共享软件:是企业免费的午餐还是昂贵的午餐?

企业只有建立了软件也是资产的新思维,把企业中的软件也贴上"固定资产标签",才能彻底杜绝软件管理中存在的安全隐患。

如果向企业的首席信息官(CIO)提出参观企业的IT设施,你多半会被带入各类豪华的机房,在一排排整齐的机架上,贴着"固定资产标签"的服务器和PC井井有条,而在这些看似整齐的PC里面,是否已全部安装了统一的软件呢?情况则并不尽然。

随着共享软件的迅速发展,很多企业员工出于工作或者个人的需要会在工作电脑中安装各类软件,由于共享软件作者开放授权,用户可以从各种渠道免费得到它的拷贝,也可以自由传播它。对于企业来说,共享软件真的是"免费的午餐"吗?

昂贵的午餐

事实上,很多企业员工安装的共享软件多半与工作不太相干,而是下载聊天或者游戏软件。根据美国Websense公司的调查数据显示,中国员工比世界其他地区的员工每周多花7.6小时的时间在网上聊天、玩游戏、或使用P2P及流媒体软件等。在以销售为主的企业中,这类随意安装共享软件的现象更为普遍,如欧莱雅(中国)公司(下称欧莱雅)的员工中销售人员比重很大,他们的笔记本电脑长期携带在外,安装了哪些软件,公司的IT部门很难监控到。随意的安装和使用这类共享软件给企业带来的是网络的带宽浪费和生产力的流失,而更重要的是这些软件背后隐藏着巨大的安全风险。

广告软件、间谍软件等往往与共享软件相伴而来。赛门铁克公司(Symantec,下称赛门铁克)中国区产品专家经理朱雅辉说:"我们通常所说的流氓软件,它们本身肯定是具有某些有用的功能来吸引用户下载安装,但其最终目的必然也是出于经济利益。"赛门铁克于2006年9月发布的新一期《互联网安全威胁报告》指出,在报告的前十大安全风险中,有八个是广告软件程序。企业中这类不受IT部门统一管理的软件一旦泛滥,虽然企业不一定立刻遭受实际损失,但无孔不入的广告软件和间谍软件却会成为网络犯罪的温床。更为可怕的是,"堡垒最容易从内部攻破",一旦间谍软件和计算机病毒等通过共享软件穿过企业的防火墙,进入员工的电脑,这比外部的攻击威胁更大。

另一方面,随着《萨班斯-奥克斯利法案》(Sarbanes-Oxley)的实施,随意安装共享软件所引起的安全漏洞和版权问题,也与该法案对IT系统透明度的要求相违背。商业软件联盟(Business Software Alliance,BSA)亚洲区软件政策事务总监吴少雄说,如果企业使用版权不明的软件,显然不能达到合规的要求。可见,共享软件如果不加管理,不仅不是"免费的午餐",很可能会让企业付出昂贵的代价。

统一管理 随时监测

要想杜绝共享软件带来的安全隐患,引入"软件资产管理"的理念必不可少。企业中分布式计算以及C/S架构的普遍应用,虽然提高了系统的运行效率,但对管理人员来说,实时掌握每台机器的情况更加困难。不过,如果将软件与硬件一样视为企业资产进行梳理则有助于解决这一难题。美国Altiris公司大中华区销售总监冯国兴说:"不仅企业的IT硬件需要资产管理,对企业的软件资产进行梳理和统一管理同样重要。"

曾经为员工电脑中五花八门的软件而头疼的欧莱雅技术主管邱健,通过部署软件资产管理系统解决了这一问题。欧莱雅的软件资产管理系统是一套完整的客户机管理工具,可以用来管理各种不同操作系统和平台的PC,它能自动检测客户机详细的硬件、软件及网络配置,保存重要的配置文件,监测特定软件的使用,然后通过远程控制模块,对机器进行远程监控。如果发现网络中哪台电脑里出现了未经授权安装的非法软件,邱健很快就能监测到,并可以在第一时间进行处理。恒安标准人寿保险有限公司(下称恒安标准人寿)同样也是如此,通过与国际商业机器公司(IBM)的合作,恒安标准人寿基于IBM的Tivoli软件构建了一套资产管理系统。在这套Tivoli系统上,公司管理员可以通过图形化的界面看到每个终端的软件安装情况。如果有未经允许安装的非法软件,系统会提出警告,如果员工不按警告提示尽快删除非法软件,就会有专门的管理人员去跟他交涉。通过这套系统,恒安标准人寿管理着150多台连接入内部网络的 PC和笔记本电脑。

统一管理不仅杜绝了潜在的安全隐患,而且保证了企业内运行软件的标准化,降低了企业的管理成本。冯国兴说:"如果不同标准的软件在企业中不断增加,企业的IT环境会越来越复杂,不仅管理难度随之增大,而且管理成本也会越来越高。"实施资产管理后,欧莱雅要建设一套新的业务系统,这套系统要求客户机的浏览器软件Internet Explorer在5.5版本以上。当时,公司电脑中的浏览器软件既有运行5.5版本,也有运行5.0版本的。通过资产管理系统一清查,每台机器上运行的IE版本一清二楚,邱健说:"这大大降低了管理的难度和成本,提高工作的效率。 "

变被动为主动

共享软件之所以能够在企业中滋长,究其原因还在于它提供了企业目前部署的软件所不具备的功能。一方面,员工在实际工作中确实需要使用共享软件,另一方面许多花钱采购来的软件却束之高阁。 

冯国兴认为,这种情况实际上反映了软件采购上的矛盾,即业务部门希望根据愿望进行采购,而这些愿望往往与企业的IT策略和实际情况不符。如何将企业软件部署具备科学性,变被动为主动,就能够在满足业务部门需求的同时,也符合企业IT策略。否则,即使对共享软件"围追堵截",仍然无法从根本上解决企业软件资产管理混乱的情况。

商业软件联盟曾经委任顾能公司(Gartner)做了一项软件资产管理的调查,调查针对亚太地区的十家商业机构,记录了他们对软件资产进行管理的经历和从中得到的商业利益。其中一家受调查的公司已在有效进行软件资产管理后,成功削减了19%的软件许可成本和17%的软件维护成本。冯国兴说:"如果企业能够清楚地知道正在运行中的软件使用频率,对那些使用频率低的软件进行清理,可以有效地杜绝浪费。"

早在2004年7月,中国香港特别行政区就颁布了《软件资产管理的参考指引》引导企业进行软件资产管理,而在中国大陆,软件资产管理的概念并不普及。变被动防御为主动梳理,企业还需要改变"重硬轻软"的老眼光,建立软件也是资产的新思维,把企业中的软件也贴上"固定资产标签",只有这样才能彻底杜绝软件管理所带来的安全隐患。