购买
下载掌阅APP,畅读海量书库
立即打开
畅读海量书库
扫码下载掌阅APP

5.2 商用采购软件安全管理

5.2.1 商用采购软件介绍

商用采购软件是指企业通过购买方式获得的用于业务运营的软件,它通常由软件厂商或供应商进行开发和销售。这类软件通常包括各种应用软件、办公软件、数据库软件、操作系统、安全软件等。

商用采购软件在企业生产实践中的软件全生命周期一般包括以下几个阶段。

(1)需求分析阶段:企业在购买商用采购软件前,需要对自身的业务需求进行分析和评估,确定需要采购的软件类型和功能。

(2)选型与采购阶段:根据需求分析结果,企业开始寻找合适的商用采购软件,并通过评估、试用、招标等方式进行选型。选定后,企业与软件供应商进行采购合同的签订和支付等交易流程。

(3)部署与集成阶段:企业在完成商用采购软件的采购后,需要进行软件的部署与集成。部署包括软件的安装和配置,集成包括软件与企业其他系统的对接。这一阶段需要进行充分的测试和验证,确保软件能够稳定运行,并满足企业的业务需求。

(4)维护和更新阶段:商用采购软件部署完成后,企业需要对软件进行监控、管理和维护,包括软件升级、补丁管理、备份恢复、性能监控等。同时,企业还需要与软件供应商保持联系,获取技术支持和维护服务,确保软件的长期稳定运行。

(5)淘汰与替换阶段:商用采购软件在使用一段时间后,可能由于性能、功能、成本等而无法继续满足企业的需求,此时需要进行软件的淘汰与替换。企业需要进行新的需求分析、选型、采购、部署等流程,完成新软件的引入和替换。

5.2.2 风险分析

商用采购软件在企业中的使用具有很多优点——稳定、易用、功能强大,但与此同时,也会带来一些安全风险。在商用采购软件的全生命周期中,从采购、安装、配置、维护、更新、升级等各个方面来看,都存在着不同程度的安全风险。下面将分别进行详细分析。

5.2.2.1 选型与采购阶段的安全风险

在采购商用采购软件时,企业需要了解软件的授权模式、版本、功能、安全性等信息。而一些不规范的采购行为可能会导致企业面临以下安全风险:

(1)未经授权购买软件。一些员工可能会通过不正当渠道获取到商用软件的授权信息,并在未经授权的情况下进行安装和使用,从而导致企业面临软件侵权的风险。

(2)未了解软件版本和功能。如果企业未对软件版本和功能进行全面的了解,可能会忽略安全漏洞的存在。例如,某个版本的软件存在某个安全漏洞,而企业在未进行更新升级的情况下继续使用,就会面临被攻击的风险。

5.2.2.2 部署与集成阶段的安全风险

在使用商用采购软件时,企业需要对软件进行合理的安装和配置,以确保其正常而安全地运行。但这一阶段也存在以下安全风险:

(1)安装过程中的恶意代码。一些不良软件可能会将自己伪装成商用软件,通过恶意代码的方式侵入企业系统,从而导致系统不稳定,引起安全性问题。

(2)配置错误和疏漏。如果企业在安装和配置商用软件时存在错误和疏漏,如弱密码、访问控制不当等,就会给攻击者提供可乘之机。

5.2.2.3 维护和更新阶段的安全风险

在商用采购软件的维护和更新阶段,企业需要定期对软件进行维护和升级,以确保其在使用过程中的稳定性和可靠性。然而,这个过程也可能带来一些安全风险。

(1)漏洞和补丁问题。商用采购软件可能会存在一些安全漏洞,这些漏洞可能会被黑客利用来攻击企业系统。而软件供应商会发布补丁来修复这些漏洞,但是企业可能没有及时安装这些补丁,或者补丁本身也存在问题,从而导致安全风险。例如,2017年全球爆发的勒索软件攻击事件“WannaCry”就是因为大量的企业没有及时安装微软发布的补丁,最终导致其系统被黑客攻击。

(2)版本迭代带来的兼容性问题:软件的版本迭代可能会导致该软件与其他软件或系统之间的兼容性问题,从而带来安全隐患。例如,新版本的软件可能不兼容旧版本的操作系统或数据库,从而导致系统崩溃或数据丢失等问题。

(3)误操作和配置错误:在维护和更新软件时,人为因素也可能导致安全风险。例如,误删除或误修改关键文件或配置项,或者忘记更新一些重要的组件等。

5.2.2.4 淘汰和替换阶段的安全风险

淘汰和替换阶段是商用采购软件生命周期中的最后一个阶段。在这个阶段中,企业需要考虑如何将已经老化或者不再需要的软件替换掉,并确保新软件的安全性和可靠性。这个过程也可能带来一些安全风险。

(1)安全漏洞和过期支持:随着时间的推移,商用采购软件的支持周期将到期,软件供应商将停止为软件提供安全更新和补丁。这将导致软件系统暴露在安全漏洞和攻击的风险中,如果攻击者利用这些漏洞攻击企业,可能会造成企业数据泄露、系统崩溃、业务中断等严重后果。

(2)数据备份和迁移:在淘汰和替换阶段,企业需要将旧软件中的数据迁移到新的软件中,这可能导致数据备份和恢复不完整的风险。如果企业未能正确备份数据,或数据备份存在缺陷,可能会导致数据丢失或泄露的风险。此外,如果数据存储在未经加密的磁盘或存储介质中,可能会被未经授权的人员或黑客获取。

(3)业务中断和风险管理:替换商用采购软件可能会导致业务中断和风险管理问题。例如,新软件可能需要更长的学习周期和培训,这可能会导致业务中断和效率下降。

5.2.3 安全管理指南

商用采购软件在企业生产经营中扮演着重要的角色,一旦出现安全问题将直接影响企业的正常运营,甚至造成不可挽回的损失。因此,必须对商用采购软件在全生命周期内的安全风险进行全面的管理和控制,以确保企业的信息安全和业务连续性。

5.2.3.1 选型与采购阶段

在选型与采购阶段,企业需要制定一系列的管理措施,以减少安全风险。在该阶段可采取以下管理措施。

(1)制定详细的软件选型标准:根据企业的实际需求和安全标准,制定一套适合企业的软件选型标准,包括安全性、性能、可靠性、成本等方面的要求。

(2)评估供应商的安全性:对供应商的信誉、历史安全记录、安全保障措施等方面进行评估,以确保从供应商处获得的软件是可信的。

(3)购买具备认证的软件:购买具备认证的商用采购软件,如ISO 27001、CMMI等认证,以确保软件本身的安全性。

(4)购买正版软件:避免使用盗版软件,以免软件本身带来的安全问题。

5.2.3.2 部署与集成阶段

在部署与集成阶段,企业需要采取以下管理措施。

(1)进行安全评估:对软件的安全性进行评估,包括对软件进行漏洞扫描、安全测试等,以发现安全问题。

(2)配置合理的安全策略:对软件的安全配置进行优化,包括设置合理的用户权限、防火墙规则、安全认证策略等。

(3)加密敏感数据:对软件中的敏感数据进行加密,以防止数据泄露。

(4)监控软件运行情况:通过实时监控软件的运行情况,及时发现异常情况,并及时采取相应的措施。

5.2.3.3 维护和更新阶段

在维护和更新阶段,企业需要采取以下管理措施。

(1)及时安装补丁和进行更新:企业应该及时安装软件厂商发布的补丁和进行更新,以保证软件的安全性。在安装补丁和更新之前,企业应该对补丁和更新进行充分的测试,以确保不会影响到企业的正常运营。

(2)定期进行安全审计:企业应该定期对商用采购软件进行安全审计,以发现可能存在的安全漏洞。在安全审计过程中,企业应该采用专业的工具和方法,以确保审计的准确性和全面性。

(3)严格控制软件修改:企业在对商用采购软件进行二次开发或者修改之前,应该充分了解软件厂商的授权协议,确保自己的修改不会违反协议。企业应该建立专门的修改流程和审核机制,以确保修改的安全性和可靠性。

(4)建立灾备机制:企业应该建立灾备机制,以应对软件升级失败或者数据丢失等问题。在灾备机制中,企业应该采取包括数据备份、容灾机房等措施,以确保企业服务正常运转。

5.2.2.4 淘汰和替换阶段

在淘汰和替换阶段,主要的安全风险是与软件的废止和数据的安全性有关。当企业决定淘汰和替换一个软件时,需要采取相应的管理措施。

(1)数据备份和恢复计划:企业需要建立详细的数据备份和恢复计划,并将其纳入安全计划中。备份的数据需要经过加密并存储在安全的地方,以确保数据的安全性。

(2)漏洞管理计划:企业需要建立详细的漏洞管理计划,包括漏洞识别、风险评估、补丁管理等。企业可以使用漏洞管理平台或其他工具来帮助管理漏洞,确保漏洞能够及时得到修复。

(3)合规性管理计划:企业需要建立详细的合规性管理计划,并确保在淘汰和替换软件时遵守相关的法律法规和行业标准。例如,在处理敏感数据时,企业需要遵守相关的隐私法规和安全标准。

商用采购软件在企业生产经营中至关重要,但在其全生命周期中存在着各种安全风险,如果不进行有效的安全管理,可能会导致企业面临严重的损失和风险。因此,对商用采购软件进行安全管理具有重要意义。首先,在选型与采购阶段,企业需要充分考虑软件供应商的安全实力和安全记录,对供应商进行全面的调查和审查,以确保所选软件的安全性。其次,在部署与集成阶段,企业需要遵循相关的安全标准和规范,将软件与其他系统和应用集成,保证系统的整体安全性。在维护和更新阶段,企业需要定期对软件进行漏洞扫描和修复,以及进行安全更新和升级。在淘汰和替换阶段,企业需要遵守相应的法规和合同,对软件进行安全销毁或安全转移,以避免数据泄露或其他安全问题。

总之,商用采购软件的安全管理需要贯穿软件生命周期的各个阶段。只有通过采取有效的安全管理措施,企业才能有效降低商用采购软件所带来的安全风险,确保企业信息系统的安全性和稳定性。 bsvIpyY6Z7DZ5LfkTZBl4KmxoAJcbXbasqXe6FwlPULXAhr4yT/LPd+zDeDX4JqM

点击中间区域
呼出菜单
上一章
目录
下一章
×