作者简介 张奕,谷安(安全牛)研究院研究员,长期从事信息安全、企业数字化转型顶层规划和主动化运维等工作,拥有20年以上IT安全、运维服务和IT咨询履历,已取得CISA、TOGAF、COBIT、ITIL、PMP、CCNA证书。曾在某英国全球性公司北京公司担任IT负责人,以及埃森哲担任IT咨询师。 随着信息安全重要性的不断进步,很多企业都开始重视自身的信息安全建设,美满信息安全管理和技术措施。在实际的信息安全咨询工作中,我们发现很多企业在信息体系的安全保障与管理中投入大量精神,并取得了肯定成效。 但是,员工个人终端上的软件安全管控由于其多样性和复杂性每每成为企业信息安全的薄弱环节,同时,恶意软件攻击导致的企业数据丢失、未授权访问、打单软件、体系中断等安全事件层出不穷,占比不断进步。 以上题目出现的根本原因在于安装未经允许软件和开源软件管控不严格。结合咨询工作实践,我们总结出企业应用软件安全管理的四种模式,分别为白名单模式、软件库模式、资源平台模式以及软件开辟平台模式。 企业应用软件安全管理的挑衅 IDC的统计报告表现,企业安装未经允许的软件包或购买未经允许的计算机时,非合规软件使用率越高,被恶意软件感染的大概性就越高。
图1 未经允许的软件安装率与恶意软件遭遇率 (泉源:IDC) 随着企业越来越多地使用开源软件,其带来的安全风险也日益增加,其中包括开源软件的漏洞题目、允许题目、连续性等安全风险。Synopsys报告表现,2020年开源代码中84%的代码包含至少一个开源漏洞,其中高风险开源漏洞百分比占60%,并且比2019年增加了9%,高风险漏洞增加11%,开源软件漏洞安全风险正在增加。
图2 开源漏洞的代码库的百分比(泉源:Synopsy) 非合规软件和开源软件的管理题目主要包括资产不清、管理成本大和管控能力差等题目。 资产不清。软件使用不规范、版本不同一、软件未及时升级都会使企业面临法律合规和开辟漏洞题目,给企业带来安全风险,易造成体系中断/停机等题目。 正版软件不普及。企业科技部门或IT运行部门对软件资产合规使用管理不到位、不严格,造成非合规软件使用普遍存在,给企业带来安全合规和漏洞风险等题目。 管理成本高。开源软件可以随意获取并使用,并且种类和版本繁多,使企业内部存在多个不同版本的开源软件,当修复开源漏洞时,必要花费大量人力和时间成本,来识别并找到漏洞代码。 企业软件管理的办理之道 在实施了多个相干安全咨询项目后,我们认为企业在举行应用软件安全管理时,必要根据自身安全管理需求,从企业规模、管控模式、管理成本等几方面综合考虑,采用不同的管理模式。我们对软件管理模式举行了总结,将其归纳为四种模式,分别为白名单模式、软件库模式、资源平台模式以及软件开辟平台模式。 一、白名单模式 白名单模式就是企业根据软件使用需求建立软件清单,用户只允许安装白名单中的软件。这种模式的好处是成本低、易实现,缺点是对软件使用的管控力度弱、监控能力差,适用于中小型企业。 实践案例:在国内某金融公司项目中,我们征集其软件需求并举行汇总,评审后建立白名单,包括软件名称和版本。当用户使用时,必要对使用人、使用版本和时间等举行登记,实现了软件的资产管理和使用管理。 二、软件库模式 软件库模式就是企业在内部建立一个共享软件库,用户从软件库下载并安装软件。这种模式的好处是管控力度较强,缺点是对评审技术有肯定要求,必要有专门的技术专家团队举行安全评估,检测和评估的成本较高。该模式适用于中小型企业。 实践案例:在国内某银行企业项目中,我们协助其在公司内部建立软件库,对引入的软件从自主可控能力、安全能力、服务能力等方面举行专家评审,并定期对软件库列表举行安全评估,用户只允许使用库内软件,不得使用本身下载的软件。 三、资源平台模式 资源平台模式就是将正版软件、允许的开源软件和工具归类并在平台展现,用户没有安装其他软件的权限,在必要时可以在平台上举行搜索并安装软件。这种模式的好处是管控力度强,主动化管理的效率高,缺点是资源平台的建立和运维成本较高。资源平台模式适用于对正版化要求严格的大型集团企业。 实践案例:在某全球化公司项目中,该企业在其内部建立了软件资源平台,平台上的软件使用网络允许模式,因此用户在使用时可以主动获取网络允许,同时资源平台对用户允许使用情况举行主动监控,用户名称、客户端以及允许使用信息都将主动被记录下来,对正版软件和开源软件的安装和使用都举行了有效管理和记录。 四、软件开辟平台模式 软件开辟平台模式就是提供了同一开辟环境,引入了合规的第三方组件和工具,同时收集威胁情报,并使用监控工具举行扫描和监控。这种模式的长处是可以实现对集团型企业软件安全的强管控,缺点是成本较高,位置限定性强,大概造成效率降落。软件开辟平台模式适用于以自开辟为主、对安全要求非常高的大型集团企业。 实践案例:在某大型电力企业项目中,其行业性子对安全要求很严格,软件以自行开辟为主,因此必要强化对开辟的安全管理。该大型电力企业搭建了SG-UAP平台,为各级电力子公司提供了安全同一的集成开辟环境平台。 合作电话:18311333376 合作微信:aqniu001 |
