IT資產管理中的安全管理

2021-09-03 03:42:09 字數 3003 閱讀 2543

<?xml:namespace prefix = o ns = "urn:schemas-microsoft-com:office:office" />

對於看過我上篇博文

--- 「it

資產管理演變」的朋友,希望它給您提供了一些關於

it資產管理戰略方面的啟示,並對您

it資產管理戰略制定有所幫助。我希望這篇補充博文將能幫助您了解合適的

it資產管理策略,還能提供乙個支援您

it安全管理的有用工具。

您可能還記得我說過it

資產管理工具的核心是資產資料庫,在

1999

年年底前,資產資料就已經被用來判斷所有

y2k 風險。此博文將闡述,在

10 年後的

2009

年,如何利用資產資料來確定您

it 基礎設施中的安全隱患。(注:我是否第乙個描述關於利用資產資料來進行安全管理並不重要,更重要的事實是,雖然大多數企業都有某種形式的

it 資產管理,但資產資料並沒有得到有效地利用來提公升

it 價值。)

讓我們從最起碼的安全措施

---作業系統和應用程式的安全補丁說起。不要低估企業環境中補丁管理的重要性,系統漏洞恰恰是安全隱患的乙個主要根源。不管是否嚴重到造成業務中斷,資料被盜並導致利潤損失,甚至最終破產,安全隱患問題在企業安全管理中都應是被最優先考慮的。眾所周知,當漏洞被發現和公開後,相對***的出現已經變得越來越快。「零時差***」一詞的產生,是指在發布補丁軟體之前,或者更糟的情況,在製造商察覺漏洞之前帶來的威脅。通過分析

it 資產資料庫中的軟體清單資料,您應該可以將每項應用程式分成下列幾種情況:

a)a)        最近使用的版本/補丁(綠色)

b)       可用卻還沒發放的補丁(黃色)

c)       已知漏洞但尚未提供補丁(紅色)

d)       不再支援的軟體(紅色)

**當製造商不再支援軟體,也就是說製造商不再承諾對於漏洞發現後提供軟體補丁。不少企業的安全政策都有禁止使用不受支援的軟體。請不要誤會受支援的軟體就沒有漏洞,但由於是有支援的軟體,製造商就承諾了提供補丁或公升級或替代方法來減輕風險。乙個很好的例子就是微軟的windows xp作業系統已經結束「主流支援」,而「擴充套件支援」定於2023年終止。這也意味著當下一代soe(標準操作環境)設計完成並通過商業應用相容性測試後,大多企業將會遷移到下一代作業系統。

考  考考你:如果

windows xp

的支援在

2014

年結束,這個作業系統已經存在多久了?

** 如果您從

windows xp

出現之初你就開始使用它,並且今天仍在使用,您可能和我經歷的一樣,現在系統正執行在第

5 代電腦硬體之上:

第一台電腦:

133mhz

英特爾奔騰處理器(年輕一代叫

0.133ghz  :p

)第二台電腦:

266mhz

英特爾奔騰

mmx 處理器

第三台電腦:

800mhz

英特爾奔騰

iii 處理器

第四臺電腦:

1.7ghz

英特爾奔騰

4 處理器

第五臺電腦:英特爾酷睿

2 處理器(

2.4ghz

雙核心)和上網本的英特爾凌動處理器(

1.6ghz

)現在我們開始使用it

資產資料庫來分析您的軟體補丁狀態,您擁有了必要的資料來分配資源、部署補丁和消除安全隱患。但是不要停下腳步,我們需要做得更多。通常,軟體許可證管理可幫助確定企業使用者是否有足夠的軟體許可證到位。

it 資產管理有助於確定硬體和軟體的數量以及許可證的使用。其目的是提高軟體許可的使用效率,也就是說,確保企業購買的許可證不是過多或不足,而是剛剛好的數量。

現在進入到下一步

---已安裝的應用程式監控。通過分析資產資料庫中的軟體清單資料,我們可以查明應用程式是否獲得批准使用。這個組合包括:軟體是否許可使用,該軟體產品是否獲得批准,版本和補丁級別是否獲得批准,計算機的使用者(或所有者)是否被批准使用這個應用程式,應用程式的配置是否獲得批准。一旦你做此分析之後,你只需要通過移除未獲批准的應用程式,授權批准應用程式,和其他安全措施,來消除風險。

(注:前些時候我跟乙個同事共進晚餐,他是一位經驗豐富的服務台經理,我們討論到故障的發生,往往是由於偏離

soe (標準作業系統)

,或者是未經批准的應用的相容性問題

。如果這些可以被識別並消除,事件的數量將大大減少,並最終轉化為運維成本的降低。這無論是對您利用資產資料庫來管理

soe ,還是改進流程中的運維成本來說,都將是乙個積極的結果。

補充說明:作為

金道 首席技術官(

cto

),我的責任之一是提高公司內部的安全意識。作為我們經理培訓計畫的一部分,我已經對我公司的經理和經理候選人進行了安全意識方面的培訓,包括安全措施和安全意識。該培訓給經理們設定了任務,要求他們對自己的計算機要有深刻的認識,並能明確每乙個有效的應用,而且還要問自己這些問題:

「我了解這些應用程式嗎?

」「我安裝

/ 批准這個應用程式了嗎?

「它起什麼作用,我需要嗎?」

如果其中任何乙個問題的答案為否,那就說明有潛在的安全風險存在,他們就應該去尋求移除未知應用的建議和方法。

我想說明的觀點是,培訓我們的經理時會注重安全實踐,但如果利用資產資料庫中的現成資料我們就可以強制執行應用程式的安全管理。有了這些正確的要素(工具,流程和人員)

,您將能提公升您的

it 資產管理和安全管理的價值。

IT資產管理中的安全管理

對於看過我上篇博文 it 資產管理演變 的朋友,希望它給您提供了一些關於 it資產管理戰略方面的啟示,並對您 it資產管理戰略制定有所幫助。我希望這篇補充博文將能幫助您了解合適的 it資產管理策略,還能提供乙個支援您 it安全管理的有用工具。您可能還記得我說過it 資產管理工具的核心是資產資料庫,在...

10 安全運維管理 10 2資產管理

等級保護物件的資產包括各種硬體裝置 如網路裝置 安全裝置 伺服器裝置 操作終端 儲存裝置和儲存介質,以及供電和通訊用線纜等 各種軟體 如作業系統 資料庫管理系統 應用系統等 各種資料 如配置資料 業務資料 備份資料等 和各種檔案等。由於等級保護物件資產種類較多,必須對所有資產實施有效的管理,確保資產...

資料資產管理

資料治理分享總結 隨著大資料技術的不斷演進,大資料應用也在各個領域發揮著其核心引導作用,而大資料綜合治理是為提公升公司資料質量,提公升資料便捷度,為實現人工智慧布局的一項夯實基礎的工作,因此,本專案以公司戰略轉型的數位化轉型為課題,以資料統一入口統一出口為目標,形成全業務全場景全渠道和全流程的大資料...