借力“软件正版化”强化软件资产及信息安全管理工作

国务院下令推动政府及国有部门软件正版化,省部级政府机关已经搞的差不多了,截至2017年3月底,59%的地市级政府和32%的县级政府完成检查整改。截至2017年9月底,全国87%的市级政府和67%的县级政府机关也完成了检查整改任务。在政府机关完成了自身的“革命”之后,下一波的整改任务预计会逐渐在国有企业及国有控股的大型企业时开展,民营私营企业以及家庭个人等等仍然是一个行政管理难以有效触及的边缘地带。

不能否认的是我们已经取得了辉煌的成绩,但是已经搞了十余年的工作,为什么总是不停地大张旗鼓地搞呢?人们可能责怪“正版化”不彻底、“资金紧张”难缓解、“长效机制”不足、“盗版反扑”严重……

的确,“软件正版化”工作重点在操作系统和办公软件,这的确是盗版的主要部分,但是其它非主流的应用软件如图形图像处理、压缩工具等等不在“软件正版化”工作范围内,这些残留部分软件的盗版使用行为会影响到操作系统和办公软件。

我们不能简单断定“资金”问题是“软件正版化”的障碍,不少便宜甚至免费的开源软件为什么不被政府机关和国有(控股)公司欢迎?问题在没有资金投入的工程就没有中间利益可以攫取。当然,这不仅仅是“软件正版化”工作的特色问题,我们不做多的探讨。

专家们常常会为盗版难以根除找类似“长效机制”不足之类的说辞,昆明亭长朗然科技有限公司James Dong说:在类似“运动战”的活动背景下,运动之后一定程度的反弹肯定难以避免的,这就是为什么我国大张旗鼓的“软件正版化”运动战无法比拟发达国家建立常规软件使用管理流程的原因。

大的IT环境在变化,云计算使得终端变瘦,操作系统可免费,办公软件SaaS化,人们工作在浏览器上,这对“软件正版化”工作极为有利,信息安全及软件资源管理部门和人员可抓住大好机会,通过改革和创新来提升工作绩效,获得职场晋升等各类收益。

不过IT安全人员仍然不能忽略的是“软件正版化”工作严重依赖计算机终端用户,他们不配合软件安全和使用条例,或对信息安全政策及要求阳奉阴违,都会让“软件正版化”工作功亏一匮。如何获得各类软件最终用户的理解和支持呢?加强“软件正版化”意识宣传培训和沟通教育是关键,亭长朗然公司制作了几部的“软件正版化”培训课件,有大量“知识产权保护”宣导内容,加以一部现实、风趣且能引人深思的卡通动画片,可以配合各单位各部门负责“软件正版化”推广工作的人员强化对全体职工进行相关意识宣导。

欢迎有对员工进行知识产权保护、反盗版等相关培训的负责人员联系我们,洽谈业务合作。

电话:0871-67122372

微信:18206751343

邮件:info@securemymind.com

QQ: 1767022898

终端用户保障数据安全从何处入手

不能否认的是大量的终端计算用户执掌着各类关键数据的安全使用,这远超过信息中心的IT安全经理和下属员工们所能想象,所以这不是任何中央集权式的数据管理管理系统所能覆盖和保护到的。

信息化不得不让这些最终用户访问和使用这些关键的业务数据,即使在终端和大型机时代也是如此,这并不是数据安全管理方面的无奈,而消费类终端计算设备的普及更让业务数据变得无处不在。

信息安全总监和经理们的担子不轻啊,控管安全网关门户和内部安全管理系统往往被视为基础架构安全的一部分,强化各类应用平台和数据库安全无疑是在信息安全管理上前进了一大步,而最终用户端,看似简易,却无疑是信息安全获得成功的“最后一公里”。

如何确保最终用户能够保障其所访问和使用的关键数据呢?昆明亭长朗然科技有限公司James Dong说:建立内部集中式的安全管理系统,比如网络防病毒、补丁系统、信息资产管理和各类终端安全控管系统都有所帮助,但是并不足够,关键的问题在于终端系统的使用主角,即最终用户的安全水平需要得到相应的提升。

在早期的微机时代,信息数据的安全和存储介质密不可分,当年承担数据安全大任的3.5寸1.44M的软盘如今都已经成为进入了博物馆。今天也有一个怪异的现象是很多电脑带有DVD驱动器,即使DVD的容量已经远超3.5寸软盘,但人们已经很少使用它们。因为免费的线上存储都已经有了几个G,而且U盘之类的USB存储已经掉到白菜价。

您是否准备将所有计算终端的USB口都给封了呢?还是准备禁用所有的USB设备进入工作区域?如果在组织内部没有这么强大推动力量,您应该不能过于信任不管哪款终端安全管理工具。

因为数据失窃的渠道除了网络,还有USB设备,更有员工的手机和嘴巴。U盘的丢失或“借用”不是个案,USB设备如智能手机和平板电脑更是大量数据的载体,不封U口,不拿到USB芯片,重要的信息数据就这么分散。

给USB设备中的数据加密是个不错的方案,要让您的员工接受加密的理念,并且会使用加解密方案。

不说运营商和窃听器相中了您公司员工的手机,路人或许都会对电话中所谈的内容感兴趣,您没办法让员工在“指定时间和指定地点”谈论工作事务,您也没办法不让使用移动电话,能做什么呢?教育最终用户通过手机讨论机密信息时注意周边环境,防止窃听呢。

除去通过网络入侵的家伙们,也不USB设备,那些利用社交工程学方法进行电话诈骗的家伙们,冒充公检法、或者客户或者供应商,或拿出利益诱饵,几句话或一个钓鱼附件就放倒了您公司的员工,让其交出关键的信息数据。如何应对?教育员工如何识别和防范社交工程攻击啊。

您公司的员工偶尔也会出差吧?路途中处理紧急事务被周边人偷看了屏幕,或被窃取了笔记本电脑,那您公司的信息数据不一起也丢了吗?应该怎么办?告知员工如何保障在差旅时保障信息安全的最佳实践吧。

您公司的信息数据会随着计算终端到处跑,也会随着员工到处跑,不能囚禁这些数据、终端设备和员工,只能强化安全控管措施和加强对员工们进行足够的信息安全意识教育。