計算機的非授權軟件管理分析范文

本站小編為你精心準備了計算機的非授權軟件管理分析參考范文，愿這些范文能點燃您思維的火花，激發您的寫作靈感。歡迎深入閱讀并收藏。

《中國金融電腦雜志》2015年第一期

1.白名單管理模式

該模式是指:首先，建立一份完整的授權企業員工使用的軟件“白名單”；然后，通過各種方式確保計算機僅能安裝和使用“白名單”中的軟件。根據實現方式的不同，白名單軟件管理模式又可以進一步劃分為以下三類。模式1：“白名單”+上收辦公計算機用戶軟件安裝權限上收辦公計算機用戶自行安裝軟件和控件的權限，只能使用具有高權限的用戶從后臺推送的軟件或補丁，或由管理員到現場進行安裝來實現技術硬控制。該模式實現了計算機非授權軟件管理的目標，但其局限性也很突出且難以突破。該模式存在的主要問題包括，一是由于用戶沒有管理員權限，后臺工具推送軟件到計算機后，部分軟件可能無法正常運行。二是管理員人工安裝效率低下且耗費人力，而后臺推送方式與計算機用戶軟件使用需求的多樣性存在矛盾。模式2：“白名單”+禁止安裝白名單以外軟件不上收辦公計算機用戶的管理員權限，而是在計算機安裝或運行軟件時進行“白名單”比對檢查，通過禁止安裝或運行“白名單”以外的軟件來實現技術硬控制。但該方法也存在以下問題，一是“白名單”自動比對的方法對“白名單”的全面性、準確性要求極高，因“白名單”不完善造成企業必需的軟件無法使用進而帶來損失的風險不容小覷。二是為避免“白名單”比對失敗帶來的風險，每次進行操作系統補丁更新或軟件版本更新前，都需要事先將所有的補丁、軟件名稱補充更新到所有計算機的“白名單”上，維護工作量大且難以考慮全面。三是“白名單”持續增大后，客戶端安全軟件在安裝或運行辦公計算機時，都要實時比對“白名單”，對辦公計算機性能產生一定影響。模式3：“白名單”+制度管理要求由于上述局限性，模式一和模式二在企業實際的計算機非授權軟件管理中很少被采用。目前，業界很多企業通過采用在內部網站向全員公布“白名單”，要求員工簽署有關協議禁止安裝“白名單”以外的軟件，并對違反者進行嚴格處罰等非技術硬控制的方法進行管理。以M公司為例，該公司采取了如下措施:①在其內部網站上向全員公布一個標準的“白名單”，無license數限制的軟件可隨意下載安裝，有license數限制的軟件需要申請后才能安裝。該要求僅為管理要求，不通過技術硬控制實現。②標準軟件清單以外需要購買的軟件，各部門需要申請，由公司統一購買，或各部門用自己的預算購買、自己維護。③員工入職時要求簽署協議，必須安裝“白名單”中的軟件（絕不允許安裝盜版軟件，無法分辨的申請法律部門判定），如果安裝清單外的軟件屬于個人行為，個人承擔相關責任。④對于PDFReader等廣泛使用的免費軟件，經各部門申請或公司統一分析研究后，規定可以安裝的版本并定期補丁。⑤研發單位絕對不能使用第三方軟件。第三方的軟件開發合作伙伴也必須使用M公司標準軟件清單中的軟件進行產品開發。該模式通過簽署協議明確員工在計算機軟件管理中的責任，增強了員工的主動性和自覺性，通過非技術手段較好地解決了計算機軟件管理的難題，但仍面臨惡意軟件給企業造成損失的風險。

2.黑名單管理模式

建立一份非授軟件“黑名單”，通過實時禁止、事后審計等方式確保計算機不安裝和使用“黑名單”中的軟件。目前，很多計算機安全軟件可以在辦公計算機安裝或運行軟件前，通過進程名、MD5值的方式實時識別黑名單軟件并禁止其運行，還能夠通過收集計算機軟件安裝信息以用于事后審計。但黑名單模式也存在一定的局限性，具體表現在：①由于黑名單軟件加入的只是具有高級別安全風險的非授權軟件，且只能通過定期評估社會上流行的、企業內網安裝的所有軟件，才能發現新的高風險軟件并補充到“黑名單”中，因此僅通過黑名單進行管理不能全面消除非授權軟件風險，也難以事前控制高風險軟件的安裝和使用。②由于非授權軟件數量巨大，“黑名單”不可能窮舉出所有非授權軟件，且“黑名單”數量加大后，會影響辦公計算機的性能和增加維護難度。此外，用戶在安裝和運行軟件時，也可以采用更改軟件名稱等方法規避黑名單限制。因此，基于僅有黑名單而沒有白名單建立軟件使用合規標準，將導致軟件管理處于被動。

3.綜合管理模式

通過上述分析，單純“白名單”或“黑名單”管理模式，都存在著較大的局限性。為此，本文結合兩種管理模式的優點，提出了一種新的管理模式，即“白名單”制度要求+“黑名單”技術控制管理模式。該模式一方面通過健全“白名單”，明確制度協議要求和申請使用流程，并規范員工的計算機軟件使用行為。另一方面，通過定期評估高風險非授權軟件，不斷更新完善“黑名單”，實施嚴格的事中技術硬控制和事后安全審計，綜合提升企業計算機非授權軟件管理能力。具體措施為：①制定企業授權員工使用的軟件清單（即“白名單”），通過內部門戶向全員并提供申請下載功能。在員工入職協議和制度中明確要求只能安裝授權軟件。完善“白名單”外軟件使用需求的申請、評估、審批、購買、流程。②定期對安裝量較大且尚未納入管理的軟件從法律、安全、穩定性和效率等方面進行風險分析。根據需要將無風險的免費軟件補充到“白名單”中允許使用，并進行例行補丁升級管理；將存在風險的軟件納入“非授權軟件”范疇，并將其中具有高風險的軟件加入到“黑名單”，實施技術硬控制。③定期統計各部門的人均非授權軟件安裝數，以及每個員工的非授權軟件安裝數，通報考核超過目標基線的部門和個人。

綜合管理模式兼有“白名單”的政策管理威懾能力和“黑名單”的技術硬控制能力，降低了計算機非授權軟件給企業帶來的風險，是一套兼具全面性和可行性的管理模式。未來，新的安全控制管理技術的涌現，將為企業提供新的管理控制思路。如桌面虛擬化和應用虛擬化技術，可以將傳統辦公計算機操作系統內存映像和數據集中在后臺云端進行統一安裝運行管理。傳統辦公計算機將被“瘦終端”取代，主要用于鍵盤輸入和界面展現。這樣，本文推薦的綜合管理模式，就可以通過標準化虛擬機操作系統和應用環境模版、操作系統C盤定期重啟還原、嚴格控制虛擬機向前端“瘦終端”本地存儲介質下傳數據等方式，簡化非授權軟件管理策略的部署實施，提升原有管理模式的風險防護水平。計算機非授權軟件管理是一個長期性工作，企業需要在明確管理目標的前提下，持續投入并時刻關注技術的發展變化，持續優化安全管理方法。

作者：張曉丹李明單位：中國工商銀行股份有限公司數據中心