隨著信息安全重要性的不斷提高,許多企業都開始重視自身的信息安全建設,完善信息安全管理和技術措施。在實際的信息安全咨詢工作中,我們發現許多企業在信息系統的安全保障與管理中投入大量精力,并取得了一定成效。

但是,員工個人終端上的軟件安全管控因為其多樣性和復雜性往往成為企業信息安全的薄弱環節,同時,惡意軟件攻擊導致的企業數據丟失、未授權訪問、勒索軟件、系統中斷等安全事件層出不窮,占比不斷提高。

以上問題出現的根本原因在于安裝未經許可軟件和開源軟件管控不嚴格。結合咨詢工作實踐,我們總結出企業應用軟件安全管理的四種模式,分別為白名單模式、軟件庫模式、資源平臺模式以及軟件開發平臺模式。

企業應用軟件安全管理的挑戰

IDC的統計報告顯示,企業安裝未經許可的軟件包或購買未經許可的計算機時,非合規軟件使用率越高,被惡意軟件感染的可能性就越高。

圖1 未經許可的軟件安裝率與惡意軟件遭遇率(來源:IDC)

隨著企業越來越多地使用開源軟件,其帶來的安全風險也日益增加,其中包括開源軟件的漏洞問題、許可問題、連續性等安全風險。Synopsys報告顯示,2020年開源代碼中84%的代碼包含至少一個開源漏洞,其中高風險開源漏洞百分比占60%,并且比2019年增加了9%,高風險漏洞增加11%,開源軟件漏洞安全風險正在增加。

圖2 開源漏洞的代碼庫的百分比(來源:Synopsy)

非合規軟件和開源軟件的管理問題主要包括資產不清、管理成本大和管控能力差等問題。

資產不清。軟件使用不規范、版本不統一、軟件未及時升級都會使企業面臨法律合規和開發漏洞問題,給企業帶來安全風險,易造成系統中斷/停機等問題。

正版軟件不普及。企業科技部門或IT運行部門對軟件資產合規使用管理不到位、不嚴格,造成非合規軟件使用普遍存在,給企業帶來安全合規和漏洞風險等問題。

管理成本高。開源軟件可以隨意獲取并使用,并且種類和版本繁多,使企業內部存在多個不同版本的開源軟件,當修復開源漏洞時,需要花費大量人力和時間成本,來識別并找到漏洞代碼。

企業軟件管理的解決之道

在實施了多個相關安全咨詢項目后,我們認為企業在進行應用軟件安全管理時,需要根據自身安全管理需求,從企業規模、管控模式、管理成本等幾方面綜合考慮,采用不同的管理模式。我們對軟件管理模式進行了總結,將其歸納為四種模式,分別為白名單模式、軟件庫模式、資源平臺模式以及軟件開發平臺模式。

一、白名單模式

白名單模式就是企業根據軟件使用需求建立軟件清單,用戶只允許安裝白名單中的軟件。這種模式的好處是成本低、易實現,缺點是對軟件使用的管控力度弱、監控能力差,適用于中小型企業。

實踐案例:在國內某金融公司項目中,我們征集其軟件需求并進行匯總,評審后建立白名單,包括軟件名稱和版本。當用戶使用時,需要對使用人、使用版本和時間等進行登記,實現了軟件的資產管理和使用管理。

二、軟件庫模式

軟件庫模式就是企業在內部建立一個共享軟件庫,用戶從軟件庫下載并安裝軟件。這種模式的好處是管控力度較強,缺點是對評審技術有一定要求,需要有專門的技術專家團隊進行安全評估,檢測和評估的成本較高。該模式適用于中小型企業。

實踐案例:在國內某銀行企業項目中,我們協助其在公司內部建立軟件庫,對引入的軟件從自主可控能力、安全能力、服務能力等方面進行專家評審,并定期對軟件庫列表進行安全評估,用戶只允許使用庫內軟件,不得使用自己下載的軟件。

三、資源平臺模式

資源平臺模式就是將正版軟件、許可的開源軟件和工具歸類并在平臺展現,用戶沒有安裝其他軟件的權限,在需要時可以在平臺上進行搜索并安裝軟件。這種模式的好處是管控力度強,自動化管理的效率高,缺點是資源平臺的建立和運維成本較高。資源平臺模式適用于對正版化要求嚴格的大型集團企業。

實踐案例:在某全球化公司項目中,該企業在其內部建立了軟件資源平臺,平臺上的軟件使用網絡許可模式,因此用戶在使用時可以自動獲取網絡許可,同時資源平臺對用戶許可使用情況進行自動監控,用戶名稱、客戶端以及許可使用信息都將自動被記錄下來,對正版軟件和開源軟件的安裝和使用都進行了有效管理和記錄。

四、軟件開發平臺模式

軟件開發平臺模式就是提供了統一開發環境,引入了合規的第三方組件和工具,同時收集威脅情報,并利用監控工具進行掃描和監控。這種模式的優點是可以實現對集團型企業軟件安全的強管控,缺點是成本較高,位置限制性強,可能造成效率下降。軟件開發平臺模式適用于以自開發為主、對安全要求非常高的大型集團企業。

實踐案例:在某大型電力企業項目中,其行業性質對安全要求很嚴格,軟件以自行開發為主,因此需要強化對開發的安全管理。該大型電力企業搭建了SG-UAP平臺,為各級電力子公司提供了安全統一的集成開發環境平臺。

信息安全 軟件安全 軟件 企業軟件 安全平臺 軟件庫 漏洞
撤稿糾錯
本作品采用《CC 協議》,轉載必須注明作者和本文鏈接