本发明关于软件风险评估,特别是关于一种软件风险评估系统及其方法。
背景技术:
::合法使用软件授权是企业管理软件授权的目标,但如何掌握每台机器安装软件,并进行风险分析与管控,一直是软件管理人员面临的重大挑战。目前业界所能提供的管理工具,都是针对要找的软件名称进行搜寻,但这只能针对已面临的问题去做查找。对于存在的风险,此类的管理工具并不能进一步进行掌控与分析。因此,当有一种软件并不在软件管理清单内,而管理的电脑系统却有使用者进行安装与使用,而且并未具备合法授权,此时再进行查找,风险已经发生。此外,若是管理的电脑系统中,有些软件授权的破解工具,这些软件在原先也没有纳入管理范畴,但这却是属于高风险的软件。另外,如果使用者通过各种修改名称的方式,同样也会造成管理人员的负担,因此软件管理不应该继续局限于被动的稽核查找,而是主动地掌握风险进行控管。因此,需要一种软件风险评估系统及其方法以解决上述问题。技术实现要素:本发明提供一种软件风险评估系统,包括:一电脑系统;以及一伺服器;其中该电脑系统执行一软件风险评估程序以执行下列步骤:扫描该电脑系统以取得在安装于该电脑系统的一安装软件清单;由该伺服器取得一软件风险管理档案;依据该软件风险管理档案以设定在该安装软件清单中的各软件的一风险等级;依据一软件资产管理数据以调整该安装软件清单中的各软件的该风险等级;依据该安装软件清单中的各软件在调整后的该风险等级以产生一软件风险评估报告。本发明还提供一种软件风险评估方法,包括:扫描一电脑系统以取得在安装于该电脑系统的一安装软件清单;由一伺服器取得一软件风险管理档案;依据该软件风险管理档案以设定在该安装软件清单中的各软件的一风险等级;依据一软件资产管理数据以调整该安装软件清单中的各软件的该风险等级;依据该安装软件清单中的各软件在调整后的该风险等级以产生一软件风险评估报告。附图说明图1显示依据本发明一实施例中的软件风险评估系统的功能方块图。图2a显示依据本发明一实施例中的软件风险评估程序130的方块图。图2b显示依据本发明一实施例中的软件风险评估程序140的方块图。图3显示依据本发明一实施例中的软件风险评估方法的流程图。[符号说明]100:软件风险评估系统;110:电脑系统;111:处理器;112:易失性存储器;113:非易失性存储器;130:软件风险评估程序;120:伺服器;121:处理器;122:易失性存储器;123:非易失性存储器;140:软件风险管理程序;150:数据库;131:软件安装扫描模块;132:软件风险管理模块;133:软件风险判别模块;134:软件风险报告模块;141:软件风险调整模块;142:软件资产管理模块;s310-s350:步骤。具体实施方式为使本发明的上述目的、特征和优点能更明显易懂,下文特举一较佳实施例,并配合附图,作详细说明如下。图1显示依据本发明一实施例中的软件风险评估系统的功能方块图。如图1所示,软件风险评估系统100包括一或多台电脑系统110以及一伺服器120。举例来说,电脑系统110是可为安置于各企业、或学校中的各处供员工、教职员、学生所使用的个人电脑。电脑系统110包括一处理器111、一易失性存储器112、以及一非易失性存储器113。处理器111例如可为一中央处理器(centralprocessingunit、cpu),易失性存储器112例如可为一静态随机存取存储器(staticrandomaccessmemory、sram)或动态随机存取存储器(dynamicrandomaccessmemory、dram),但本发明并不限于此。非易失性存储器113例如可为一硬盘驱动器(harddiskdrive)、一固态硬盘(solid-statedisk)、或一闪存存储器(flashmemory)。在一实施例中,非易失性存储器113储存了一软件风险评估程序130,处理器111将软件风险评估程序130由非易失性存储器113读取至易失性存储器112中并执行。举例来说,软件风险评估程序130可扫描电脑系统110中所安装的软件程序,并评估各软件程序的风险等级与发生机率,并可进行风险调整。此外,软件风险评估程序130还可将扫描与稽核整合,例如可整合软件资产管理(softwareassetmanagement、sam)系统,并依据所评估的各软件程序的风险等级产生一软件风险评估报告。伺服器120用于管理各电脑系统110的软件风险评估报告,并且可供管理者设定及调整各个软件的风险机率。举例来说,伺服器120包括处理器121、易失性存储器122、及一非易失性存储器123。易失性存储器122例如可为一静态随机存取存储器(staticrandomaccessmemory、sram)或动态随机存取存储器(dynamicrandomaccessmemory、dram),但本发明并不限于此。非易失性存储器123例如可为一硬盘驱动器(harddiskdrive)、一固态硬盘(solid-statedisk)、或一闪存存储器(flashmemory)。在一实施例中,非易失性存储器123储存了一软件风险评估程序140,处理器121将软件风险评估程序140由非易失性存储器123读取至易失性存储器122中并执行。软件风险评估程序140主要供管理者进行软件授权管理、软件使用申请、软件稽核、以及软件风险调整等等。图2a显示依据本发明一实施例中的软件风险评估程序130的方块图。如图2a所示,软件风险评估程序130包括一软件安装扫描模块(softwareinstallationscanningmodule)131、一软件风险管理模块(softwareriskmanagementmodule)132、一软件风险判别模块(softwareriskdeterminationmodule)133、以及一软件风险报告模块(softwareriskreportingmodule)134。举例来说,软件安装扫描模块131用以执行电脑系统110的安装软件清单的收集。在电脑系统110上所安装的所有软件均会被软件安装扫描模块131扫描并记录于安装软件清单上。需注意的是,软件安装扫描模块131会扫描所有通过各软件的安装程序而安装于电脑系统110上的各种软件(例如可通过深层扫描),亦可扫描在电脑系统110中的不同磁盘驱动器或操作系统中的各种便携式程序(portableprogram)。此外,软件安装扫描模块131所收集的软件信息包括但不限于软件名称、安装日期、软件版本、软件公司、软件安装路径、使用者、机器名称等等。软件风险管理模块132用以记录软件风险管理档案,并可提供至软件风险判别模块133以进行软件风险判别。在一实施例中,软件风险管理模块132所记录的软件风险管理档案可事先汇入电脑系统110的非易失性存储器113中,或是可通过网络连线即时由伺服器120取得最新的软件风险管理档案。举例来说,软件风险管理档案包括:高风险软件、付费软件、破解软件、系统软件等等。软件风险管理档案的内容会依据软件安装扫描模块131的扫描结果及各项软件外部数据来源与分类,并通过软件风险调整模块141进行调整及更新。软件风险判别模块133依据软件风险管理档案将所收集的安装软件清单中的各软件进行风险评估。举例来说,软件风险判别模块133主要进行几种动作:(1)依据软件风险等级进行风险设定;(2)依据软件风险机率进行风险设定;(3)依据软件管理信息进行风险调整。通过上述几种动作,软件风险判别模块133则可判断在安装软件清单内的各软件的风险等级。软件风险报告模块134依据安装软件清单,将软件风险判别模块133所判断的各软件的风险结果制作一软件风险评估报告。管理者则可通过该软件风险评估报告以了解电脑系统110中所安装的各软件的情况以及各种风险等级的软件数量。软件风险评估报告还可搭配后端的软件资产管理系统以整合成为一稽核纪录。图2b显示依据本发明一实施例中的软件风险评估程序140的方块图。如图2b所示,软件风险评估程序140包括一软件风险调整模块(softwareriskadjustmentmodule)141、一软件资产管理模块(softwareassetmanagementmodule)142。软件风险调整模块141用以回馈调整软件风险管理档案。举例来说,软件风险调整模块141可参照外部数据与稽核纪录以调整软件风险管理档案中的各软件的风险等级及风险机率,并可更新软件风险管理档案,借以提高软件风险判别的精确率。软件资产管理模块142泛指企业建置的软件授权资产管理系统。本发明的软件风险评估机制可整合软件授权资产管理系统,参考公司已经具备的合法软件授权、员工申请使用纪录、稽核纪录,用于进行软件风险判别结果的调整,借以提高软件风险判别结果的合理性。举例来说,虽然电脑系统110安装了高风险软件,但由于企业已经具备此软件资产,电脑系统110并已合法进行申请安装使用,也接受管理的稽核为合法软件,则可依据此结果进行风险的降低,让机器的安装软件风险判别结果趋于合理。需注意的是在市面上有上百万种软件可安装于电脑系统110上,管理者并无法一一详细检视每台电脑系统中安装了何种软件以及利用人力来评估其风险等级。通过本发明中的软件风险管理机制,管理者可将不同软件类型或软件厂商进行大约分类,并给予合理的风险等级。接着,安装于各电脑系统110中的软件安装扫描模块即131即可扫描所安装的软件的一安装软件清单,且软件风险判别模块133可依据软件风险管理档案(可为离线处理或即时线上处理),来判断安装软件清单的各软件的风险等级,并由软件风险报告模块产生一软件风险评估报告至伺服器120。来自各电脑系统110的软件风险评估报告可储存于伺服器120的一数据库150中。上述模块的动作可定时执行或是在侦测到有新软件安装或是有软件的状态改变时再执行。表1绘示本发明一实施例中调整各软件的风险等级的示意图。表1如表1所示,软件a~j的初始风险等级均设定为3,例如风险等级可分为1至5,其中风险1表示风险非常低,风险5则表示风险非常高。软件风险判别模块133依据不同类型的软件以调整各软件的风险等级。举例来说,软件类型搭配软件资产管理系统可大致分类为付费软件、破解软件、系统软件、商业软件联盟(businesssoftwarealliance、bsa)成员、授权管理、使用申请、稽核通过等等,但本发明并不以此为限。举例来说,软件a是属于付费软件及bsa成员,且软件a的使用者有经过授权管理及提出使用申请,并且已稽核通过。软件b则属于破解软件。软件c、g、及j则属于付费软件。软件d、e、h系属于系统软件。软件f则属于付费软件及bsa成员。软件i则属于付费软件、bsa成员,且经过授权管理。更进一步而言,若软件属于付费软件,则表示需有购买相关的授权认证才属合法,会将该软件的风险等级提升1。若该软件还属于bsa成员,则对企业而言,其风险等级会提高,故会将该软件的风险等级提升1。此外,若软件属于破解软件,则表示该软件的风险非常高,故其风险等级会直接设定为最高风险等级5。若软件属于系统软件,例如操作系统或系统工具程序、防病毒程序等等,则表示该软件的风险非常低,故其风险等级会直接设定为最低风险等级1。另外,企业虽然会购买特定软件的授权,但可能其授权数量有限,并无法提供给每个使用者进行安装及使用。更进一步而言,使用者需向管理者提出该特定软件的使用申请,并稽核通过,才能降低该软件的风险等级。换言之,若企业有购买特定软件的授权,但该使用者未通过申请即自行安装并使用该特定软件,这表示该使用者的电脑系统110上所安装的该特定软件仍有一定程度的风险,故会维持原本的风险等级。对照表1的内容,各软件的风险等级调整仅会在相关的属性栏中进行。例如软件a是属于付费软件及bsa成员,且软件a的使用者有经过授权管理及提出使用申请,并且已稽核通过。故软件a的软件风险的计算为:付费软件的风险等级加1、bsa成员的风险等级加1、经过授权管理的风险等级减1、经过使用申请的风险等级减1、且经过稽核通过的风险等级再减1,最后可得到软件a的最后风险等级为2。又例如软件i为付费软件,其风险等级加1,且为bsa成员的风险等级又加1。然而,软件i是企业有经过授权管理的,但是使用者并未提出使用申请也未通过稽核,故软件i的最后风险等级会维持在高风险等级4。图3显示依据本发明一实施例中的软件风险评估方法的流程图。在步骤s310,扫描电脑系统以取得在安装于该电脑系统的一安装软件清单。在步骤s320,取得一软件风险管理档案。举例来说,软件风险管理模块132可事先由伺服器120取得该软件风险管理档案,且软件风险判别模块133则可进行离线处理。在一些实施例中,软件风险管理模块132可同步由伺服器120取得该软件风险管理档案,且软件风险判别模块133可进行线上处理。在步骤s330,依据该软件风险管理档案以设定在该安装软件清单中的各软件的一风险等级。举例来说,不同类型的软件会具有不同的软件风险等级。在步骤s340,依据一软件资产管理数据以调整该安装软件清单中的各软件的该风险等级。举例来说,表1的实施例充分说明不同类型及软件管理方面的软件的风险等级的调整。在步骤s350,依据该安装软件清单中的各软件在调整后的该风险等级以产生一软件风险评估报告。举例来说,管理者可依据各电脑系统的软件风险评估报告,针对具有高风险的软件进行相应的处置。若在后端有软件资产管理系统,则可结合软件资产管理系统将软件风险评估报告整合至软件稽核纪录。综上所述,本发明提供一种软件风险评估系统及方法,其可扫描一或多台电脑系统上所安装的软件并产生安装软件清单,并可针对安装软件清单中的各软件进行相应的风险评估,例如可产生一软件风险评估报告。管理者则可依据各电脑系统的软件风险评估报告,针对具有高风险的软件进行相应的处置。本发明虽以较佳实施例公开如上,然其并非用以限定本发明的范围,任何所属
技术领域:
:中具有通常知识者,在不脱离本发明的精神和范围内,当可做些许的更动与润饰,因此本发明的保护范围当视所附权利要求所界定者为准。当前第1页12当前第1页12