運用大數據,達成軟體合規的資安精準管理

軟體資源管理(Software Asset Management; SAM)工具設計的目標就是要自動執行維護軟件許可的合規性。在運用時,即時監控軟體許可運行狀態及使用特徵資訊去智慧識別是否有盜版軟體的使用存在,並自動觸發封控動作。對企業反盜版管理的需求,SAM工具在日常作業達成對盜版軟體精準管制;及在反盜版推廣上,讓使用者提高合法使用軟體的觀念,產生非常正面的效果。

企業員工擅自複製或使用未經授權的軟體,最後經商業軟體聯盟(BSA)或其他軟體原廠查緝,除了必須賠償軟體公司高額的民事賠償金額外,企業主甚至可能遭受刑事判決,同時還要登報刊載判決書,為公司商譽帶來嚴重負面影響。除此之外,據調查發現,使用非正版軟體可能讓企業面臨更高的風險成本,如被植入木馬、間諜或惡意程式,導致電腦效能變慢、正常軟體無法執行、網路變慢等問題,後續處理需花費更多時間及金錢,長期而言,使用盜版軟體可能愈用愈貴。

 

目前絕大多數的公司對於盜版軟體安裝、使用的偵測與防制都已視為資安管理非常重要的一環,紛紛配置專責單位進行此項管理。不過我們也發現,要真正做好反盜版軟體管理,普遍碰到一些瓶頸。有鑑於此,OptiLIC ( Optimize your license management軟體資源優化管理) 推出的合規診斷管理,透過大數據分析使用者的軟體使用行為,為企業提供獨特的管理模式,一舉突破反盜版軟體管理的瓶頸。以下我們以一個實際案例來說明OptiLIC如何達成此棘手的管理需求。

 

案例公司簡介

創立於1983年2月,在台灣上市的電子公司、並納入證交所「台灣中型一百指數成分股」。專注於輸入設備產品,可攜式鍵盤,視訊影像產品,影像模組,車用電子以及數位商品業務等。其中鍵盤、網路攝影機,以及筆電相機模組位居全球領導製造商。

 

反盜版管理所面臨的問題

案例公司非常了解使用盜版軟體可能帶來的風險,對合規使用軟體非常重視。目前使用偏向電腦硬體資產管理,雖然也可以紀錄所安裝的軟體,但要用該數據去分析軟體的合規使用資訊,嚴格說來只能使用黑名單管理,即使花費很大的功夫,仍經常出現合規漏洞,譬如:綠色版、免安裝軟體這種盜版軟體就無法偵測到。企業的IT主管意識到要解決此問題,必須要更有效率、更透明化的工具,才能對軟體合規使用達成精準管理的目標,並能提高資源的有效使用。

 

選擇軟體合規診斷管理工具

案例公司選擇 OptiLIC作為新一代的軟體合規診斷管理工具。OptiLIC 以使用者對軟體使用行為分析的角度切入,大量採集包含 「來自軟體授權管理伺服器的授權使用數據」,及「PC終端啟動軟體的使用紀錄」等不同來源的軟體使用記錄作為管理的基礎。數據內容則包含 誰(Login ID),在哪台PC (IP/PC Name) ,使用哪種軟體(Software/Version) ,Login/Out time,並且記錄軟體使用狀態 (Active/Idle)。

 

有了這些大量的使用數據,再加上由OptiLIC自動取得供管理者確認的合法授權資訊,以及事先定義的合規準則,OptiLIC即可以利用大數據比對軟體使用合規狀態,藉由分析軟體使用行為,自動、即時判別出特定終端或員工安裝使用不合規軟體的詳細資訊。由於事先已經收集詳盡的軟體使用數據,可以精準的指出不合規的使用者,並立即採取改正措施。


實施後獲得的管理成果

透過本專案實施,對於公司的軟體授權管理上獲得了非常卓越的成果,可分為兩大面向:

一、 看得見的視覺管理

經過詳實紀錄的軟體授權使用數據經過大數據分析,達成視覺化的軟體管理環境,不管對軟體使用的趨勢 - 軟體 使用人數 平均使用量 變化趨勢,或是軟體使用的效率-軟體 有價值產出 的有效使用比例,都可以利用即時的圖表立即掌握。


 二、 管得住的合規偵測及防護

        這也是本專案的核心目標,為該公司產生以下的效果,


總結

OptiLIC 深耕軟體授權的管理,進而結合大數據發展出全面性的反盜版管理。OptiLIC具備以下五種管理要素,有反盜版管理困擾的企業可以進一步了解。


詳細文章分享請參考: https://www.digiknow.com.tw/knowledge/63bd15dc23336 

如何突破防盜版的管理困境(上)

近年來大部分企業都已經認知使用正版軟體的重要性,卻由於長期的積習總是會有同仁有意或無意間使用盜版軟體,成為資安的漏洞,也給企業帶了巨大的資訊安全風險。企業雖然想方設法對盜版軟體展開防制和管理,但目前大部分的工具或系統並不是針對盜版軟體安裝和使用的偵測、防制來設計,透入很大的資源還是存在很多漏洞,需要不一樣的管理方式。 


一, 盜版軟體因何而來?

現代企業的工作型態幾乎無時無刻離不開個人電腦,而電腦的使用從一開機開始就需要用到各式各樣的軟體,包括管理電腦硬體操作使用的 '作業系統(Operating System)',用於開發程式的 '電腦語言'、'公用程式',或是提供我們日常工作的應用軟體,如文書處理、試算表、簡報、網頁瀏覽、社群通訊軟體、繪圖軟體及影像處理軟體,或是資料庫軟體等,還有為特殊目的設計企業專用的商業軟體如 ERP、CRM、PLM等,這些軟體的使用可以大幅提高個人及企業運作的效率。

另外還有各種電腦輔助設計(CAD/CAE)或電子設計自動化(EDA)軟體已為各個企業以及廣大工程技術人員所熟悉,這類特殊軟體的應用不僅是衡量企業產品開發、設計、製造能力和技術先進性的重要標誌,更進一步影響著企業在激烈的市場競爭中的生存空間和發展潛力。

 

軟體成本不一而足,甚至有些可以免費取得,但大部分有特殊功用的軟體都不可能免費,譬如大量被使用的桌面應用及繪圖軟體,或是主流的CAD/EDA軟體,它們的價格昂貴。早期大部份企業無力承擔全部正版化的費用,盜版的使用十分普遍。近年來大部分企業都已經認知使用正版軟體的重要性,也紛紛對盜版軟體展開管理,但卻由於長期的積習總是會有同仁有意或無意間使用盜版軟體,成為資安的漏洞,也給企業帶了巨大的資訊安全風險,主要表現在以下幾個方面。

1. 大部分高階軟體內建的保全設計,一旦聯網就會收集到這些授權軟體的使用狀況,可以完全掌握盜版軟體使用。再搭配軟體原廠授權時合約上列明的稽核機制,會成為原廠處理盜版軟體重要的證據。

2. 盜版軟體可能本身帶有病毒和木馬程式,有對企業內網電腦造成系統或檔破壞的風險,這種事件一旦發生,後果不堪設想。

3. 盜版軟體所形成的文件檔,內含有一些關於電腦的附加資訊,這些檔一旦流到公司外部,會造成公司資訊的洩漏。或是有些軟體,如果用正版軟體打開由盜版軟體所產生的文檔,軟體會報警,這樣會造成對外合作開發時,損害公司的名譽。

 

二, 反盜版軟體管理的工具

對於正版軟體合規使用管理,以及如何偵測盜版軟體的安裝和使用是現今企業反盜版資安管理的一大課題。目前市面上最常用的反盜版管理工具,一般都以通稱 IT資產管理工具(Gartner 定義為 ‘ITSM’ 終端安全管理系統,如 SmartIT, WinMatrix, OCS…)來處理。不過這裡所稱的「資產」其實是以硬體為主的資產及安全管理系統,原來的目標並非針對軟體合規使用的偵測。對於軟體,這種工具是以「黑白名單」管理為主。「白名單」是以公司內有申請使用特定軟體使用授權的使用者名單為基礎來比對,「黑名單」則以那些軟體不能使用為基礎來管制。維護黑白名單,管理員最困擾在它是一項耗費人力,又無法即時更新的管理程序,導致無法精準獲得不合規資訊。但其實更大的潛在風險,是這種工具對軟體的管理太粗放,面對現在不時更新的軟體授權規則無法與時俱進,存在很大的管理漏洞。

要解決這個困擾,就需要用 SAM (Software Asset Management, 軟件資產管理) 工具來處理。由字面定義就可以知道SAM管理的對象是軟體,Gartner 這樣定義SAM:『SAM為有助於優化軟件和 SaaS (軟體即服務 Software as a Service) 支出的產品,同時支持維護軟件許可和 SaaS 訂閱使用權利合規所需的任務自動化。 SAM 工具通過解析軟件許可權利的使用、自動收集軟件使用數據、建立對特定供應商的有效許可證 (ELP)、管理軟件資產、優化軟件價值,並將對軟件資產的深入分析和管理信息提供其工具和利益相關者共享。』


Gartner原文連結:

https://www.gartner.com/reviews/market/software-asset-management-tools

 

下一篇將繼續為您說明SAM 如何幫企業達成反盜版的監測與管理。

如何突破防盜版的管理困境(下)

SAM工具設計的目標就是要自動執行維護軟件許可合規性所需的許多任務,在運用時採即時監控軟體許可運行狀態及使用特徵資訊,智慧識別是否有盜版軟體的使用存在,自動觸發封控動作。對企業反盜版管理的需求,SAM工具不論在日常管理的作業面達成對盜版軟體管制精準管理,以及在反盜版管理的觀念上讓User自覺提高合法使用軟體的觀念都會產生非常正面的效果。 

前文提到要有效的監測及管理企業內盜版軟體的安裝使用,解決這個困擾,就需要使用 SAM 工具來處理,本文即對SAM的特性做更深入的解析。

 

一, 反盜版軟體管理的工具

為什麼 SAM 可以針對軟體反盜版執行合規管理,這就要從SAM的特性和作法來說明。

 

基本上 SAM工具設計的目標就是要自動執行維護軟件許可合規性所需的許多任務,從而控制軟件支出。 它透過解析軟件許可使用權利、自動收集軟件使用數據、建立各種軟件的有效許可證 (ELP) ,以及優化軟件許可交付,對軟件資產執行深入分析。SAM在運用時採即時監控軟體許可運行狀態及使用特徵資訊,智慧識別是否有盜版軟體的使用存在,自動觸發封控動作。

 

因此之故,SAM 的應用可以達成這些管理價值:

• 降低軟體正版化採購投入成本;

• 降低或消除軟體盜版使用的法規風險;

• 消除因盜版軟體帶來的內網資訊安全;

• 建立軟體資產管理標準,完善內控體系。

 

傳統的 ITSM 工具如SmartIT, WinMatrix, OCS…等,是用來幫助 I&O(資訊基礎架構和運營)組織來管理 IT ,特別是硬體,服務的使用、支持 IT 服務的基礎架構,以及幫助 IT 組織通過這些服務來完成交付業務價值的責任,所以在傳統的IT管理服務,包括規範 IT 運維管理,協助確保 IT 部門對使用者部門的服務品質,如:安裝軟體、裝補丁、上網行為管理、設備准入管理、加密控制、解決故障問題等事務性工作,還是有其無法取代的特性。

 

二, OptiLIC :SAM的代表性產品

為各位朋友介紹OptiLIC 工具,它是我們自己發展的系統,對軟體合規的監測與管理上有非常強大的能力。 OptiLIC(Optimize your License Management)透過兩大核心功能逐步改善企業軟體授權及合規管理的能力。第一步是運用軟體授權管理與優化手段,由OptiLIC軟體資源管理針對高價的CAD/CAM/EDA軟體提高軟體管理的能見度,而核心的授權閒置回收功能可以大幅提高軟體的利用率,讓原本緊張的軟體使用狀況一下多出很多餘裕的授權,最大化消除因正版數量不足而引發盜版軟體的安裝。授權閒置回收優化效益驚人,先為企業節省非常高的費用。

 

另一功用則是達成對盜版軟體管制精準管理。OptiLIC 會對企業內使用的軟體進行全面性的盤點,接著啟動即時的監測系統,透過解析軟件許可使用權利、自動收集軟件使用數據、建立各種軟件的有效許可證 (ELP),然後及時比對以發現不合規的事件,並立即處理。完善的資料庫系統,會同時詳細記錄不合規軟體使用(who, when. what, where),以及改正措施及驗證記錄等訊息。面對內部或外部查核時可以提出完整的記錄與證據,證明公司有有決心且對防止盜版軟體使用盡到「良善管理」的責任,能夠確實做好防止盜版軟體使用的管理。

總結來說,OptiLIC 對企業反盜版管理的需求,不論在日常管理的作業面,以及在反盜版管理的觀念上都起了非常正面的效果,可以用兩大面向來做總結:

 

達成對盜版軟體管制精準管理

▸ 以前對軟體合規管理總是後知後覺,經常是在廠商告知或是外部稽核後才知道。雖然平時也很重視合規管理,但卻提不出有效的數據來證明有做好管理。 (面對廠商的質疑顯得心虛)

▸ OptiLIC 即時發現不合規的事件,立即處理不放過,並詳細記錄不合規軟體使用(who, when. what, where),以及改正措施及驗證記錄等訊息。面對內部或外部查核時可以提出完整的記錄與證據,證明公司有有決心且對防止盜版軟體使用盡到「良善管理」的責任,能夠確實做好防止盜版軟體使用的管理。

 

User自覺提高合法使用軟體的觀念

▸ 使用OptiLIC合規管理前user會有意無意直接下載軟體安裝,不會去諮詢 IT 管理人員軟體是否合法。

透過嚴謹的規則定義,OptiLIC合規管理精準的監測機制會即時提出疑似不合規的明確資訊,IT會立即去了解、發現、溝通及處理,這是對反盜版軟體最有效的教育,並形成良好循環。目前user在下載軟體要安裝前會主動諮詢 IT 該軟體的合法性。

詳細文章分享請參考: https://www.digiknow.com.tw/knowledge/6296d320a9ed7 

軟體資產的合規性風險管理指標

隨著新技術的發展,ITAM (IT asset management )專業人員面臨著巨大的技術投資價值的挑戰。企業採用正版授權軟體能避免資安攻擊及其它惡意程式碼所帶來的安全威脅,雖然會以建立軟體資產管理制度來加強管理,但還是存在內部使用者有意或無意使用未經授權軟體。

 

例如:資訊部門在管理軟體安裝和使用合規的議題,最頭痛的問題是,使用者可以使用綠色版、免安裝版軟體​,或是安裝列名白名單,應該使用公司購買的合法軟體,卻自行去安裝含有更高階功能的非法授權軟體。這些都會造成企業置身於巨大的資訊安全風險之中。

 

未經授權或非法軟體(以下簡稱不合規性軟體),主要表現在以下幾個方面:

1. 不合規性軟體可能本身帶有病毒和木馬程式,有對企業內網電腦造成系統或檔案破壞的風險,這種事件一旦發生,後果不堪設想。

2. 使用不合規性軟體,很容易收到軟體原廠的反盜版函,究其根本原因,還是資訊洩漏的問題,因為盜版軟體一般都會有後門程式,一旦連網,此後門程式會將使用者電腦等重要資訊向外發送。

3. 不合規性軟體所形成的檔案,內含有一些關於電腦的附加資訊,這些檔案一旦流到公司外部,會造成公司資訊的洩漏。還有些軟體,如果用正版軟體打開由盜版軟體所產生的檔案,軟體會報警,造成對外合作開發時,損害公司的名譽。

 

根據FLEXERA™ 2022 State of ITAM Report,評估了全球465名IT專業人員的回應,這些專業人員在擁有1,000名或更多員工的組織中管理、建議和參與ITAM活動。從這些回應中提到企業在軟體資產管理上的需求,其中: (1)優化節省支出; (2)回收閒置授權再利用; (3)軟體的審計合規,均被列為優先考慮改善的指標。

資料來源:Flexera研究報告: 2022 State of ITAM Report 

 

另外,美國Gartner資訊科技研究和顧問公司在報告中也表示,調查全球800家客戶的軟體資產管理(SAM)使用狀況,企業如果能熟練運用軟體最佳化流程並採用自動化工具管理軟體授權的企業,第一年平均可以節省軟體授權費用高達30%。建議企業使用三種最佳實踐來削減軟體支出:

1. Optimize Software Configurations 最佳化軟體設定和設置

2. Recycle Software Licenses 回收現有軟體授權再利用

3. Use SAM Tools 使用軟體資產管理(SAM)工具

資料來源:Gartner研究報告: Organizations Can Cut Software Costs by 30 Percent Using Three Best Practices.

對於企業致力於軟體合規性管理以及軟體支出成本削減的需求,軟體資產管理提供了相對應的解決方案,藉以提升IT管理價值。


1. 軟體合規診斷管理:隨時為企業檢測未經授權軟體安裝、使用狀況,提供更深入的軟體合規保護。

 

2. 浮動授權優化管理:透過自動閒置回收許可證,有效防止無作為佔用,大幅提高許可證的利用效率30%以上。同時通過SmartHold許可證續接技術,不中斷用戶返回工作時繼續正常使用軟體,保證使用者的最佳體驗。

 

上述分享,可做為企業在資訊安全和 IT管理提升之指標參考。

文 : 羅錦榮

羅錦榮,擔任艾博特公司總經理,公司以推動產業精進管理的智動化應用以及成為企業軟體資源管理專家為目標,提供企業在產品開發到製程管理的生命週期過程中所需之軟硬體和顧問諮詢服務,以及產業在投入智慧製造過程所需的相關解決方案。


詳細文章分享請參考: https://www.digiknow.com.tw/knowledge/6296d320a9ed7 

說說軟體資產(源)管理

隨著科技發展及電腦技術的迅速普及,電腦軟體已經是現代人工作上必備的工具。不管是一般行政人員、工程師或是管理人員,一旦進入職場,業主就必須為工作人員配備個人電腦和工作上使用的軟體。除了一般日常工作使用的辦公軟體,如 Microsoft Office,Adobe Acrobat、各種瀏覽器等常用的軟體之外;另外,還有專為專門業務開發的商務軟體如ERP、MES….,還有一類是工程設計專用軟體CAD/CAM/CAE/EDA(以下簡稱CAx 軟體)。

這些軟體都必須向開發的廠商取得使用許可,它可能用單機授權的方式安裝在個人的電腦上使用,也可能是浮動許可證(Concurrent License ) 管理,讓較少授權數量的軟體可以提供更多人使用;尤其是市場上大多數工程設計用軟體,因為價格十分昂貴,更是以浮動許可居多。

 

從財務角度理解軟體資產

同樣都是為工作提供生產力的工具,軟體與硬體等有形資產一樣具有資產屬性,其原因是軟體的開發需要巨大的人力、財力投資,更是一個有重要使用價值的工具性產品,能夠給企業帶來直接或間接的價值。稅法上也規定企業事業單位所購軟體,凡購置成本達到固定資產標準或構成無形資產的,可以按固定資產或無形資產進行核算,這也說明了軟體資產的價值是能等同硬體進行評估,同樣具備可管理性。

 

軟體資產的構成與核心

軟體資產的組成部份為:軟體安裝介質 + 安裝之後的應用程式 + 許可證。只有擁有合法許可證的軟體才稱為企業的軟體資產,也就是說正版軟體才是企業的軟體資產;反之,盜版軟體則不能叫做軟體資產。特別是,當企業使用盜版軟體,或許短期內贏得時間,或節省一些經費,但盜版軟體的使用會為企業帶來巨大的資訊安全風險,是需要審慎看待並加以管理。

軟體許可證是軟體資產的核心部份,不可複製,要管理好軟體資產就要充分理解許可證,並對許可證進行有效管理。

軟體許可證其實就是一種技術貿易合約。許可證貿易形式的主要好處在於向權利人提供了一種既能夠發行自己的軟體產品,又能限制最終用戶的使用權範圍、保護自己專有權利的手段。每個軟體在考慮銷售市場時,還會出各種不同的版本。根據使用數量不同,軟體授權會推出單用戶版和多用戶版;根據使用場景不同進行授權時,會推出家庭版和企業版;根據不同使用者時,進行授權推出教育版、學生版、個人版、企業版等;根據授權元件不同時,會推出通用版和專業版;最近興起的基於雲的訂閱方式許可。

 

何謂軟體資產(源)管理? (SAM, Software Asset/Resource Management)

軟體是公司的資產,妥善使用軟體可以大幅提高生產力,因此軟體其實更應該以「軟體資源」來看待。軟體資源管理並非指簡單地進行正版軟體的安裝與明細管理,其實質是實現對企業軟體許可證的使用,進行長期的系統的追蹤、評估、優化與管控。軟體資源管理的目標是降低持有企業對軟體資產的採購成本、運維人力成本和軟體版權法規與盜版軟體資訊安全風險。


高價CAx的軟體資源管理

市場上大多數工程設計用軟體因為價格十分昂貴,所以大部分企業都選擇購買比設計人員和用戶端少很多的浮動許可證(Concurrent License )軟體數量,通過用戶端訪問許可伺服器的形式,獲取軟體的使用權限。

企業在管理這些軟體的使用過程中,經常會遇到以下的問題,造成企業的莫大損失:

▌不當佔用軟體特定模組(例如上班即搶佔許可證、開會或處理其它事忘了登出),真正要使用的設計人員反而獲取不到軟體許可證而無法正常工作。

▌企業在評估軟體購買時,也因為無法真實反映的軟體使用率、沒有工具改善閒置率而超額購買軟體,造成軟體預算的浪費。

 

高價的CAx對於設計和工程能量高的企業,通常會佔用公司很大比例的軟體預算。後續將針對對CAx軟體資源優化管理議題做更深入的分析報導。

文:艾博特科技  許聖松


詳細文章分享請參考: https://www.digiknow.com.tw/knowledge/61b9bc257a64c