<?xml:namespace prefix = o ns = "urn:schemas-microsoft-com:office:office" />

 对于看过我上篇博文--- IT资产管理演变”的朋友,希望它给您提供了一些关于IT资产管理战略方面的启示,并对您IT资产管理战略制定有所帮助。我希望这篇补充博文将能帮助您了解合适的IT资产管理策略,还能提供一个支持您IT安全管理的有用工具。

   您可能还记得我说过 IT 资产管理工具的核心是资产数据库 ,在 1999 年年底前,资产数据就已经被用来判断所有 Y2K 风险。此博文将阐述,在 10 年后的 2009 年,如何利用资产数据来确定您 IT 基础设施中的安全隐患。(注:我是否第一个描述关于利用资产数据来进行安全管理并不重要,更重要的事实是,虽然大多数企业都有某种形式的 IT 资产管理,但资产数据并没有得到有效地利用来提升 IT 价值。)

    让我们从最起码的安全措施 --- 操作系统和应用程序的安全补丁 说起。不要低估企业环境中补丁管理的重要性,系统漏洞恰恰是安全隐患的一个主要根源。不管是否严重到造成业务中断,数据被盗并导致利润损失,甚至最终破产,安全隐患问题在企业安全管理中都应是被最优先考虑的。众所周知,当漏洞被发现和公开后,相对***的出现已经变得越来越快。“零时差***”一词的产生,是指在发布补丁软件之前,或者更糟的情况,在制造商察觉漏洞之前带来的威胁。通过分析 IT 资产数据库中的软件清单数据,您应该可以将每项应用程序分成下列几种情况:

a) a)        最近使用的版本/补丁(绿色)
b)       可用却还没发放的补丁(×××)
c)       已知漏洞但尚未提供补丁(红色)
d)       不再支持的软件(红色)
**当制造商不再支持软件,也就是说制造商不再承诺对于漏洞发现后提供软件补丁。不少企业的安全政策都有禁止使用不受支持的软件。请不要误会受支持的软件就没有漏洞,但由于是有支持的软件,制造商就承诺了提供补丁或升级或替代方法来减轻风险。一个很好的例子就是微软的Windows XP操作系统已经结束“主流支持”,而“扩展支持”定于2014年终止。这也意味着当下一代SOE(标准操作环境)设计完成并通过商业应用兼容性测试后,大多企业将会迁移到下一代操作系统。
考  考考你:如果 Windows XP 的支持在 2014 年结束,这个操作系统已经存在多久了?

        ** 如果您从 Windows XP 出现之初你就开始使用它,并且今天仍在使用,您可能和我经历的一样,现在系统正运行在第 5 代电脑硬件之上:

        第一台电脑: 133MHz 英特尔奔腾处理器(年轻一代叫 0.133GHz  :P

        第二台电脑: 266MHz 英特尔奔腾 MMX 处理器

        第三台电脑: 800MHz 英特尔奔腾 III 处理器

        第四台电脑: 1.7GHz 英特尔奔腾 4 处理器

        第五台电脑:英特尔酷睿 2 处理器( 2.4GHz 双核心)和上网本的英特尔凌动处理器( 1.6GHz

    现在我们开始使用 IT 资产数据库 来分析您的软件补丁状态,您拥有了必要的数据来分配资源、部署补丁和消除安全隐患。但是不要停下脚步,我们需要做得更多。通常,软件许可证管理可帮助确定企业用户是否有足够的软件许可证到位。 IT 资产管理有助于确定硬件和软件的数量以及许可证的使用。其目的是提高软件许可的使用效率,也就是说,确保企业购买的许可证不是过多或不足,而是刚刚好的数量。

    现在进入到下一步 --- 已安装的应用程序监控 。通过分析资产数据库中的软件清单数据,我们可以查明应用程序是否获得批准使用。这个组合包括:软件是否许可使用,该软件产品是否获得批准,版本和补丁级别是否获得批准,计算机的使用者(或所有者)是否被批准使用这个应用程序,应用程序的配置是否获得批准。一旦你做此分析之后,你只需要通过移除未获批准的应用程序,授权批准应用程序,和其他安全措施,来消除风险。

(注:前些时候我跟一个同事共进晚餐,他是一位经验丰富的服务台经理,我们讨论到故障的发生,往往是由于偏离 SOE (标准操作系统) ,或者是未经批准的应用的兼容性问题 。如果这些可以被识别并消除,事件的数量将大大减少,并最终转化为运维成本的降低。这无论是对您利用资产数据库来管理 SOE ,还是改进流程中的运维成本来说,都将是一个积极的结果。

    补充说明:作为 金道 首席技术官( CTO ),我的责任之一是提高公司内部的安全意识。作为我们经理培训计划的一部分,我已经对我公司的经理和经理候选人进行了安全意识方面的培训,包括安全措施和安全意识。该培训给经理们设置了任务,要求他们对自己的计算机要有深刻的认识,并能明确每一个有效的应用,而且还要问自己这些问题: “我了解这些应用程序吗? “我安装 / 批准这个应用程序了吗? 它起什么作用,我需要吗?”

    如果其中任何一个问题的答案为否,那就说明有潜在的安全风险存在,他们就应该去寻求移除未知应用的建议和方法。

    我想说明的观点是,培训我们的经理时会注重安全实践,但如果利用资产数据库中的现成资料我们就可以强制执行应用程序的安全管理。有了这些正确的要素(工具,流程和人员) ,您将能提升您的 IT 资产管理和安全管理的价值。