项目管理的建议 篇1
项目管理是项目的管理者,在有限的资源约束下,运用系统的观点、方法和理论,对项目涉及的全部工作进行有效地管理。即从项目的投资决策开始到项目结束的全过程进行计划、组织、指挥、协调、控制和评价,以实现项目的目标。
1、流程过于繁琐冗长,过多则流于形式。什么工作内容都要走流程,就会走向流程管理的反面,物极必反,于项目日常工作造成不必要的时间,精力耗费,大大降低工作效率,得不偿失。建议不必要的内容无需走流程,重点的需要公司层面审核的工作内容走流程。
2、项目人员配置偏少,造成工作强度偏大,管理强度不够不完善。麻雀虽小,五脏俱全,不管项目大小,工作内容几乎差不多,无非就是安全,质量,进度,资料,技术管理等等,大小项目,很大程度上,只是项目持续的时间长短而已,在特定的项目周期内,工作内容差异不大,因此,项目人手不能仅仅根据合同额来配置。原则上要满足日常项目管理需要,不能捉襟见肘,头痛医头脚痛医脚,疲于应付。
3、以项目为核心管理,公司各职能部门作为后台支撑。让听见炮声的人指挥战斗,权力适当下放,因为项目始终处在第一线,对工程情况掌握第一手信息,项目的日常运行与管理,也应该以项目为中心,公司其他部门如采购部,设计部,商务部,统筹部作为后勤保障。而不是公司各部门对项目造成掣肘,甚至给项目运行带来阻力。很多时候,项目部必须得屈从于其他部门,导致工作开展被动无奈。
4、加强员工后续制度性培训学习,加强员工之间内部经验交流沟通。公司员工是人力资源,而不是人力负担,资源需要利用,更需要维护升级,否则竭泽而渔,缺乏持续发展动力。虽说在战斗中学习战斗,但是平时项目工作时间紧张,空余时间极少,项目人员分散,所以集中学习的机会很少,交流不足,知识是不断更新换代的,员工也需要不断地学习才能跟上发展的脚步,这里所说的培训学习,最好是抽调部分人员轮流集中到公司封闭学习,公司组织专业有经验的人员(可以使公司内部管理经验丰富,技术过硬的骨干,甚至可以是外部聘请)对员工进行职业技能升级培训如商务谈判,工程资料归类整理,技术指导,质量安全培训等等。让所谓的江河大学得到基层制度性落实。
5、建立项目部轮休机制,以人为本。由于公司对项目人员作息这一块态度暧昧,没有给予明确休息时间,导致大部分项目经理对于下属规律性休息不能保证(比如一周休息一天等),最多也就是有事请假而已(其实工地上少了谁一天都能正常运转)。列宁说,不会休息的人也不会工作。工作时间持续过久,没有得到间歇性补偿休息,会产生倦怠,工作效率降低,生活幸福感消失。
6、重视校招生员工的培养与发展。因为校招生员工的第一份工作就是在江河,因此这部分员工对于江河感情最深,对公司文化最认可,工作也最为卖力,但是同时,涨薪幅度也最小,这样几年过去后,相对于社招员工,在江河工龄较长,但工资偏低,横向比较之下,也会产生不平衡感。这是大部分公司的通病,但是也可以大胆改革,比如从第三年开始,对于校招员工这一块单独议薪,幅度要大。
7、多一点正向激励,少一点负向处罚。公司内部网站上,公告上,看到最多的无非就是对员工的各项处罚制度,处罚案例,极少看到对员工的奖励。负向激励,在某些方面也许可以起到促进工作的作用,长期发展,得到的结果也许就是人情味的丧失,活力工作激情的消退,积极性的降低,制造大量无事碌碌平庸的犬儒。
8、加强公司文化的发展,提高软实力的传播,发挥文化的推动作用。貌似公司文化就是墙壁上刘载望写的几个标语,但是标语并没有落地,公司文化思想得不到贯彻传承。比如定制一些公司特点的茶杯,文化衫,笔记本,U盘等等,在员工生日或特定节日发放。当初我把公司的那个笔记本给我妈当备课本,我妈到处和别人讲,我儿子就在这个公司。那为什么这样有意义的文化类产品不可以扩大呢。增强员工对公司文化价值的认同感,何乐不为。平时公司领导谈论最多的也就只剩下业绩,回款之类的'枯燥数据。说那是“狼文化”,这一点我是不认同的。这只会陷入空前的功利误区。
项目管理的建议 篇2为了提高项目管理水平和工作效率,节约成本,使项目管理团队企业化、规范化、制度化。以制度管人,越管越轻松,以人管人,越管越辛苦。为企业发展壮大,按照科学可行的模式管理,特提出以下建议:
一、 项目部班子管理
1、 实行岗位责任制,编制岗位管理制度。
施工员:管理现场班组,对班组进行技术交底,安排施工任务和执行施工工序,监督工程质量,核算班组工程量,按合同约定批准工程进度款,对班组不服从安排的班组和个人有处罚权和拒签工程进度款权。
测量员:主管工程测量,对工程场地坐标、测量控制点、楼层标高、场地标高、混凝土浇筑厚度进行控制,配合施工员做好施工管理工作。
安全员:负责施工现场三口四宝五临边等安全防护、外架搭设质量、施工机械、施工用电等和施工进度,安排施工任务和执行施工工序,核算外架及防护设施工程量,按合同约定批准工程进度款,并监管生活区文明安全,对不服从安全及文明施工管理的班组和个人有处罚权和拒签工程进度款权。
仓库管理员:严格按照仓库管理制度执行材料出入库制度,严进严出,妥善保管,登记造册,杜绝浪费。
后勤管理员:管理3-5人杂工小组,配合现场及班组清理垃圾、整理材料、挖沟、填土、埋管、拉电、抽水、修路、切割穿墙螺杆、维修保护、清理生活区、办公区卫生等(如为班组服务,由班组付费)。
2、 所有施工班组进场前先要签订劳务承包合同,以便项目部管理和处罚有法可依,防止施工班组推诿抵赖找借口。
3、 所有施工班组进场安排住宿前,都要登记造册,接受安全教育,并交身份z复印件,统一安排住宿,接受宿舍管理制度规定。
4、 工程进度款批准,由施工员→安全员→总工→项目经理→老板,
按顺序逐级批准,不得越权(老板一般情况下不宜直接批准,以免造成无效管理局面)。工程款严格按合同约定支付,层层把关,严禁超支。
5、 所有班组及材料供应商、机械承包商的调度管理,由项目部统一指挥。老板所有命令都下达到项目部,不直接下达到承包商,以免班组长和材料供应商及机械承包商只认老板,不认项目部,导致管理失控,项目部无法调动。
6、 工地守卫设一名保安队长,对工地材料安全及人员出入安全全面管理,并对可疑人员和班组及车辆、行李有搜查权。
二、 班组管理
1、 每个班组签订合同时,同时签订安全承诺书及各项管理制度,绝对服从项目部统一管理。
2、 施工班组每个工人都必须有身份z,没有身份z一律不得进场。
3、 每个施工班组只有一个食堂,每个食堂不得超过2个燃气罐,超过者一律由项目部安全员统一管理。不得使用电磁炉。
4、 班组承保范围内的垃圾、材料,项目部两次要求都没有清理或转运的,由项目部安排工人处理,费用从所属班组扣除。
5、 各班组承包人必须每天到场管理施工,对工程质量、安全负责,如果施工进度或质量不能满足要求,项目部有权安排其他班组施工。
6、 各班组施工工具或机械自备,项目部不再提供(如钢筋班的钢筋弯曲机、切断机、调直机、电焊机、套丝机等;木工班的电锯、电钻等;泥水班的搅拌机、振动棒、平板振动器、手推车等)。机械各班组自己维修保养,
7、 各班组自备电缆线和照明用的LED灯,必须符合安全规定。
8、 各班组配备设备及灯具不足时,可以由项目部提供,费用自付。
9、 生活区卫生费,每个班组每月300元(不论人数多少)。
10、 所有宿舍内限电使用,每间宿舍用电负荷不得超过200瓦。禁止使用电磁炉、电热水器等大功率电器,防止发生火灾,严禁宿舍内煮饭炒菜,以经发现,立即没收,退场时发还。
11、 每个班组发放工程款时,必须在项目部监督下,每个班组制作工资清单,并且工人本人来现场亲自领取工资,项目部拍照留存底单。
12、 每个工人(包括家属)入场和入住前,都先要到项目部参加培训和安全教育,签订项目管理协议,取得项目部发放的工作卡,否则不得入住和进场。
项目管理的建议 篇3一、项目背景
中青旅控股股份有限公司(简称中青旅)是一家以旅游服务为主营业务的上市公司,是以共青团中央直属企业中国青旅集团公司为主发起人,通过募集方式设立的股份有限公司,1997年11月26日公司创立,12月3日公司股票在上海证券交易所上市,是我国旅行社行业首家A股上市公司、北京市首批5A级旅行社,现有总股本41535亿元。
其目前所处的环境是一方面中国旅游业蓬勃发展,另一方面,中国旅游产业本身仍处在一种无序的竞争状态,制约了中青旅的发展,只有打破既有格局,中青旅才能实现可持续发展。可贵的是中青旅拥有一个能够居安思危,具有很强决断力和行动力的领导集体,他们在这方面已经有所行动。但是打破既有格局风险极大,对此,必须对环境和战略进行系统思考,谨慎行动。
在此形势下,本小组接受中青旅的委托,为其提供企业理念、战略制定、产业整合以及营销网络管理等方面的咨询服务,以期帮助中青旅重塑自我,确立在产业内的优势地位。
为保证咨询工作的顺利进行,现将有关立项事宜提出如下初步建议,以供双方进一步沟通与协商。
二、项目总目标
系统提炼中青旅成功经验,按未来竞争格局的要求,帮助中青旅完成价值理念整合、发展战略制定以及营销网络建设。使中青旅懂得如何依靠企业自身的力量,完成思想建设、组织建设与队伍建设,成功地走向未来。
三、项目设计总思路
我们倾向于通过以下三个层面的咨询来帮助中青旅完成系统思考:理念层面、战略层面及营销网络系统创新层面。
我们认为,统一的企业理念是正确制定战略的前提,而实施企业战略又必须准确寻找切入点并阶段性推进。
中青旅必须先于业内同行,完成上述过程,才能确立自己在产业价值链中的竞争优势地位,时间的紧迫性不容置疑。这三个层面工作的开展,并非是一个简单的时间序列关系,而是有着内在有机联系。
(一)、企业理念
1、目标。中青旅原有的市场地位,以及其存在的价值依赖于行业的垄断性,随着行业的开放,中青旅的经营环境发生了根本性的变化。环境的改变必定使企业的经营理念和价值主张发生相应的变化。中青旅上市后的三年正是这种新理念萌育和发展的过程。和君创业的任务就是帮助中青旅把这种经营理念和价值主张进行归纳和总结,提升和充实。并在此过程中,使中青旅内部达成理念的统一。
2、路径。通过彼此的深度沟通和反复讨论,达成共识,在内部形成高度认同的、共同的价值理念。
3、成果。对中青旅基本价值观和企业理念进行准确的表达。通过沟通和培训,努力使这一理念转化为员工的自觉行为和意识。
(二)、企业战略
1、中青旅的整体战略包括发展战略和竞争战略两大板块。发展战略包括产业分析及资本市场分析,竞争战略包括市场分析及竞争对手分析。
2、公司分析:本小组认为,发展战略和竞争战略的形成都必须以对公司现在的运行状况进行深入分析为前提,尤其是对现有资源及其配置效率的分析。本小组将帮助中青旅建立资源与战略的融合,为公司新战略的推进排除障碍。本小组将通过对中青旅管理资源、财务资源、市场网络、运营能力进行分析,来从总体上把握中青旅的价值创造潜力,以及可能的商业模式。
3、发展战略:有了对中青旅运营状况的了解,本小组将在产业分析和资本市场分析的基础上,运用一系列的科学方法,制定中青旅的整体发展战略。第一、通过产业分析,对旅游产业价值链进行准确的描述。第二、我们认为,中青旅需要在产业价值链上建立一个可持续的价值创造系统。第三、通过提升中青旅在资本市场上的形象,聚集更多的资本来推动公司的战略实施,形成中青旅产业发展和资本运作的双赢,从而最终确立中青旅在行业的领先地位。
4、竞争战略:旅游行业行政垄断格局的结束意味着行业已经进入全方位市场竞争状态。在这种形势下,中青旅必须具有主动变革与挑战竞争的精神,才能找到在产业价值链中新的定位,找到生存与发展的事业基础。竞争战略制定的实质是:在分析产业价值链的基础上,找到本企业最具有培育潜力的成功关键环节,据此建立重点战略领域,并在此集聚和配置资源,培育核心竞争能力,使中青旅取得不可替代的竞争优势。本小组认为,中青旅的成功关键是以下三个环节: 不断累积终端客户资源(数据和资料)、持续改善旅游产品(安全、舒适、令人愉快)、建立健全信息管理系统(打通产品与服务之间的内在联系),而本小组的任务是帮助中青旅找到掌握这三个关键环节的方法和路径。
(三)、营销网络模式
1、本小组将在对中青旅现有的营销网络的深度调研基础上,总结提炼出现有营销网络的精髓,并指出其中的成败因素,经系统研究后,向中青旅提出我们完善营销模式的方案。
2、我们认为,营销网络发展的前提,是旅游产品和服务的不断改进和改善;旅游产品和服务的不断改进和改善,必须依托营销网络的有效发展,两者相辅相成,两者能够形成良性循环的成败关键在于信息平台的建设,在于基于信息技术的管理能力的发育。
3、我们将关注以下几个方面:对中青旅营销网络的现状进行归纳总结、对顾客需求情况进行深入调查、对旅游行业的竞争格局和营销模式进行系统研究。
四、项目实施原则
(一)、经验和科学相结合原则。在系统调查和研究基础上,尤其是与企业高层领导深层次沟通和探索的基础上,进行系统的基于经验的假设,深化对企业整体的理解以及对核心命题的把握,进而展开规范科学全面的论证。
(二)、指导和互动相结合原则。始终与客户方有关人员保持联系与交流,不断吸引客户方更多的要职要员关心项目的进展,深化双方对企业基本命题和现状的认识,使咨询方案不断完善,使咨询建议落到实处。
(三)、短期和长期相结合原则。从企业现状入手,按照总体发展的要求,提供系统解决问题的办法和举措,使现实的经营管理改进举措不仅能够见到短期实效,而且具有长期发展的未来意义。
(四)、方案研究与帮助实施相结合原则。按照提升咨询品牌和信誉的要求,以及不断深化和客户企业关系的要求,不断帮助客户实施方案,使方案获得预期效果。
五、项目实施流程
(一)、我们将组织咨询队伍,分成“理念战略”和“营销网络”两个小组分别与中青旅的项目小组进行对接,与客户共同组成精干的工作小组。
(二)、以环境分析、行业分析和资源评价为前提,系统分析客户企业面临的机遇与挑战;系统搜集、整理和分析中青旅的实践经验及模式,发现问题,寻找机会。
(三)、在咨询计划指导下,依专题展开深入研究。
(四)、分步骤、分阶段地提出各专题的咨询报告;与客户企业反复沟通,修改咨询报告,确定富于可 *** 作性的科学的最终咨询报告。
(五)、客户根据报告的建议实施一系列的变革措施,我们将给予持续的指导和帮助。
六、项目进度安排
(一)、协议签定后三日内双方组成对接小组。
(二)、11月底:完成对旅游行业及中青旅企业的系统调查,同时完成对中青旅现有营销网络的系统调查,并开始撰写相关报告。
(三)、12月底:完成《中青旅宣言》、《中青旅发展战略研究》、《中青旅营销网络模式》与《营销网络模式运行系列教材》 。
(四)、1月-3月:培训与指导。
(五)、翌年11月底:研讨会与跟踪指导。
七、项目最终成果
(一)、起草《中青旅宣言》
(二)、撰写《中青旅发展战略研究》
(三)、提供《中青旅营销网络模式》
(四)、完成《营销网络模式运行系列教材》
(五)、培训《营销网络模式运行系列教材》的讲师
(六)、指导和帮助中青旅推广和复制营销模式
(七)、跟踪咨询效果12个月
(八)、组织外部专家学者对《中青旅宣言》进行评估和修改
(九)、组织《中青旅宣言》的全国性研讨会
(十)、运用媒体对《中青旅宣言》进行深度宣传
八、项目咨询费及其他费用
(一)、咨询费总额贰佰万元人民币(¥200万元),签订协议后三日内一次支付。
(二)、项目差旅费(含异地交通与食宿费)全部由中青旅负担。
项目管理的建议 篇4一、建筑项目预算管理的内涵及功能。
预算是根据组织自身发展战略及预期经济活动目标等编制的财务预算活动,该活动是以货币或实物的形式对该组织在一定时期内生产经营等活动在财务方面进行的细致规划。
工程项目的预算设计上就是在财务活动发生设定预算控制计划,在财务管理和运行中加以落实,并注重监督、评价等,不断实现财务预算制度的改进,对项目总体财务活动的合理性进行引导等。
项目预算的编制与审核,对于项目合理投资与成本控制意义重大,对项目经济效益的实现有着决定性影响。对项目预算的审核流程、标准、结果则影响项目预算的功能发挥。
二、建筑项目预算管理对项目造价管理的重要性。
项目预算编制与审核,是项目预算管理与造价管理的重要立足点。必须进行有效的项目预算审核,才可以准确的发现预算编制的不足,进而调整预算内容,确保预算科学合理,进而更好的指导项目全过程造价管理等。具体而言,实施有效的预算审核制度,则项目运作中的财务活动能够在有效的预算审核下进行形成财务活动流程与权责明确的机制,实现财务运行的有效监督与改进,提升项目的财务内部控制能力,辅助项目管理,提升项目经济效益。在预算审核的量化数据基础上,有效的预算数据能够为项目的经营管理决策提供更可观和量化的数据基础,促使项目在投资、设计、施工、运营等阶段更加理性的在最佳成本效益基础上实现有效的造价管理。在有效的预算审核制度下,项目管理者就可以对内部资源配置进行更符合市场发展要求和项目内外部环境进行不断调整和完善,促使资源配置实现最优经济目标,促进项目综合效益改善。
三、基于全过程理论的建筑项目预算管理建议。
( 一 ) 制定完整的工程量清单报价。
工程量清单报价也就是项目承包方根据发包人设置的统一计价项目、规则和单位,对项目实际工程量列出清单,结合项目、市场及合作方的情况,考虑各种项目风险,列出的包括项目成本、利润及税费等在内的综合单价列表,整个项目清单报价汇总起来就会成为工程的总报价。而工程量清单根据同期及相似工程的技术、设备、工期、人力等方面的成本费用经验,依据工程量清单编制的。这就帮助项目管理者整合同期及类似项目的相关数据与有用信息,是报价编制的基础。工程量清单的报价是依据项目可行性报告及投资估算、初步设计概算、施工图预算、设计交底纪要、招投标、成本合同及工程结算资料、施工记录或签证单、竣工图、历史决算资料、设备、材料调价资料,及其他相关资料编制的。这份清单对于财务部门依据历史数据与项目自身情况,联合项目管理部门设计初步预算管理方案具备重要帮助。
( 二 ) 初步编制预算并加以审核。
在项目工程量清单报价编制后,就可以参照同期相似工程的成本等编制初步预算。但是国内很多项目管理者都倾向于采取最低招标法选择中标单位,可能存在采购物资与工程量清单对最佳原材料的要求,导致后续施工可能存在质量缺陷,不符合项目预算管理的核心原则与要求。因此,预算编制需要项目的设计单位、财务部门、项目管理部门等,联合项目预算管理领域的专家等共同参与项目预算初步编制。
其后,进行预算审核。项目的预算审核就是由专门的审核单位,由专业的项目管理公司对设计单位与施工单位共同编制的项目预算书进行审核,分析主要预算内容的浮动空间是否合理、预算标准是否符合行业正常值、预算编制限制是否明显高于或低于同类项目等。也就是说,项目预算审核关键就是由第三方专业组织对已经编制的项目预算是否合理,如何进行调整等给出专业意见的工作。预算审核单位需要注重根据最新的市场报价、最新的实用技术变化情况,依据项目设计图纸、现场施工等的最新情况,对主要环节的单项物资预算价格以及各项技术对应工程量进行调整,最终确定更符合市场现实和技术要求的预算水平,进而提升项目预算的可行性。
( 三 ) 通过决算并确保执行。
在建筑项目的预算审核后,应该由项目管理部门负责预算在项目各阶段的严格履行,确保预算方案发挥应有效果。这就需要做到:第一,明确预算执行的各阶段任务与目标,并且将每一个任务的落实分配到具体部门与岗位。在岗位责任制基础上,强化责任监督与职务考核,为预算执行到位创造组织基础。第二,对项目预算执行过程中各参与方利益进行协调,特别是应该发挥项目监理功能,强化其对施工单位施工过程中预算执行的监督与引导。第三,在项目每一个进度节点,对项目预算执行进行评价。对于实际消耗超出预算的情况,及时查找原因,并做出应对策略。第四,在项目竣工结算阶段,做好总量核对与最终的预算评价工作,对本项目预算管理的效果进行最终评估。最终得出项目预算管理整个过程中的成功经验,明确所存在的不足,并为后续项目预算管理创造更好基础。
参考文献:
[1] 张宏科 分析建筑项目成本控制中的预算与管理 [J] 江西建材,2014(2)。
[2] 石英华 完善预算管理的深层次思考--项目支出预算执行的问题与对策 [J] 财贸经济,2012(10)。
明确项目组自身定位。不同公司对项目管理的理解不同,项目制的执行方式不同,项目组在各公司的地位不同,项目的实施方式不同,项目组职责上也有差异
2 明确产品需求,并力争尽早锁定它。需求是会变化的,也就是你所负责项目的输入可能会有调整,输入一变,你后续的工作就得返工,甚至推倒重来。变化来
3 深入、细致的工程策划。要与产品实现的流程紧密结合
#云原生背景#
云计算是信息技术发展和服务模式创新的集中体现,是信息化发展的重要变革和必然趋势。随着“新基建”加速布局,以及企业数字化转型的逐步深入,如何深化用云进一步提升云计算使用效能成为现阶段云计算发展的重点。云原生以其高效稳定、快速响应的特点极大地释放了云计算效能,成为企业数字业务应用创新的原动力,云原生进入快速发展阶段,就像集装箱加速贸易全球化进程一样,云原生技术正在助力云计算普及和企业数字化转型。
云原生计算基金会(CNCF)对云原生的定义是:云原生技术有利于各组织在公有云、私有云和混合云等新型动态环境中,构建和运行可d性扩展的应用。云原生的代表技术包括容器、服务网格、微服务、不可变基础设施和声明式编程API。
#云安全时代市场发展#
云安全几乎是伴随着云计算市场而发展起来的,云基础设施投资的快速增长,无疑为云安全发展提供土壤。根据 IDC 数据,2020 年全球云安全支出占云 IT 支出比例仅为 11%,说明目前云安全支出远远不够,假设这一比例提升至 5%,那么2020 年全球云安全市场空间可达 532 亿美元,2023 年可达 1089 亿美元。
海外云安全市场:技术创新与兼并整合活跃。整体来看,海外云安全市场正处于快速发展阶段,技术创新活跃,兼并整合频繁。一方面,云安全技术创新活跃,并呈现融合发展趋势。例如,综合型安全公司 PaloAlto 的 Prisma 产品线将 CWPP、CSPM 和 CASB 三个云安全技术产品统一融合,提供综合解决方案及 SASE、容器安全、微隔离等一系列云上安全能力。另一方面,新兴的云安全企业快速发展,同时,传统安全供应商也通过自研+兼并的方式加强云安全布局。
国内云安全市场:市场空间广阔,尚处于技术追随阶段。市场规模上,根据中国信通院数据,2019 年我国云计算整体市场规模达 13345亿元,增速 386%。预计 2020-2022 年仍将处于快速增长阶段,到 2023 年市场规模将超过 37542 亿元。中性假设下,安全投入占云计算市场规模的 3%-5%,那么 2023 年中国云安全市场规模有望达到 1126 亿-1877 亿元。技术发展上,中国在云计算的发展阶段和云原生技术的程度上与海外市场还有一定差距。国内 CWPP 技术应用较为广泛,对于 CASB、CSPM 一些新兴的云安全技术应用较少。但随着国内公有云市场的加速发展,云原生技术的应用越来越广泛,我们认为CASB、SCPM、SASE 等新兴技术在国内的应用也将越来越广泛。
#云上安全呈原生化发展趋势#
云原生技术逐渐成为云计算市场新趋势,所带来的安全问题更为复杂。以容器、服务网格、微服务等为代表的云原生技术,正在影响各行各业的 IT 基础设施、平台和应用系统,也在渗透到如 IT/OT 融合的工业互联网、IT/CT 融合的 5G、边缘计算等新型基础设施中。随着云原生越来越多的落地应用,其相关的安全风险与威胁也不断的显现出来。Docker/Kubernetes 等服务暴露问题、特斯拉 Kubernetes 集群挖矿事件、Docker Hub 中的容器镜像被“投毒”注入挖矿程序、微软 Azure 安全中心检测到大规模 Kubernetes 挖矿事件、Graboid 蠕虫挖矿传播事件等一系列针对云原生的安全攻击事件层出不穷。
从各种各样的安全风险中可以一窥云原生技术的安全态势,云原生环境仍然存在许多安全问题亟待解决。在云原生技术的落地过程中,安全是必须要考虑的重要因素。
#云原生安全的定义#
国内外各组织、企业对云原生安全理念的解释略有差异,结合我国产业现状与痛点,云原生与云计算安全相似,云原生安全也包含两层含义:“面向云原生环境的安全”和“具有云原生特征的安全”。
面向云原生环境的安全,其目标是防护云原生环境中的基础设施、编排系统和微服务的安全。这类安全机制,不一定具备云原生的特性(比如容器化、可编排),它们可以是传统模式部署的,甚至是硬件设备,但其作用是保护日益普及的云原生环境。
具有云原生特征的安全,是指具有云原生的d性敏捷、轻量级、可编排等特性的各类安全机制。云原生是一种理念上的创新,通过容器化、资源编排和微服务重构了传统的开发运营体系,加速业务上线和变更的速度,因而,云原生系统的种种优良特性同样会给安全厂商带来很大的启发,重构安全产品、平台,改变其交付、更新模式。
#云原生安全理念构建#
为缓解传统安全防护建设中存在的痛点,促进云计算成为更加安全可信的信息基础设施,助力云客户更加安全的使用云计算,云原生安全理念兴起,国内外第三方组织、服务商纷纷提出以原生为核心构建和发展云安全。
Gartner提倡以云原生思维建设云安全体系
基于云原生思维,Gartner提出的云安全体系覆盖八方面。其中,基础设施配置、身份和访问管理两部分由云服务商作为基础能力提供,其它六部分,包括持续的云安全态势管理,全方位的可视化、日志、审计和评估,工作负载安全,应用、PaaS 和 API 安全,扩展的数据保护,云威胁检测,客户需基于安全产品实现。
Forrester评估公有云平台原生安全能力
Forrester认为公有云平台原生安全(Public cloud platform native security, PCPNS)应从三大类、37 个方面去衡量。从已提供的产品和功能,以及未来战略规划可以看出,一是考察云服务商自身的安全能力和建设情况,如数据中心安全、内部人员等,二是云平台具备的基础安全功能,如帮助和文档、授权和认证等,三是为用户提供的原生安全产品,如容器安全、数据安全等。
安全狗以4项工作防护体系建设云原生安全
(1)结合云原生技术的具体落地情况开展并落实最小权限、纵深防御工作,对于云原生环境中的各种组成部分,均可贯彻落实“安全左移”的原则,进行安全基线配置,防范于未然。而对于微服务架构Web应用以及Serverless应用的防护而言,其重点是应用安全问题。
(2)围绕云原生应用的生命周期来进行DevSecOps建设,以当前的云原生环境的关键技术栈“K8S + Docker”举例进行分析。应该在容器的全生命周期注重“配置安全”,在项目构建时注重“镜像安全”,在项目部署时注重“容器准入”,在容器的运行环境注重云计算的三要素“计算”“网络”以及“存储”等方面的安全问题。
(3)围绕攻击前、中、后的安全实施准则进行构建,可依据安全实施准则对攻击前、中、后这三个阶段开展检测与防御工作。
(4)改造并综合运用现有云安全技术,不应将“云原生安全”视为一个独立的命题,为云原生环境提供更多支持的主机安全、微隔离等技术可赋能于云原生安全。
#云原生安全新型风险#
云原生架构的安全风险包含云原生基础设施自身的安全风险,以及上层应用云原生化改造后新增和扩大的安全风险。云原生环境面临着严峻的安全风险问题。攻击者可能利用的重要攻击面包括但不限于:容器安全、编排系统、软件供应链等。下面对重要的攻击面安全风险问题进行梳理。
#云原生安全问题梳理#
问题1:容器安全问题
在云原生应用和服务平台的构建过程中,容器技术凭借高d性、敏捷的特性,成为云原生应用场景下的重要技术支撑,因而容器安全也是云原生安全的重要基石。
(1)容器镜像不安全
Sysdig的报告中提到,在用户的生产环境中,会将公开的镜像仓库作为软件源,如最大的容器镜像仓库Docker Hub。一方面,很多开源软件会在Docker Hub上发布容器镜像。另一方面,开发者通常会直接下载公开仓库中的容器镜像,或者基于这些基础镜像定制自己的镜像,整个过程非常方便、高效。然而,Docker Hub上的镜像安全并不理想,有大量的官方镜像存在高危漏洞,如果使用了这些带高危漏洞的镜像,就会极大的增加容器和主机的入侵风险。目前容器镜像的安全问题主要有以下三点:
1不安全的第三方组件
在实际的容器化应用开发过程当中,很少从零开始构建镜像,而是在基础镜像之上增加自己的程序和代码,然后统一打包最终的业务镜像并上线运行,这导致许多开发者根本不知道基础镜像中包含多少组件,以及包含哪些组件,包含的组件越多,可能存在的漏洞就越多。
2恶意镜像
公共镜像仓库中可能存在第三方上传的恶意镜像,如果使用了这些恶意镜像来创建容器后,将会影响容器和应用程序的安全
3敏感信息泄露
为了开发和调试的方便,开发者将敏感信息存在配置文件中,例如数据库密码、证书和密钥等内容,在构建镜像时,这些敏感信息跟随配置文件一并打包进镜像,从而造成敏感信息泄露
(2)容器生命周期的时间短
云原生技术以其敏捷、可靠的特点驱动引领企业的业务发展,成为企业数字业务应用创新的原动力。在容器环境下,一部分容器是以docker的命令启动和管理的,还有大量的容器是通过Kubernetes容器编排系统启动和管理,带来了容器在构建、部署、运行,快速敏捷的特点,大量容器生命周期短于1小时,这样一来容器的生命周期防护较传统虚拟化环境发生了巨大的变化,容器的全生命周期防护存在很大变数。对防守者而言,需要采用传统异常检测和行为分析相结合的方式,来适应短容器生命周期的场景。
传统的异常检测采用WAF、IDS等设备,其规则库已经很完善,通过这种检测方法能够直观的展示出存在的威胁,在容器环境下,这种方法仍然适用。
传统的异常检测能够快速、精确地发现已知威胁,但大多数未知威胁是无法通过规则库匹配到的,因而需要通过行为分析机制来从大量模式中将异常模式分析出来。一般来说,一段生产运营时间内的业务模式是相对固定的,这意味着,业务行为是可以预测的,无论启动多少个容器,容器内部的行为总是相似的。通过机器学习、采集进程行为,自动构建出合理的基线,利用这些基线对容器内的未知威胁进行检测。
(3)容器运行时安全
容器技术带来便利的同时,往往会忽略容器运行时的安全加固,由于容器的生命周期短、轻量级的特性,传统在宿主机或虚拟机上安装杀毒软件来对一个运行一两个进程的容器进行防护,显示费时费力且消耗资源,但在黑客眼里容器和裸奔没有什么区别。容器运行时安全主要关注点:
1不安全的容器应用
与传统的Web安全类似,容器环境下也会存在SQL注入、XSS、RCE、XXE等漏洞,容器在对外提供服务的同时,就有可能被攻击者利用,从而导致容器被入侵
2容器DDOS攻击
默认情况下,docker并不会对容器的资源使用进行限制,默认情况下可以无限使用CPU、内存、硬盘资源,造成不同层面的DDOS攻击
(4)容器微隔离
在容器环境中,与传统网络相比,容器的生命周期变得短了很多,其变化频率也快很多。容器之间有着复杂的访问关系,尤其是当容器数量达到一定规模以后,这种访问关系带来的东西向流量,将会变得异常的庞大和复杂。因此,在容器环境中,网络的隔离需求已经不仅仅是物理网络的隔离,而是变成了容器与容器之间、容器组与宿主机之间、宿主机与宿主机之间的隔离。
问题2:云原生等保合规问题
等级保护20中,针对云计算等新技术、新应用领域的个性安全保护需求提出安全扩展要求,形成新的网络安全等级保护基本要求标准。虽然编写了云计算的安全扩展要求,但是由于编写周期很长,编写时主流还是虚拟化场景,而没有考虑到容器化、微服务、无服务等云原生场景,等级保护20中的所有标准不能完全保证适用于目前云原生环境;
通过安全狗在云安全领域的经验和具体实践,对于云计算安全扩展要求中访问控制的控制点,需要检测主机账号安全,设置不同账号对不同容器的访问权限,保证容器在构建、部署、运行时访问控制策略随其迁移;
对于入侵防范制的控制点,需要可视化管理,绘制业务拓扑图,对主机入侵进行全方位的防范,控制业务流量访问,检测恶意代码感染及蔓延的情况;
镜像和快照保护的控制的,需要对镜像和快照进行保护,保障容器镜像的完整性、可用性和保密性,防止敏感信息泄露。
问题3:宿主机安全
容器与宿主机共享 *** 作系统内核,因此宿主机的配置对容器运行的安全有着重要的影响,比如宿主机安装了有漏洞的软件可能会导致任意代码执行风险,端口无限制开放可能会导致任意用户访问的风险。通过部署主机入侵监测及安全防护系统,提供主机资产管理、主机安全加固、风险漏洞识别、防范入侵行为、问题主机隔离等功能,各个功能之间进行联动,建立采集、检测、监测、防御、捕获一体化的安全闭环管理系统,对主机进行全方位的安全防护,协助用户及时定位已经失陷的主机,响应已知、未知威胁风险,避免内部大面积主机安全事件的发生。
问题4:编排系统问题
编排系统支撑着诸多云原生应用,如无服务、服务网格等,这些新型的微服务体系也同样存在着安全问题。例如攻击者编写一段代码获得容器的shell权限,进而对容器网络进行渗透横移,造成巨大损失。
Kubernetes架构设计的复杂性,启动一个Pod资源需要涉及API Server、Controller、Manager、Scheduler等组件,因而每个组件自身的安全能力显的尤为重要。API Server组件提供的认证授权、准入控制,进行细粒度访问控制、Secret资源提供密钥管理及Pod自身提供安全策略和网络策略,合理使用这些机制可以有效实现Kubernetes的安全加固。
问题5:软件供应链安全问题
通常一个项目中会使用大量的开源软件,根据Gartner统计至少有95%的企业会在关键IT产品中使用开源软件,这些来自互联网的开源软件可能本身就带有病毒、这些开源软件中使用了哪些组件也不了解,导致当开源软件中存在0day或Nday漏洞,我们根本无法获悉。
开源软件漏洞无法根治,容器自身的安全问题可能会给开发阶段带的各个过程带来风险,我们能做的是根据SDL原则,从开发阶段就开始对软件安全性进行合理的评估和控制,来提升整个供应链的质量。
问题6:安全运营成本问题
虽然容器的生命周期很短,但是包罗万象。对容器的全生命周期防护时,会对容器构建、部署、运行时进行异常检测和安全防护,随之而来的就是高成本的投入,对成千上万容器中的进程行为进程检测和分析,会消耗宿主机处理器和内存资源,日志传输会占用网络带宽,行为检测会消耗计算资源,当环境中容器数量巨大时,对应的安全运营成本就会急剧增加。
问题7:如何提升安全防护效果
关于安全运营成本问题中,我们了解到容器安全运营成本较高,我们该如何降低安全运营成本的同时,提升安全防护效果呢?这就引入一个业界比较流行的词“安全左移”,将软件生命周期从左到右展开,即开发、测试、集成、部署、运行,安全左移的含义就是将安全防护从传统运营转向开发侧,开发侧主要设计开发软件、软件供应链安全和镜像安全。
因此,想要降低云原生场景下的安全运营成本,提升运营效率,那么首先就要进行“安全左移”,也就是从运营安全转向开发安全,主要考虑开发安全、软件供应链安全、镜像安全和配置核查:
开发安全
需要团队关注代码漏洞,比如使用进行代码审计,找到因缺少安全意识造成的漏洞和因逻辑问题造成的代码逻辑漏洞。
供应链安全
可以使用代码检查工具进行持续性的安全评估。
镜像安全
使用镜像漏洞扫描工具持续对自由仓库中的镜像进行持续评估,对存在风险的镜像进行及时更新。
配置核查
核查包括暴露面、宿主机加固、资产管理等,来提升攻击者利用漏洞的难度。
问题8:安全配置和密钥凭证管理问题
安全配置不规范、密钥凭证不理想也是云原生的一大风险点。云原生应用会存在大量与中间件、后端服务的交互,为了简便,很多开发者将访问凭证、密钥文件直接存放在代码中,或者将一些线上资源的访问凭证设置为弱口令,导致攻击者很容易获得访问敏感数据的权限。
#云原生安全未来展望#
从日益新增的新型攻击威胁来看,云原生的安全将成为今后网络安全防护的关键。伴随着ATT&CK的不断积累和相关技术的日益完善,ATT&CK也已增加了容器矩阵的内容。ATT&CK是对抗战术、技术和常识(Adversarial Tactics, Techniques, and Common Knowledge)的缩写,是一个攻击行为知识库和威胁建模模型,它包含众多威胁组织及其使用的工具和攻击技术。这一开源的对抗战术和技术的知识库已经对安全行业产生了广泛而深刻的影响。
云原生安全的备受关注,使ATTACK Matrix for Container on Cloud的出现恰合时宜。ATT&CK让我们从行为的视角来看待攻击者和防御措施,让相对抽象的容器攻击技术和工具变得有迹可循。结合ATT&CK框架进行模拟红蓝对抗,评估企业目前的安全能力,对提升企业安全防护能力是很好的参考。
以上就是关于IT技术部改进计划全部的内容,包括:IT技术部改进计划、如何进行IT项目管理 、项目建设的需求分析阶段的IT监理工作机制和方法论等相关内容解答,如果想了解更多相关内容,可以关注我们,你们的支持是我们更新的动力!
欢迎分享,转载请注明来源:内存溢出
微信扫一扫
支付宝扫一扫
评论列表(0条)