当前位置:文档之家› 软件风险控制计划案例

软件风险控制计划案例

软件风险控制计划案例 Jenny was compiled in January 2021软件风险控制计划目录1.软件项目风险管理计划............................................................. . (2)2.风险条目表............................................................. ............................................................... (2).产品规模风险............................................................. .. (2).需求风险............................................................. ............................................................... . (2).商业影响所带来的风险............................................................. . (2).相关性风险............................................................. (3).管理风险............................................................. ............................................................... . (3).技术风险............................................................. ............................................................... . (3).开发环境风险............................................................. .. (3).人员数目及经验风险............................................................. .. (3)3.风险定性分析............................................................. .. (4)4.定量风险估计............................................................. .. (5)5.风险管理清单............................................................. .. (5)6.项目风险措施应对............................................................. (6).网络环境风险和操作系统风险............................................................. . (8).数据存取风险............................................................. .. (9).网上支付风险............................................................. .. (9)7.风险储备............................................................. ............................................................... . (9)8.风险监控............................................................. ............................................................... . (9)1.软件项目风险管理计划本计划主要针对项目开发涉及到的风险,包括在项目开发周期过程中可能出现的风险以及项目实施过程中外部环境的变化可能引起的风险等进行评估。

在文中对所提到的风险都一一做了分析,并提出了相应的风险回避措施。

由于风险是在项目开始之后才开始对项目的开发起负面的影响,所以风险分析的不足,或是风险回避措施不得力,都很有可能造成项目开发的失败。

风险分析是在事前的一种估计,凭借一定的技术手段和丰富的经验,基本能够对项目的风险做出比较准确的估计,经过慎重的考虑提出可行的风险回避措施,是避免损失的重要环节。

2.风险条目表.产品规模风险由于采用功能点估算成本,代码行小于50000行,权重确定主观,另外,功能点到代码行的转换率全凭业界经验所得产品的初定在线活跃用户为5000人。

软件接口包括财务分析软件,薪酬管理软件.需求风险对在线活跃用户缺少确定的把握与其他部门沟通不协调分析员对业务了解不全面需求不断变化,由于不确定的需求导致新的市场.商业影响所带来的风险增加了信息真伪评估成本签约安全成本增加增加消费者的验货成本增加客服成本增加交易安全的法律成本延迟交付造成成本消耗.相关性风险财物资源有限项目经理管理经验不足不可抗力造成的危害高层管理人员对项目的时间要求不合理.管理风险项目范围定义不清楚进度拖延沟通不善.技术风险企业其他部门人员缺乏培训数据加密技术不够安全特殊功能不能及时交付数据库过小不能满足需要防止黑客攻击技术不够设计错误编码导致程序实现困难缺少测试计划缺乏质量跟踪.开发环境风险所使用开发软件的质量问题设计工具不合用数据库各子模块对接困难设备不能按时到位设备固定折损严重系统崩溃备份环境不稳定.人员数目及经验风险人力资源有限开发人员没有接受过正规培训项目中有一些开发人员只能部分时间工作开发人员不能按时到位开发人员经验不足根据风险条目表制定风险分析计划如下(包括风险的定性和定量分析)。

3.风险定性分析本项目采用概率分布法针对风险概率及后果绩效定性的进行评估类别潜在风险事件风险发生概率的定性等级风险后果影响的定性等级综合风险指数产品规模风险功能点估计不精确中轻度11产品的初始在线活跃用户为5000人高严重5软件接口包括财务分析软件,薪酬管理软件极高严重3需求风险对在线活跃用户缺少确定的把握高轻度9与其他部门沟通不协调高轻度18分析员对业务了解不全面中轻微11需求不断变化,由于不确定的需求导致新的市场中轻度2商业影响所带增加了信息真伪评估成本中轻微18签约安全成本增加低轻微19(1-5是不能接受的风险;6-9是不希望有的风险;10-17是有控制的接受的风险;18-20是不经评审即可接受的风险)4.定量风险估计实施后,有75%的成功率,25%的失败率。

25%的概率项目有高性能的回报为800000,75%概率亏本的回报为-100000。

由此,项目成功的损益期望值为(800000*25%-100000*75%)*75%=93750,项目失败的期望值为-50000,则实施后的损益期望值为93750-50000=43750,不实施此项目计划的损益期望值为0。

可以决定实施本项目。

5.风险管理清单6.项目风险措施应对对电子商务系统的安全而言,风险识别的目标主要是对电子商务系统的网络环境风险、数据存取风险和网上支付风险进行识别。

电子商务风险识别最常用的一种方法就是收集各种曾经发生过的电子商务攻击事件(不仅局限于本企业),经过分析提取出若干特征,将其存储到“风险”库,作为识别潜在风险的参考。

由于电子商务系统的特殊性,我们对以下影响本电子商务系统的特殊问题进行具体分析:.网络环境风险和操作系统风险网络服务器常遭受到黑客的袭击,个别网络中的信息系统受到攻击后无法恢复正常运行;网络软件常常被人篡改或破坏;网络中存储或传递的数据常常被未经授权者篡改、增删、复制或使用。

风险应对措施:大部分管理员采用安全漏洞扫描工具对整个系统进行扫描,了解系统的安全状况,如MicrosoftBaselineSecurityAnalyze.许多国产杀毒软件也提供安全测试程序:将存在的漏洞标示出来,并提供相应的解决方法来指导用户进行修补。

扫描方式的漏洞检测工具往往无法得到目标系统的准确信息,因此无法准确判断目标系统的安全状况。

模拟攻击测试是解决这一问题的有效方法,可以准确判断目标系统是否存在测试的漏洞。

但是由于漏洞的多样性和复杂性,现有的模拟攻击测试系统发展缓慢。

过滤保护分析所有针对受保护对象的访问,过滤恶意攻击以及可能带来不安全因素的非法访问;安全检测保护对所有用户的操作进行分析,阻止那些超越权限的用户操作以及可能给操作系统带来不安全因素的用户操作;在特殊需要的时间段内,对某一个或某些进程或线程实施隔离,该时间段结束后解除隔离;在软件层面上对各个进程的访问权限实行控制和限制,以达到隔离的效果;采用加密算法对相应的对象进行加密。

.数据存取风险由于数据存取不当所造成的风险。

这种风险主要来自于企业内部。

一是未经授权的人员进入系统的数据库修改、删除数据;二是企业工作人员操作失误,受其错误数据的影响而带来的风险,其结果必然是使企业效益受到损失,或者是使顾客利益受到损失。

风险应对措施:为了防止信息被窃取,应当对发送的全部信息进行加密。

加密传输形式是一种将传送的内容变成一些不规则的数据,只有通过正确的密钥才可以恢复原文的面貌。

根据密钥的特点,加密算法分为对称密钥加密算法(私钥密码体制)和非对称密钥加密算法(公钥密码体制)。

目前常用的对称密钥加密算法有DES(Data Encryption?Standard)算法和IDEA(International Data Encryption Algorithm)算法。

常用的非对称密钥加密算法有RSA算法和EIGamal算法。

数据库安全最重要的一点就是确保只授权给有资格的用户访问数据库的权限,同时令所有未被授权的人员无法接近数据,这主要通过数据库系统的存取控制机制实现;采用身份认证技术;.网上支付风险网上支付一直被认为是制约中国电子商务发展的最大瓶颈,许多企业和个人担心交易的安全性而不愿使用网上支付。

风险应对措施:与采用其他交易方式相比,采用电子商务交易模式的各方还有更多的风险,这些在电子商务中所特有的风险有:卖方在网站上对产品进行不实宣传,欺诈行为的风险;买方发出恶意订单的风险;交易一方对电子合同否认的风险;交易信息传送风险,如信息被窃、被修改等风险。

相关主题