軟資產(chǎn)之優(yōu)，金融IT之重

萬(wàn)物智慧互聯(lián)的“超互聯(lián)時(shí)代”，貴為國(guó)家經(jīng)濟(jì)命脈的金融證券業(yè)，也被拋到了風(fēng)口浪尖。不論是網(wǎng)上銀行、手機(jī)銀行、第三方支付、P2P小額貸款等等的繁榮興盛，還是多種網(wǎng)絡(luò)證券業(yè)務(wù)的廣泛開(kāi)展，都是金融證券業(yè)主動(dòng)抑或被動(dòng)適應(yīng)互聯(lián)網(wǎng)時(shí)代的努力與成就，但同時(shí)也因服務(wù)方式虛擬化、業(yè)務(wù)邊界模糊化、經(jīng)營(yíng)環(huán)境開(kāi)放化等使信息安全面臨更嚴(yán)峻的挑戰(zhàn)。

根據(jù)BSA|軟件聯(lián)盟的一項(xiàng)調(diào)查顯示，全球范圍內(nèi)，每7分鐘就有一家企業(yè)遭到惡意攻擊。而根據(jù)普華永道的一項(xiàng)調(diào)查，2015年在中國(guó)內(nèi)地和香港企業(yè)監(jiān)測(cè)到的信息安全事件比2014年上升了5倍之多。僅在2015年，網(wǎng)絡(luò)攻擊給全球經(jīng)濟(jì)造成損失超過(guò)4000億美元，同時(shí)，超過(guò)4910億美元用于解決與非授權(quán)軟件相關(guān)的惡意軟件問(wèn)題；全球31%的高管表示他們的品牌或聲譽(yù)因?yàn)榘踩录艿綋p害。而在這些觸目驚心的數(shù)字中，金融等關(guān)鍵行業(yè)更是重點(diǎn)攻擊和侵?jǐn)_目標(biāo)。

軟件資產(chǎn)管理（SAM）：超互聯(lián)時(shí)代信息安全的重要防線

超互聯(lián)環(huán)境下，信息安全建設(shè)是一個(gè)巨大的系統(tǒng)工程，需要整體調(diào)研、布局、部署、實(shí)施與維護(hù)，步步為營(yíng)，方能將威脅與漏洞拒之于外。而在這個(gè)巨大的系統(tǒng)工程中，軟件資產(chǎn)管理（SAM）占據(jù)著極其重要地位。

但實(shí)際上，不少企業(yè)并沒(méi)有高度重視這自我檢查和管理的過(guò)程，導(dǎo)致企業(yè)信息系統(tǒng)面臨病毒和網(wǎng)絡(luò)攻擊等各種安全隱患。據(jù)BSA|軟件聯(lián)盟今年5月發(fā)布的一個(gè)軟件調(diào)查報(bào)告顯示，在全球所有已經(jīng)安裝的軟件當(dāng)中，39%的軟件沒(méi)有經(jīng)過(guò)授權(quán)，而在金融、證券、保險(xiǎn)等關(guān)鍵行業(yè)中，高達(dá)25%的軟件未經(jīng)過(guò)授權(quán)；全球49%的CIO意識(shí)到安全威脅來(lái)自于未經(jīng)許可的軟件，但是僅35%的企業(yè)制定了相關(guān)的書(shū)面政策。

對(duì)于金融證券業(yè)來(lái)說(shuō)，如果不能合理有效的管理軟件資產(chǎn)，不能確保網(wǎng)絡(luò)中運(yùn)行的軟件100%合法或已經(jīng)得到充分授權(quán)，無(wú)疑于是“引狼入室”般的行為——雖然金融證券業(yè)的正版軟件使用率一直領(lǐng)先于各行業(yè)，但25%的缺漏仍是讓人觸目驚心：這25%的背后更代表著軟件資產(chǎn)管理的巨大缺失與不足。當(dāng)企業(yè)無(wú)法對(duì)與自身核心業(yè)務(wù)水乳交融的軟件資產(chǎn)實(shí)現(xiàn)100%正版化時(shí)，這說(shuō)明企業(yè)未能完全了解自身所面臨的各種安全風(fēng)險(xiǎn)，更未從軟件的采購(gòu)、授權(quán)、部署、維護(hù)到回收的全生命周期管理著手，未雨綢繆，未能將這種風(fēng)險(xiǎn)防范于未然。

如何筑就網(wǎng)絡(luò)安全的重要防線

一般來(lái)說(shuō)，僅需四步即可初步創(chuàng)建一個(gè)有效的軟件資產(chǎn)管理體系：

首先，需要對(duì)企業(yè)現(xiàn)有軟件資產(chǎn)進(jìn)行審計(jì)，對(duì)所有的軟件及其合法性了然在胸，并確認(rèn)這些軟件是否應(yīng)該安裝，所有用戶是否都擁有適當(dāng)許可。

第二步即是確定企業(yè)需要什么樣的軟件資產(chǎn)，這是對(duì)未來(lái)軟件資產(chǎn)布局的一個(gè)瞻望與部署。在了解企業(yè)已擁有什么樣的軟件資產(chǎn)之后，需要預(yù)測(cè)未來(lái)的需求，從這樣的執(zhí)行步驟中，或能發(fā)現(xiàn)可能的成本節(jié)約途徑，并更好地利用軟件許可協(xié)議中的維護(hù)條款。

第三步是制定健全的軟件政策和管理流程，涵蓋企業(yè)的IT前沿與核心部分，從采購(gòu)流程開(kāi)始，管理軟件資產(chǎn)的全生命周期。

而最后一步則是讓軟件資產(chǎn)管理成為企業(yè)的一個(gè)工作流程，必須監(jiān)控并確保企業(yè)始終遵守自己的軟件政策，并對(duì)員工開(kāi)展持續(xù)的培訓(xùn)。

實(shí)際上，軟件資產(chǎn)管理并不需要大量的資金投入與人力成本，但其帶來(lái)的回報(bào)卻是相當(dāng)驚人的：不僅可讓企業(yè)確保信息安全，更能幫助企業(yè)厘清軟件資產(chǎn)，節(jié)省成本，提升軟件的投資回報(bào)率，并防范因軟件使用不當(dāng)帶來(lái)的財(cái)產(chǎn)與聲譽(yù)損失。根據(jù)BSAI軟件聯(lián)盟最新的全球軟件調(diào)查報(bào)告表明，合理管理軟件能夠減少由于過(guò)度許可應(yīng)用或隱藏未使用軟件造成的隱性低效現(xiàn)象，可有效節(jié)省高達(dá)25%的成本。

“我們都生活在這樣一個(gè)超互聯(lián)時(shí)代，網(wǎng)絡(luò)安全威脅是非?，F(xiàn)實(shí)的問(wèn)題，每天都在發(fā)生，并且日益復(fù)雜，一刻也未停止過(guò)。網(wǎng)絡(luò)風(fēng)險(xiǎn)來(lái)自于外部，而企業(yè)內(nèi)部的管理漏洞會(huì)加劇這種威脅。企業(yè)只要想要在全球生態(tài)鏈中生存、經(jīng)營(yíng)，就必須要了解自身所面臨的各種風(fēng)險(xiǎn)并管理這些風(fēng)險(xiǎn)，不能單單只靠IT一個(gè)部門(mén)單打獨(dú)斗，而必須在全企業(yè)范圍內(nèi)實(shí)施有效的軟件資產(chǎn)管理，并讓其成為企業(yè)的一種內(nèi)生體制?！盉SAI軟件聯(lián)盟中國(guó)區(qū)市場(chǎng)傳播經(jīng)理張凝女士說(shuō)。