本站小编为你精心准备了计算机的非授权软件管理分析参考范文,愿这些范文能点燃您思维的火花,激发您的写作灵感。欢迎深入阅读并收藏。
《中国金融电脑杂志》2015年第一期
1.白名单管理模式
该模式是指:首先,建立一份完整的授权企业员工使用的软件“白名单”;然后,通过各种方式确保计算机仅能安装和使用“白名单”中的软件。根据实现方式的不同,白名单软件管理模式又可以进一步划分为以下三类。模式1:“白名单”+上收办公计算机用户软件安装权限上收办公计算机用户自行安装软件和控件的权限,只能使用具有高权限的用户从后台推送的软件或补丁,或由管理员到现场进行安装来实现技术硬控制。该模式实现了计算机非授权软件管理的目标,但其局限性也很突出且难以突破。该模式存在的主要问题包括,一是由于用户没有管理员权限,后台工具推送软件到计算机后,部分软件可能无法正常运行。二是管理员人工安装效率低下且耗费人力,而后台推送方式与计算机用户软件使用需求的多样性存在矛盾。模式2:“白名单”+禁止安装白名单以外软件不上收办公计算机用户的管理员权限,而是在计算机安装或运行软件时进行“白名单”比对检查,通过禁止安装或运行“白名单”以外的软件来实现技术硬控制。但该方法也存在以下问题,一是“白名单”自动比对的方法对“白名单”的全面性、准确性要求极高,因“白名单”不完善造成企业必需的软件无法使用进而带来损失的风险不容小觑。二是为避免“白名单”比对失败带来的风险,每次进行操作系统补丁更新或软件版本更新前,都需要事先将所有的补丁、软件名称补充更新到所有计算机的“白名单”上,维护工作量大且难以考虑全面。三是“白名单”持续增大后,客户端安全软件在安装或运行办公计算机时,都要实时比对“白名单”,对办公计算机性能产生一定影响。模式3:“白名单”+制度管理要求由于上述局限性,模式一和模式二在企业实际的计算机非授权软件管理中很少被采用。目前,业界很多企业通过采用在内部网站向全员公布“白名单”,要求员工签署有关协议禁止安装“白名单”以外的软件,并对违反者进行严格处罚等非技术硬控制的方法进行管理。以M公司为例,该公司采取了如下措施:①在其内部网站上向全员公布一个标准的“白名单”,无license数限制的软件可随意下载安装,有license数限制的软件需要申请后才能安装。该要求仅为管理要求,不通过技术硬控制实现。②标准软件清单以外需要购买的软件,各部门需要申请,由公司统一购买,或各部门用自己的预算购买、自己维护。③员工入职时要求签署协议,必须安装“白名单”中的软件(绝不允许安装盗版软件,无法分辨的申请法律部门判定),如果安装清单外的软件属于个人行为,个人承担相关责任。④对于PDFReader等广泛使用的免费软件,经各部门申请或公司统一分析研究后,规定可以安装的版本并定期补丁。⑤研发单位绝对不能使用第三方软件。第三方的软件开发合作伙伴也必须使用M公司标准软件清单中的软件进行产品开发。该模式通过签署协议明确员工在计算机软件管理中的责任,增强了员工的主动性和自觉性,通过非技术手段较好地解决了计算机软件管理的难题,但仍面临恶意软件给企业造成损失的风险。
2.黑名单管理模式
建立一份非授软件“黑名单”,通过实时禁止、事后审计等方式确保计算机不安装和使用“黑名单”中的软件。目前,很多计算机安全软件可以在办公计算机安装或运行软件前,通过进程名、MD5值的方式实时识别黑名单软件并禁止其运行,还能够通过收集计算机软件安装信息以用于事后审计。但黑名单模式也存在一定的局限性,具体表现在:①由于黑名单软件加入的只是具有高级别安全风险的非授权软件,且只能通过定期评估社会上流行的、企业内网安装的所有软件,才能发现新的高风险软件并补充到“黑名单”中,因此仅通过黑名单进行管理不能全面消除非授权软件风险,也难以事前控制高风险软件的安装和使用。②由于非授权软件数量巨大,“黑名单”不可能穷举出所有非授权软件,且“黑名单”数量加大后,会影响办公计算机的性能和增加维护难度。此外,用户在安装和运行软件时,也可以采用更改软件名称等方法规避黑名单限制。因此,基于仅有黑名单而没有白名单建立软件使用合规标准,将导致软件管理处于被动。
3.综合管理模式
通过上述分析,单纯“白名单”或“黑名单”管理模式,都存在着较大的局限性。为此,本文结合两种管理模式的优点,提出了一种新的管理模式,即“白名单”制度要求+“黑名单”技术控制管理模式。该模式一方面通过健全“白名单”,明确制度协议要求和申请使用流程,并规范员工的计算机软件使用行为。另一方面,通过定期评估高风险非授权软件,不断更新完善“黑名单”,实施严格的事中技术硬控制和事后安全审计,综合提升企业计算机非授权软件管理能力。具体措施为:①制定企业授权员工使用的软件清单(即“白名单”),通过内部门户向全员并提供申请下载功能。在员工入职协议和制度中明确要求只能安装授权软件。完善“白名单”外软件使用需求的申请、评估、审批、购买、流程。②定期对安装量较大且尚未纳入管理的软件从法律、安全、稳定性和效率等方面进行风险分析。根据需要将无风险的免费软件补充到“白名单”中允许使用,并进行例行补丁升级管理;将存在风险的软件纳入“非授权软件”范畴,并将其中具有高风险的软件加入到“黑名单”,实施技术硬控制。③定期统计各部门的人均非授权软件安装数,以及每个员工的非授权软件安装数,通报考核超过目标基线的部门和个人。
综合管理模式兼有“白名单”的政策管理威慑能力和“黑名单”的技术硬控制能力,降低了计算机非授权软件给企业带来的风险,是一套兼具全面性和可行性的管理模式。未来,新的安全控制管理技术的涌现,将为企业提供新的管理控制思路。如桌面虚拟化和应用虚拟化技术,可以将传统办公计算机操作系统内存映像和数据集中在后台云端进行统一安装运行管理。传统办公计算机将被“瘦终端”取代,主要用于键盘输入和界面展现。这样,本文推荐的综合管理模式,就可以通过标准化虚拟机操作系统和应用环境模版、操作系统C盘定期重启还原、严格控制虚拟机向前端“瘦终端”本地存储介质下传数据等方式,简化非授权软件管理策略的部署实施,提升原有管理模式的风险防护水平。计算机非授权软件管理是一个长期性工作,企业需要在明确管理目标的前提下,持续投入并时刻关注技术的发展变化,持续优化安全管理方法。
作者:张晓丹李明单位:中国工商银行股份有限公司数据中心