:云原生等保合规问题
等级保护20中,针对云计算等新技术、新应用领域的个性安全保护需求提出安全扩展要求,形成新的网络安全等级保护基本要求标准。虽然编写了云计算的安全扩展要求,但是由于编写周期很长,编写时主流还是虚拟化场景,而没有考虑到容器化、微服务、无服务等云原生场景,等级保护20中的所有标准不能完全保证适用于目前云原生环境;
通过安全狗在云安全领域的经验和具体实践,对于云计算安全扩展要求中访问控制的控制点,需要检测主机账号安全,设置不同账号对不同容器的访问权限,保证容器在构建、部署、运行时访问控制策略随其迁移;
对于入侵防范制的控制点,需要可视化管理,绘制业务拓扑图,对主机入侵进行全方位的防范,控制业务流量访问,检测恶意代码感染及蔓延的情况;
镜像和快照保护的控制的,需要对镜像和快照进行保护,保障容器镜像的完整性、可用性和保密性,防止敏感信息泄露。
问题3:宿主机安全
容器与宿主机共享 *** 作系统内核,因此宿主机的配置对容器运行的安全有着重要的影响,比如宿主机安装了有漏洞的软件可能会导致任意代码执行风险,端口无限制开放可能会导致任意用户访问的风险。通过部署主机入侵监测及安全防护系统,提供主机资产管理、主机安全加固、风险漏洞识别、防范入侵行为、问题主机隔离等功能,各个功能之间进行联动,建立采集、检测、监测、防御、捕获一体化的安全闭环管理系统,对主机进行全方位的安全防护,协助用户及时定位已经失陷的主机,响应已知、未知威胁风险,避免内部大面积主机安全事件的发生。
问题4:编排系统问题
编排系统支撑着诸多云原生应用,如无服务、服务网格等,这些新型的微服务体系也同样存在着安全问题。例如攻击者编写一段代码获得容器的shell权限,进而对容器网络进行渗透横移,造成巨大损失。
Kubernetes架构设计的复杂性,启动一个Pod资源需要涉及API Server、Controller、Manager、Scheduler等组件,因而每个组件自身的安全能力显的尤为重要。API Server组件提供的认证授权、准入控制,进行细粒度访问控制、Secret资源提供密钥管理及Pod自身提供安全策略和网络策略,合理使用这些机制可以有效实现Kubernetes的安全加固。
问题5:软件供应链安全问题
通常一个项目中会使用大量的开源软件,根据Gartner统计至少有95%的企业会在关键IT产品中使用开源软件,这些来自互联网的开源软件可能本身就带有病毒、这些开源软件中使用了哪些组件也不了解,导致当开源软件中存在0day或Nday漏洞,我们根本无法获悉。
开源软件漏洞无法根治,容器自身的安全问题可能会给开发阶段带的各个过程带来风险,我们能做的是根据SDL原则,从开发阶段就开始对软件安全性进行合理的评估和控制,来提升整个供应链的质量。
问题6:安全运营成本问题
虽然容器的生命周期很短,但是包罗万象。对容器的全生命周期防护时,会对容器构建、部署、运行时进行异常检测和安全防护,随之而来的就是高成本的投入,对成千上万容器中的进程行为进程检测和分析,会消耗宿主机处理器和内存资源,日志传输会占用网络带宽,行为检测会消耗计算资源,当环境中容器数量巨大时,对应的安全运营成本就会急剧增加。
问题7:如何提升安全防护效果
关于安全运营成本问题中,我们了解到容器安全运营成本较高,我们该如何降低安全运营成本的同时,提升安全防护效果呢?这就引入一个业界比较流行的词“安全左移”,将软件生命周期从左到右展开,即开发、测试、集成、部署、运行,安全左移的含义就是将安全防护从传统运营转向开发侧,开发侧主要设计开发软件、软件供应链安全和镜像安全。
因此,想要降低云原生场景下的安全运营成本,提升运营效率,那么首先就要进行“安全左移”,也就是从运营安全转向开发安全,主要考虑开发安全、软件供应链安全、镜像安全和配置核查:
开发安全
需要团队关注代码漏洞,比如使用进行代码审计,找到因缺少安全意识造成的漏洞和因逻辑问题造成的代码逻辑漏洞。
供应链安全
可以使用代码检查工具进行持续性的安全评估。
镜像安全
使用镜像漏洞扫描工具持续对自由仓库中的镜像进行持续评估,对存在风险的镜像进行及时更新。
配置核查
核查包括暴露面、宿主机加固、资产管理等,来提升攻击者利用漏洞的难度。
问题8:安全配置和密钥凭证管理问题
安全配置不规范、密钥凭证不理想也是云原生的一大风险点。云原生应用会存在大量与中间件、后端服务的交互,为了简便,很多开发者将访问凭证、密钥文件直接存放在代码中,或者将一些线上资源的访问凭证设置为弱口令,导致攻击者很容易获得访问敏感数据的权限。
#云原生安全未来展望#
从日益新增的新型攻击威胁来看,云原生的安全将成为今后网络安全防护的关键。伴随着ATT&CK的不断积累和相关技术的日益完善,ATT&CK也已增加了容器矩阵的内容。ATT&CK是对抗战术、技术和常识(Adversarial Tactics, Techniques, and Common Knowledge)的缩写,是一个攻击行为知识库和威胁建模模型,它包含众多威胁组织及其使用的工具和攻击技术。这一开源的对抗战术和技术的知识库已经对安全行业产生了广泛而深刻的影响。
云原生安全的备受关注,使ATTACK Matrix for Container on Cloud的出现恰合时宜。ATT&CK让我们从行为的视角来看待攻击者和防御措施,让相对抽象的容器攻击技术和工具变得有迹可循。结合ATT&CK框架进行模拟红蓝对抗,评估企业目前的安全能力,对提升企业安全防护能力是很好的参考。
大多数IT专业人士都知道,自己随时都可能被要求管理一个项目。如果你本身并不是专门的管理人员,那么很可能会遇到很多问题。下面我们就将一些常见的问题及其答案介绍给大家,希望能够对大家有所帮助什么是所谓ROI指的是投资回报。商业管理人士希望能够通过一种定量的判断标准来了解在进行了一定的资源投入之后能够从项目上得到的收益如何。有的时候,IT项目管理给公司带来的收益体现在公司的财政状况上,也有的时候,这种收益体现在财政状况之外的其他方面,还有的时候是两个方面兼而有之。
通常,项目管理在职研究生对项目进行投资回报分析有三个原因:一、证明现有项目的价值,二、证明对项目进行先期投资的合理性,三、使下一步的具体行动更具说服力。如何计算项目的投资回报,在大多数财政性投资回报的计算当中,了解下面这些信息都是必需的:
1、项目成本:维护与运营成本(包括项目分析期内的每一年);
2、财政收益(如果有的话。包括项目分析期内的每一年);
3、每年的现金流动(从每年的财政收入中减去成本支出)。
在进行非财政性投资回报计算时,根据计算方法的不同,需要的一些数字。一般来说,包括成本投入和能够表明业务进展的非财务方面的数据。(如时间、数量或质量等)在大多数情况下,你可能要计算财务上的投资回报数据。
应用商业投资回报计算器或是其他的同类工具,任何人都能够简单快速的完成对投资回报的计算什么是成本效益分析在任何的商业-IT决策当中,决策者都会面临多种选择。你可以选择“A”方案,也可以选择“B”方案,还可以哪个方案都不选。最后只有一个方案是“最佳”的。成本效益分析(CBA)会对各种可供选择的方案(技术、项目等)进行比较,通过比较让决策者了解哪种方案是最佳的。好的成本收益分析可以帮助决策者计算出能表明项目影响力的数据。有的时候,成本收益分析是对两个或更多的可选方案的成本和收益进行系统的评估,让决策者了解哪种方案能够给公司带来最大的价值。但同时,成本效益分析又是为了让大家对项目投资回报的预期更理性。它可能包括用在每个内部员工身上的平均成本、系统预期的使用年限、资本费用和用于雇佣合同工的费用等商业案例与成本收益分析是否等同两者是相似的,但并不完全等同。两者都是通过事实来让决策者做出更为明智的决策。商业案例是一种鼓吹似的文档,它的目的是劝说各个利益相关的群体和部门采取某些具体的行动。与成本收益分析相比,商业案例更全面。比如说,商业案例当中通常都会包括对战略性结盟的讨论,而这通常是成本收益分析所不具备的。成本收益分析仅仅是对一些可行的选择方案的“中立”评估,它涉及到各种可供选择的方案的成本、收益、风险、回报等关键数据,并且通过比较让决策者了解哪种方案最有利。
项目交付是项目进展的切实成果,如项目计划或项目计划的某个特定组成部分,比如:状态报告等项目影响分析的目的是什么项目完成之后会使公司某些方面的运作产生变化,而项目进行过程当中又必然要求一定的成本投入。对项目进行前后的不同状况进行比较就是项目影响力分析。这是决定项目是否应当继续进行下去的一个重要判断标准到底什么是风险管理?金融风险管理的目的是确定项目可能出现的问题以及新系统运行起来之后可能出现的问题,确定这些问题一旦出现会造成的影响。
风险管理的另外一个组成部分就是对问题出现的可能性进行评估。综合考虑了所有的因素之后,项目经理就能够对项目风险做到心中有数了。在项目计划当中,项目经理应该列出所有出现可能性较高的风险及其可能带来的消极影响,当然,那些出现可能性一般的风险也不能忽视。要采取切实的行动来消除或减轻列举出的各种风险什么是范围管理对项目范围进行界定的目的是清楚的描述项目的逻辑范围并在此问题上征得大家的一致。对项目范围的陈述用于界定哪些要素在项目范围之内,而哪些要素在项目范围之外。能够界定的项目范围所涉及的方面越多,项目进展起来就会越顺利。下面这些信息可能会起到帮助作用:
1、范围内和范围外的任务类型(业务需求、现状评估);
2、范围内和范围外的生命周期流程(分析、设计、测试);
3、范围内和范围外的数据类型(财务、销售、员工);
4、范围内和范围外的数据来源或数据库(账单、公司总帐,薪水明细);
5、范围内和范围外的部门(人力资源、制造商、供货商);
6、范围内和范围外的主要功能(决策支持、数据输入、管理报告)。
在职研究生商业案例当中通常都包括成本收益分析的结果什么是项目管理计划在项目开始之前,项目经理先要制定项目计划。项目计划的制定可以帮助项目经理对项目的任务和工期进行预测,还可以帮助项目经理对未来几个月内的详细工作进行规划,合理配置人员和各种资源。设定一系列一致的项目管理规程会对项目管理有所帮助。项目计划中应当包含的要素有范围管理、风险、沟通、人员配置等。同样,制定项目计划的关键是通过对项目的界定来更好的通过管理实现项目预期。例如,如果你对范围变化请求的批准程序作出了界定并且同大家达成了一致,那么在项目开始之后对变化进行管理就会简单得多项目交付的重要性如何项目交付非常重要。因为它可以帮助项目经理获得股东和项目赞助人的认可,并且可以让股东和项目赞助人了解项目的进展状况。
考研政策不清晰?同等学力在职申硕有困惑?院校专业不好选?点击底部官网,有专业老师为你答疑解惑,211/985名校研究生硕士/博士开放网申报名中:>
以上就是关于当IT项目经理应该做哪些事情全部的内容,包括:当IT项目经理应该做哪些事情、IT项目实施流程、在IT项目建设中,如何保证数据库安全性等相关内容解答,如果想了解更多相关内容,可以关注我们,你们的支持是我们更新的动力!
欢迎分享,转载请注明来源:内存溢出
评论列表(0条)