TWI625642B - 軟體風險評估系統及其方法 - Google Patents

軟體風險評估系統及其方法 Download PDF

Info

Publication number
TWI625642B
TWI625642B TW106107507A TW106107507A TWI625642B TW I625642 B TWI625642 B TW I625642B TW 106107507 A TW106107507 A TW 106107507A TW 106107507 A TW106107507 A TW 106107507A TW I625642 B TWI625642 B TW I625642B
Authority
TW
Taiwan
Prior art keywords
software
risk
list
computer system
server
Prior art date
Application number
TW106107507A
Other languages
English (en)
Other versions
TW201833811A (zh
Inventor
李杜榮
李振忠
王美蓉
楊鴻裕
陳明仁
林家弘
Original Assignee
廣達電腦股份有限公司
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 廣達電腦股份有限公司 filed Critical 廣達電腦股份有限公司
Priority to TW106107507A priority Critical patent/TWI625642B/zh
Priority to CN201710201043.XA priority patent/CN108573145A/zh
Priority to US15/675,956 priority patent/US10614209B2/en
Application granted granted Critical
Publication of TWI625642B publication Critical patent/TWI625642B/zh
Publication of TW201833811A publication Critical patent/TW201833811A/zh

Links

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/552Detecting local intrusion or implementing counter-measures involving long-term monitoring or reporting
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/10Protecting distributed programs or content, e.g. vending or licensing of copyrighted material ; Digital rights management [DRM]
    • G06F21/105Arrangements for software license management or administration, e.g. for managing licenses at corporate level
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/57Certifying or maintaining trusted computer platforms, e.g. secure boots or power-downs, version controls, system software checks, secure updates or assessing vulnerabilities
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/57Certifying or maintaining trusted computer platforms, e.g. secure boots or power-downs, version controls, system software checks, secure updates or assessing vulnerabilities
    • G06F21/577Assessing vulnerabilities and evaluating computer system security
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06QINFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
    • G06Q10/00Administration; Management
    • G06Q10/06Resources, workflows, human or project management; Enterprise or organisation planning; Enterprise or organisation modelling
    • G06Q10/063Operations research, analysis or management
    • G06Q10/0635Risk analysis of enterprise or organisation activities
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1433Vulnerability analysis
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/30Authentication, i.e. establishing the identity or authorisation of security principals
    • G06F21/45Structures or tools for the administration of authentication
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F2221/00Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/03Indexing scheme relating to G06F21/50, monitoring users, programs or devices to maintain the integrity of platforms
    • G06F2221/033Test or assess software
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06QINFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
    • G06Q40/00Finance; Insurance; Tax strategies; Processing of corporate or income taxes
    • G06Q40/08Insurance
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/34Network arrangements or protocols for supporting network services or applications involving the movement of software or configuration parameters 

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Theoretical Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • General Engineering & Computer Science (AREA)
  • Software Systems (AREA)
  • Business, Economics & Management (AREA)
  • General Physics & Mathematics (AREA)
  • Physics & Mathematics (AREA)
  • Human Resources & Organizations (AREA)
  • Computing Systems (AREA)
  • Economics (AREA)
  • Strategic Management (AREA)
  • Entrepreneurship & Innovation (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Game Theory and Decision Science (AREA)
  • Multimedia (AREA)
  • General Business, Economics & Management (AREA)
  • Technology Law (AREA)
  • Tourism & Hospitality (AREA)
  • Quality & Reliability (AREA)
  • Operations Research (AREA)
  • Marketing (AREA)
  • Educational Administration (AREA)
  • Development Economics (AREA)
  • Management, Administration, Business Operations System, And Electronic Commerce (AREA)
  • Stored Programmes (AREA)

Abstract

本發明係提供一種軟體風險評估系統,包括:一電腦系統;以及一伺服器;其中該電腦系統係執行一軟體風險評估程式以執行下列步驟:掃瞄該電腦系統以取得在安裝於該電腦系統之一安裝軟體清單;由該伺服器取得一軟體風險管理檔案;依據該軟體風險管理檔案以設定在該安裝軟體清單中之各軟體的一風險等級;依據一軟體資產管理資料以調整該安裝軟體清單中之各軟體之該風險等級;依據該安裝軟體清單中之各軟體在調整後的該風險等級以產生一軟體風險評估報告。

Description

軟體風險評估系統及其方法
本發明係有關於軟體風險評估,特別是有關於一種軟體風險評估系統及其方法。
合法使用軟體授權是企業管理軟體授權的目標,但如何掌握每台機器安裝軟體,並進行風險分析與管控,一直是軟體管理人員面臨的重大挑戰。目前業界所能提供的管理工具,都是針對要找的軟體名稱進行搜尋,但這只能針對已面臨的問題去做查找。對於存在的風險,此類的管理工具並不能進一步進行掌控與分析。因此,當有一種軟體並不在軟體管理清單內,而管理的電腦系統卻有使用者進行安裝與使用,而且並未具備合法授權,此時再進行查找,風險已經發生。此外,若是管理的電腦系統中,有些軟體授權的破解工具,這些軟體在原先也沒有納入管理範疇,但這卻是屬於高風險之軟體。另外,如果使用者透過各種修改名稱的方式,同樣也會造成管理人員的負擔,因此軟體管理不應該繼續侷限於被動的稽核查找,而是主動地掌握風險進行控管。
因此,需要一種軟體風險評估系統及其方法以解 決上述問題。
本發明係提供一種軟體風險評估系統,包括:一電腦系統;以及一伺服器;其中該電腦系統係執行一軟體風險評估程式以執行下列步驟:掃瞄該電腦系統以取得在安裝於該電腦系統之一安裝軟體清單;由該伺服器取得一軟體風險管理檔案;依據該軟體風險管理檔案以設定在該安裝軟體清單中之各軟體的一風險等級;依據一軟體資產管理資料以調整該安裝軟體清單中之各軟體之該風險等級;依據該安裝軟體清單中之各軟體在調整後的該風險等級以產生一軟體風險評估報告。
本發明更提供一種軟體風險評估方法,包括:掃瞄一電腦系統以取得在安裝於該電腦系統之一安裝軟體清單;由一伺服器取得一軟體風險管理檔案;依據該軟體風險管理檔案以設定在該安裝軟體清單中之各軟體的一風險等級;依據一軟體資產管理資料以調整該安裝軟體清單中之各軟體之該風險等級;依據該安裝軟體清單中之各軟體在調整後的該風險等級以產生一軟體風險評估報告。
100‧‧‧軟體風險評估系統
110‧‧‧電腦系統
111‧‧‧處理器
112‧‧‧揮發性記憶體
113‧‧‧非揮發性記憶體
130‧‧‧軟體風險評估程式
120‧‧‧伺服器
121‧‧‧處理器
122‧‧‧揮發性記憶體
123‧‧‧非揮發性記憶體
140‧‧‧軟體風險管理程式
150‧‧‧資料庫
131‧‧‧軟體安裝掃描模組
132‧‧‧軟體風險管理模組
133‧‧‧軟體風險判別模組
134‧‧‧軟體風險報告模組
141‧‧‧軟體風險調整模組
142‧‧‧軟體資產管理模組
S310-S350‧‧‧步驟
第1圖係顯示依據本發明一實施例中之軟體風險評估系統之功能方塊圖。
第2A圖係顯示依據本發明一實施例中之軟體風險評估程式 130之方塊圖。
第2B圖係顯示依據本發明一實施例中之軟體風險評估程式140之方塊圖。
第3圖係顯示依據本發明一實施例中之軟體風險評估方法之流程圖。
為使本發明之上述目的、特徵和優點能更明顯易懂,下文特舉一較佳實施例,並配合所附圖式,作詳細說明如下。
第1圖係顯示依據本發明一實施例中之軟體風險評估系統之功能方塊圖。
如第1圖所示,軟體風險評估系統100包括一或多台電腦系統110以及一伺服器120。舉例來說,電腦系統110係可為安置於各企業、或學校中之各處供員工、教職員、學生所使用之個人電腦。電腦系統110包括一處理器111、一揮發性記憶體112、以及一非揮發性記憶體113。處理器111例如可為一中央處理器(central processing unit、CPU),揮發性記憶體112例如可為一靜態隨機存取記憶體(static random access memory、SRAM)或動態隨機存取記憶體(dynamic random access memory、DRAM),但本發明並不限於此。
非揮發性記憶體113例如可為一硬碟機(hard disk drive)、一固態硬碟機(solid-state disk)、或一快閃記憶體(flash memory)。在一實施例中,非揮發性記憶體113係儲存了一軟體 風險評估程式130,處理器111係將軟體風險評估程式130由非揮發性記憶體113讀取至揮發性記憶體112中並執行。舉例來說,軟體風險評估程式130係可掃瞄電腦系統110中所安裝之軟體程式,並評估各軟體程式之風險等級與發生機率,並可進行風險調整。此外,軟體風險評估程式130更可將掃瞄與稽核整合,例如可整合軟體資產管理(software asset management、SAM)系統,並依據所評估之各軟體程式之風險等級產生一軟體風險評估報告。
伺服器120係用於管理各電腦系統110之軟體風險評估報告,並且可供管理者設定及調整各個軟體之風險機率。舉例來說,伺服器120包括處理器121、揮發性記憶體122、及一非揮發性記憶體123。揮發性記憶體122例如可為一靜態隨機存取記憶體(static random access memory、SRAM)或動態隨機存取記憶體(dynamic random access memory、DRAM),但本發明並不限於此。
非揮發性記憶體123例如可為一硬碟機(hard disk drive)、一固態硬碟機(solid-state disk)、或一快閃記憶體(flash memory)。在一實施例中,非揮發性記憶體123係儲存了一軟體風險評估程式140,處理器121係將軟體風險評估程式140由非揮發性記憶體123讀取至揮發性記憶體122中並執行。軟體風險評估程式140係主要供管理者進行軟體授權管理、軟體使用申請、軟體稽核、以及軟體風險調整等等。
第2A圖係顯示依據本發明一實施例中之軟體風險評估程式130之方塊圖。如第2A圖所示,軟體風險評估程式130 係包括一軟體安裝掃描模組(Software Installation Scanning Module)131、一軟體風險管理模組(Software Risk Management Module)132、一軟體風險判別模組(Software Risk Determination Module)133、以及一軟體風險報告模組(Software Risk Reporting Module)134。
舉例來說,軟體安裝掃描模組131係用以執行電腦系統110之安裝軟體清單之收集。在電腦系統110上所安裝的所有軟體均會被軟體安裝掃描模組131掃瞄並記錄於安裝軟體清單上。需注意的是,軟體安裝掃描模組131會掃瞄所有透過各軟體之安裝程式而安裝於電腦系統110上的各種軟體(例如可透過深層掃瞄),亦可掃瞄在電腦系統110中之不同磁碟機或作業系統中的各種可攜式程式(portable program)。此外,軟體安裝掃描模組131所收集之軟體資訊包括但不限於軟體名稱、安裝日期、軟體版本、軟體公司、軟體安裝路徑、使用者、機器名稱等等。
軟體風險管理模組132係用以記錄軟體風險管理檔案,並可提供至軟體風險判別模組133以進行軟體風險判別。在一實施例中,軟體風險管理模組132所記錄之軟體風險管理檔案可事先匯入電腦系統110之非揮發性記憶體113中,或是可透過網路連線即時由伺服器120取得最新之軟體風險管理檔案。舉例來說,軟體風險管理檔案包括:高風險軟體、付費軟體、破解軟體、系統軟體等等。軟體風險管理檔案之內容會依據軟體安裝掃描模組131之掃瞄結果及各項軟體外部資料來源與分類,並透過軟體風險調整模組141進行調整及更新。
軟體風險判別模組133係依據軟體風險管理檔案將所收集之安裝軟體清單中之各軟體進行風險評估。舉例來說,軟體風險判別模組133主要進行幾種動作:(1)依據軟體風險等級進行風險設定;(2)依據軟體風險機率進行風險設定;(3)依據軟體管理資訊進行風險調整。透過上述幾種動作,軟體風險判別模組133則可判斷在安裝軟體清單內之各軟體的風險等級。
軟體風險報告模組134係依據安裝軟體清單,將軟體風險判別模組133所判斷之各軟體之風險結果製作一軟體風險評估報告。管理者則可透過該軟體風險評估報告以了解電腦系統110中所安裝之各軟體的情況以及各種風險等級之軟體數量。軟體風險評估報告更可搭配後端之軟體資產管理系統以整合成為一稽核紀錄。
第2B圖係顯示依據本發明一實施例中之軟體風險評估程式140之方塊圖。如第2B圖所示,軟體風險評估程式140係包括一軟體風險調整模組(Software Risk Adjustment Module)141、一軟體資產管理模組(Software Asset Management Module)142。
軟體風險調整模組141係用以回饋調整軟體風險管理檔案。舉例來說,軟體風險調整模組141可參照外部資料與稽核紀錄以調整軟體風險管理檔案中之各軟體的風險等級及風險機率,並可更新軟體風險管理檔案,藉以提高軟體風險判別之精確率。
軟體資產管理模組142係泛指企業建置之軟體授 權資產管理系統。本發明之軟體風險評估機制可整合軟體授權資產管理系統,參考公司已經具備之合法軟體授權、員工申請使用紀錄、稽核紀錄,用於進行軟體風險判別結果之調整,藉以提高軟體風險判別結果之合理性。舉例來說,雖然電腦系統110安裝了高風險軟體,但由於企業已經具備此軟體資產,電腦系統110並已合法進行申請安裝使用,也接受管理之稽核為合法軟體,則可依據此結果進行風險的降低,讓機器之安裝軟體風險判別結果趨於合理。
需注意的是在市面上有上百萬種軟體可安裝於電腦系統110上,管理者並無法一一詳細檢視每台電腦系統中安裝了何種軟體以及利用人力來評估其風險等級。透過本發明中之軟體風險管理機制,管理者可將不同軟體類型或軟體廠商進行大約分類,並給予合理的風險等級。接著,安裝於各電腦系統110中之軟體安裝掃瞄模組即131即可掃瞄所安裝之軟體的一安裝軟體清單,且軟體風險判別模組133可依據軟體風險管理檔案(可為離線處理或即時線上處理),來判斷安裝軟體清單人之各軟體的風險等級,並由軟體風險報告模組產生一軟體風險評估報告至伺服器120。來自各電腦系統110之軟體風險評估報告可儲存於伺服器120之一資料庫150中。上述模組之動作可定時執行或是在偵測到有新軟體安裝或是有軟體之狀態改變時再執行。
表1係繪示本發明一實施例中調整各軟體之風險等級之示意圖。
如表1所示,軟體A~J之初始風險等級均設定為3,例如風險等級可分為1至5,其中風險1表示風險非常低,風險5則表示風險非常高。軟體風險判別模組133係依據不同類型之軟體以調整各軟體之風險等級。舉例來說,軟體類型搭配軟體資產管理系統可大致分類為付費軟體、破解軟體、系統軟體、商業軟體聯盟(Business Software Alliance、BSA)成員、授權管理、使用申請、稽核通過等等,但本發明並不以此為限。
舉例來說,軟體A是屬於付費軟體及BSA成員,且軟體A之使用者有經過授權管理及提出使用申請,並且已稽核通過。軟體B則屬於破解軟體。軟體C、G、及J則屬於付費軟體。軟體D、E、H係屬於系統軟體。軟體F則屬於付費軟體及BSA成員。軟體I則屬於付費軟體、BSA成員,且經過授權管理。
更進一步而言,若軟體屬於付費軟體,則表示需有購買相關的授權認證才屬合法,會將該軟體之風險等級提昇1。若該軟體更屬於BSA成員,則對企業而言,其風險等級會 提高,故會將該軟體之風險等級提昇1。此外,若軟體屬於破解軟體,則表示該軟體之風險非常高,故其風險等級會直接設定為最高風險等級5。若軟體屬於系統軟體,例如作業系統或系統工具程式、防毒程式等等,則表示該軟體之風險非常低,故其風險等級會直接設定為最低風險等級1。
另外,企業雖然會購買特定軟體之授權,但可能其授權數量有限,並無法提供給每個使用者進行安裝及使用。更進一步而言,使用者需向管理者提出該特定軟體之使用申請,並稽核通過,才能降低該軟體之風險等級。換言之,若企業有購買特定軟體之授權,但該使用者未通過申請即自行安裝並使用該特定軟體,這表示該使用者之電腦系統110上所安裝之該特定軟體仍有一定程度的風險,故會維持原本之風險等級。
對照表1之內容,各軟體之風險等級調整僅會在相關之屬性欄位中進行。例如軟體A是屬於付費軟體及BSA成員,且軟體A之使用者有經過授權管理及提出使用申請,並且已稽核通過。故軟體A之軟體風險之計算為:付費軟體之風險等級加1、BSA成員之風險等級加1、經過授權管理之風險等級減1、經過使用申請之風險等級減1、且經過稽核通過之風險等級再減1,最後可得到軟體A之最後風險等級為2。又例如軟體I為付費軟體,其風險等級加1,且為BSA成員之風險等級又加1。然而,軟體I是企業有經過授權管理的,但是使用者並未提出使用申請也未通過稽核,故軟體I之最後風險等級會維持在高風險等級4。
第3圖係顯示依據本發明一實施例中之軟體風險評估方法之流程圖。
在步驟S310,掃瞄電腦系統以取得在安裝於該電腦系統之一安裝軟體清單。
在步驟S320,取得一軟體風險管理檔案。舉例來說,軟體風險管理模組132可事先由伺服器120取得該軟體風險管理檔案,且軟體風險判別模組133則可進行離線處理。在一些實施例中,軟體風險管理模組132可同步由伺服器120取得該軟體風險管理檔案,且軟體風險判別模組133可進行線上處理。
在步驟S330,依據該軟體風險管理檔案以設定在該安裝軟體清單中之各軟體的一風險等級。舉例來說,不同類型之軟體會具有不同的軟體風險等級。
在步驟S340,依據一軟體資產管理資料以調整該安裝軟體清單中之各軟體之該風險等級。舉例來說,表1之實施例之充份說明不同類型及軟體管理方面之軟體的風險等級之調整。
在步驟S350,依據該安裝軟體清單中之各軟體在調整後的該風險等級以產生一軟體風險評估報告。舉例來說,管理者可依據各電腦系統之軟體風險評估報告,針對具有高風險之軟體進行相應的處置。若在後端有軟體資產管理系統,則可結合軟體資產管理系統將軟體風險評估報告整合至軟體稽核紀錄。
綜上所述,本發明係提供一種軟體風險評估系統及方法,其可掃瞄一或多台電腦系統上所安裝之軟體並產生安 裝軟體清單,並可針對安裝軟體清單中之各軟體進行相應的風險評估,例如可產生一軟體風險評估報告。管理者則可依據各電腦系統之軟體風險評估報告,針對具有高風險之軟體進行相應的處置。
本發明雖以較佳實施例揭露如上,然其並非用以限定本發明的範圍,任何所屬技術領域中具有通常知識者,在不脫離本發明之精神和範圍內,當可做些許的更動與潤飾,因此本發明之保護範圍當視後附之申請專利範圍所界定者為準。

Claims (10)

  1. 一種軟體風險評估系統,包括:一電腦系統;以及一伺服器;其中該電腦系統係執行一軟體風險評估程式以執行下列步驟:掃瞄該電腦系統以取得在安裝於該電腦系統之一安裝軟體清單;由該伺服器取得一軟體風險管理檔案;依據該軟體風險管理檔案以設定在該安裝軟體清單中之各軟體的一風險等級;依據一軟體資產管理資料以調整該安裝軟體清單中之各軟體之該風險等級,其中該軟體資產管理資料係記錄各軟體之合法軟體授權狀態、員工申請使用記錄、及稽核記錄;以及依據該安裝軟體清單中之各軟體在調整後的該風險等級以產生一軟體風險評估報告。
  2. 如申請專利範圍第1項所述之系統,其中該電腦系統係事先由該伺服器取得該軟體風險管理檔案,並離線調整該安裝軟體清單中之各軟體之該風險等級。
  3. 如申請專利範圍第1項所述之系統,其中該電腦系統係由該伺服器同步取得該軟體風險管理檔案,並在線上調整該安裝軟體清單中之各軟體之該風險等級。
  4. 如申請專利範圍第1項所述之系統,其中該軟體風險管理檔案係包括各軟體所相應之一初始風險等級、一風險發生機率、及一軟體分類。
  5. 如申請專利範圍第1項所述之系統,其中該軟體風險評估報告係可整合至該伺服器之一軟體資產管理系統,並將該軟體風險評估報告整合至一軟體稽核紀錄。
  6. 一種軟體風險評估方法,包括:掃瞄一電腦系統以取得在安裝於該電腦系統之一安裝軟體清單;由一伺服器取得一軟體風險管理檔案;依據該軟體風險管理檔案以設定在該安裝軟體清單中之各軟體的一風險等級;依據一軟體資產管理資料以調整該安裝軟體清單中之各軟體之該風險等級,其中該軟體資產管理資料係記錄各軟體之合法軟體授權狀態、員工申請使用記錄、及稽核記錄;以及依據該安裝軟體清單中之各軟體在調整後的該風險等級以產生一軟體風險評估報告。
  7. 如申請專利範圍第6項所述之方法,更包括:利用該電腦系統係事先由該伺服器取得該軟體風險管理檔案,並離線調整該安裝軟體清單中之各軟體之該風險等級。
  8. 如申請專利範圍第6項所述之方法,更包括:利用該電腦系統由該伺服器同步取得該軟體風險管理檔案,並在線上調整該安裝軟體清單中之各軟體之該風險等級。
  9. 如申請專利範圍第6項所述之方法,其中該軟體風險管理檔案係包括各軟體所相應之一初始風險等級、一風險發生機率、及一軟體分類。
  10. 如申請專利範圍第6項所述之方法,其中該軟體風險評估報告係可整合至該伺服器之一軟體資產管理系統,並將該軟體風險評估報告整合至一軟體稽核紀錄。
TW106107507A 2017-03-08 2017-03-08 軟體風險評估系統及其方法 TWI625642B (zh)

Priority Applications (3)

Application Number Priority Date Filing Date Title
TW106107507A TWI625642B (zh) 2017-03-08 2017-03-08 軟體風險評估系統及其方法
CN201710201043.XA CN108573145A (zh) 2017-03-08 2017-03-30 软件风险评估系统及其方法
US15/675,956 US10614209B2 (en) 2017-03-08 2017-08-14 Software risk evaluation system and method thereof

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
TW106107507A TWI625642B (zh) 2017-03-08 2017-03-08 軟體風險評估系統及其方法

Publications (2)

Publication Number Publication Date
TWI625642B true TWI625642B (zh) 2018-06-01
TW201833811A TW201833811A (zh) 2018-09-16

Family

ID=63255961

Family Applications (1)

Application Number Title Priority Date Filing Date
TW106107507A TWI625642B (zh) 2017-03-08 2017-03-08 軟體風險評估系統及其方法

Country Status (3)

Country Link
US (1) US10614209B2 (zh)
CN (1) CN108573145A (zh)
TW (1) TWI625642B (zh)

Families Citing this family (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN108985072A (zh) * 2018-07-16 2018-12-11 北京百度网讯科技有限公司 操作防御方法、装置、设备及计算机可读介质
TW202016732A (zh) * 2018-10-25 2020-05-01 廣達電腦股份有限公司 軟體主檔資料管理系統及方法
US20210035115A1 (en) * 2019-07-30 2021-02-04 EMC IP Holding Company LLC Method and system for provisioning software licenses
US11509677B2 (en) * 2020-05-05 2022-11-22 Uber Technologies, Inc. Automatically detecting vulnerability remediations and regressions
CN113472733B (zh) * 2021-05-07 2022-11-22 北京东方通软件有限公司 一种面向互联网的安全审计方法
CN115357907B (zh) * 2022-10-19 2023-01-31 威海海洋职业学院 一种基于云计算的数据安全风险评估方法和系统

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20090094697A1 (en) * 2007-10-05 2009-04-09 Google Inc. Intrusive software management
CN103984623A (zh) * 2014-04-28 2014-08-13 天津大学 一种基于缺陷检测的软件安全风险评估方法
CN104217155A (zh) * 2013-05-30 2014-12-17 宁夏新航信息科技有限公司 一种对计算机软件进行保护的方法和装置
TW201528034A (zh) * 2013-09-11 2015-07-16 Nss Labs Inc 惡意軟體及攻擊程式碼活動檢測系統及方法

Family Cites Families (12)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7278163B2 (en) * 2005-02-22 2007-10-02 Mcafee, Inc. Security risk analysis system and method
WO2008140683A2 (en) * 2007-04-30 2008-11-20 Sheltonix, Inc. A method and system for assessing, managing, and monitoring information technology risk
US8307351B2 (en) * 2009-03-18 2012-11-06 Oracle International Corporation System and method for performing code provenance review in a software due diligence system
US9268945B2 (en) * 2010-03-19 2016-02-23 Contrast Security, Llc Detection of vulnerabilities in computer systems
CN102195987B (zh) * 2011-05-31 2014-04-30 成都七巧软件有限责任公司 一种基于软件产品库的分布式可信认证方法和系统
CN103544432A (zh) * 2012-07-11 2014-01-29 腾讯科技(深圳)有限公司 提示卸载程序的方法和装置
US9319430B2 (en) * 2014-06-17 2016-04-19 International Business Machines Corporation Managing software deployment
US20160224911A1 (en) * 2015-02-04 2016-08-04 Bank Of America Corporation Service provider emerging impact and probability assessment system
CN106295926A (zh) * 2015-05-20 2017-01-04 北京思图科技有限公司 软件资产管理系统及软硬件信息自动抓取方法
CN105117544B (zh) * 2015-08-21 2018-09-28 李涛 基于移动云计算的Android平台App风险评估方法与装置
CN105635112B (zh) * 2015-12-18 2019-03-15 国家电网公司 信息系统安全性能的评估方法
US10402570B2 (en) * 2017-03-08 2019-09-03 Wipro Limited Method and device for software risk management within information technology (IT) infrastructure

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20090094697A1 (en) * 2007-10-05 2009-04-09 Google Inc. Intrusive software management
CN104217155A (zh) * 2013-05-30 2014-12-17 宁夏新航信息科技有限公司 一种对计算机软件进行保护的方法和装置
TW201528034A (zh) * 2013-09-11 2015-07-16 Nss Labs Inc 惡意軟體及攻擊程式碼活動檢測系統及方法
CN103984623A (zh) * 2014-04-28 2014-08-13 天津大学 一种基于缺陷检测的软件安全风险评估方法

Also Published As

Publication number Publication date
TW201833811A (zh) 2018-09-16
US10614209B2 (en) 2020-04-07
US20180260558A1 (en) 2018-09-13
CN108573145A (zh) 2018-09-25

Similar Documents

Publication Publication Date Title
TWI625642B (zh) 軟體風險評估系統及其方法
US11818136B2 (en) System and method for intelligent agents for decision support in network identity graph based identity management artificial intelligence systems
US11888602B2 (en) System and method for predictive platforms in identity management artificial intelligence systems using analysis of network identity graphs
US8127365B1 (en) Origination-based content protection for computer systems
Singh et al. Continuous auditing and continuous monitoring in ERP environments: Case studies of application implementations
US20090319312A1 (en) System and Method for Governance, Risk, and Compliance Management
CN111343173B (zh) 数据访问的异常监测方法及装置
JP5524870B2 (ja) グループデータの管理および分類のための方法およびシステム
US20080147462A1 (en) Method of managing human resource cases
US20060004614A1 (en) Content management system
US20120240194A1 (en) Systems and Methods for Controlling Access to Electronic Data
KR102213465B1 (ko) 통합보안업무관리장치 및 통합보안업무관리방법
Lewis et al. DIGITAL AUDITING: Modernizing the Government Financial Statement Audit Approach.
Cannon et al. Compliance Deconstructed: When you break it down, compliance is largely about ensuring that business processes are executed as expected.
CA3103393A1 (en) Method and server for access verification in an identity and access management system
Alles et al. Audit automation for implementing continuous auditing: Principles and problems
DE112021004678T5 (de) Automatisierte risikobewertung von zustandsprüfungen von datenverarbeitungsressourcen
Jayawardene et al. The curse of dimensionality in data quality
Verdugo et al. Assessing data cybersecurity using ISO/IEC 25012
US20140304009A1 (en) System and method for management of insurable assets
US20230136439A1 (en) Systems and methods for cloud-based federated records retention compliance orchestration, validation and enforcement
US20210029129A1 (en) System and method for controlling security access
Butin et al. A guide to end-to-end privacy accountability
Dashti et al. Tool-assisted risk analysis for data protection impact assessment
Szívós et al. The role of data authentication and security in the audit of financial statements