"我們的網(wǎng)絡(luò)曾因蠕蟲(chóng)的入侵而嚴(yán)重受損，"他說(shuō)，因此如果可能，已經(jīng)有許多人傾向于選擇集中發(fā)布式的軟件補(bǔ)丁和升級(jí)。這就類(lèi)似于讓呆伯特（美國(guó)的職場(chǎng)漫畫(huà)Dilbert的主人公）的惡魔經(jīng)理繼續(xù)存在下去而且在IT的幫助下更加為所欲為。在受訪(fǎng)者當(dāng)中，僅有三分之一的IT人員認(rèn)為，業(yè)務(wù)部門(mén)應(yīng)該就對(duì)自己的PC有多少控制權(quán)而與IT部門(mén)商榷。相反，這次調(diào)查發(fā)現(xiàn)，幾乎三分之二的業(yè)務(wù)人員說(shuō)，他們想要和IT部門(mén)進(jìn)行溝通。這就很容易看出，溝通的原則不是說(shuō)他們應(yīng)該做什么。

現(xiàn)在到了該溝通的時(shí)候了。更重要的是，現(xiàn)在到了業(yè)務(wù)和IT應(yīng)該談?wù)劯髯缘钠谕臅r(shí)候了。

"IT需要了解業(yè)務(wù)實(shí)際，"一家軍隊(duì)承包商的資深經(jīng)理表示，"像IT花一個(gè)禮拜的時(shí)間只是為了解決一個(gè)用戶(hù)5分鐘內(nèi)就能完成的很小的問(wèn)題，這樣的事情不能夠再繼續(xù)下去了。"這的確是個(gè)事實(shí)，因?yàn)槟切┰诩依锞W(wǎng)網(wǎng)絡(luò)化毀滅戰(zhàn)士游戲成長(zhǎng)起來(lái)的一代也已經(jīng)加入到工廠(chǎng)的員工隊(duì)伍中來(lái)。盡管這些技術(shù)管家可能比他們懂的還要少一些，但他們?nèi)匀灰淌躀T對(duì)電腦的控制。

聽(tīng)上去像是要求增加更多的服務(wù)人員，或者至少是坐下來(lái)談?wù)勈裁礃拥腎T資源才能滿(mǎn)足用戶(hù)對(duì)服務(wù)水平的期望。

實(shí)際上，這個(gè)理念與IT基礎(chǔ)設(shè)施庫(kù)（ITTL）中所描述的IT服務(wù)管理最佳實(shí)踐框架十分吻合，ITIL包含了業(yè)務(wù)和IT之間關(guān)于服務(wù)級(jí)別協(xié)議探討的一些指導(dǎo)性意見(jiàn)。80%的業(yè)務(wù)經(jīng)理說(shuō)，IT是其運(yùn)營(yíng)效率的一個(gè)關(guān)鍵組成部分。那么IT經(jīng)理為什么不能借助資源和合作態(tài)度，與業(yè)務(wù)經(jīng)理就實(shí)施恰當(dāng)?shù)淖烂婕?jí)控制進(jìn)行討論呢？

我們不能說(shuō)基于預(yù)算情況進(jìn)行的商業(yè)性控制，它其實(shí)等同于敲詐行為，而且注定走不遠(yuǎn)。然而，關(guān)于平衡的談話(huà)是恰當(dāng)之舉。
定位你的戒嚴(yán)標(biāo)準(zhǔn)

如何讓IT變成助手而非障礙的最佳方式就是開(kāi)始定位你的戒嚴(yán)標(biāo)準(zhǔn)，以此來(lái)滿(mǎn)足你的服務(wù)需求。沒(méi)有用戶(hù)和業(yè)務(wù)部門(mén)的合作，就沒(méi)有安全的系統(tǒng)，培養(yǎng)合作的最佳方式就是溝通。

• 比如，在IT方面，有一個(gè)普遍的看法，就是即時(shí)通信客戶(hù)端不可能用于商業(yè)用途。然而，SysMaster公司的銷(xiāo)售員斯泰西麥克德莫特（Stacy McDermott）告訴我們，他所在公司的客服人員非常依賴(lài)IM來(lái)銷(xiāo)售公司的基于IP的語(yǔ)音技術(shù)（VoIP）產(chǎn)品。通過(guò)培養(yǎng)用戶(hù)的意識(shí)，讓他們明白IT在這是提供幫助而非妨礙，這樣就可以爭(zhēng)取到業(yè)務(wù)部門(mén)對(duì)遵從IT要求的支持態(tài)度。就像一位受訪(fǎng)者指出的，太多的限制形成了一種困境，因?yàn)橛脩?hù)感覺(jué)到，IT就是不想讓業(yè)務(wù)人員好好地完成他們的工作。

與業(yè)務(wù)部門(mén)合作來(lái)確認(rèn)你要防范的特殊風(fēng)險(xiǎn)。這是一個(gè)有趣的實(shí)踐：來(lái)做一個(gè)調(diào)查，讓IT部門(mén)和業(yè)務(wù)部門(mén)分別列出他們各自認(rèn)為的前5大風(fēng)險(xiǎn)。我敢保證，你們將會(huì)感到一點(diǎn)驚訝。

五年前，IT部門(mén)還沒(méi)有把盜竊知識(shí)產(chǎn)權(quán)作為一種重大的IT風(fēng)險(xiǎn)，而這樣的情況在知識(shí)產(chǎn)權(quán)領(lǐng)域本來(lái)已經(jīng)存在。如果PC被控制而且阻止了未經(jīng)授權(quán)軟件的安裝，那對(duì)于IT來(lái)說(shuō)是一項(xiàng)很值得稱(chēng)道的事情，因?yàn)閷?duì)于軟件審核來(lái)說(shuō)，這個(gè)風(fēng)險(xiǎn)能夠很清晰地識(shí)別。但是，如果知識(shí)產(chǎn)權(quán)損失對(duì)于業(yè)務(wù)部門(mén)來(lái)說(shuō)是一件大事，而你卻沒(méi)有防范好USB方式的數(shù)據(jù)盜竊，那么你就等于把前門(mén)鎖好了，卻把后窗給打開(kāi)了。

當(dāng)然，麥克德莫特也指出完全封鎖USB端口對(duì)于她的銷(xiāo)售人員來(lái)說(shuō)也是有弊端存在的，因?yàn)殇N(xiāo)售人員需要在展覽會(huì)上在筆記本之間來(lái)回快速傳遞文件。這是一個(gè)需要平衡的行為，它使得政策變得更加重要。書(shū)面寫(xiě)下，公司的政策作為一種協(xié)議，規(guī)定作為業(yè)務(wù)和IT之間完全的隔絕是不能被接受的。

美國(guó)系統(tǒng)網(wǎng)絡(luò)安全協(xié)會(huì)(SANS Institute)和其他一些組織提供了一些政策的樣板，所以可以從這些文件的精要中摘得一些精華。簡(jiǎn)單歸納出下面一些要點(diǎn)：

• 軟件和配置控制。用戶(hù)要做多少修修補(bǔ)補(bǔ)的工作，結(jié)果還處在網(wǎng)絡(luò)保護(hù)的沙盒模式里？
• 支持的反應(yīng)時(shí)間。所以，用戶(hù)不能安裝他們自己的軟件。那么你能夠以多快的速度為他們測(cè)試和安裝軟件呢？
• 員工自有設(shè)備。個(gè)人PC允許在網(wǎng)絡(luò)運(yùn)行嗎？IT該堅(jiān)持何種程度的控制？IT將為他們提供何種程度的支持？我們預(yù)期這些話(huà)題對(duì)于不久以后的個(gè)人智能手機(jī)來(lái)說(shuō)將變得更為重要。
• 物理威脅。處在何種環(huán)境下，PC可以離站工作？什么時(shí)候用戶(hù)可以安裝外部的硬盤(pán)驅(qū)動(dòng)程序？用戶(hù)可以在哪里使用便攜電腦和智能手機(jī)？他們應(yīng)該如何保護(hù)這些設(shè)備的安全？據(jù)顧能公司（Gartner）統(tǒng)計(jì)，截至到2010年，筆記本電腦將成為一半企業(yè)用戶(hù)的主要計(jì)算設(shè)備，所以，這些問(wèn)題將會(huì)越來(lái)越緊迫。
• 登錄。讓別人知道當(dāng)你在他們的PC上登錄時(shí)，會(huì)發(fā)生些什么情況，并且為什么，這不僅是一種禮貌，而且告知的方式也能保護(hù)你規(guī)避法律漏洞。

記住，并非所有的雇員都有同等的需求。就像此次調(diào)查中很多受訪(fǎng)者說(shuō)指出的，你可以想見(jiàn)，因?yàn)榱闶蹣I(yè)員工對(duì)待POS終端的方式與一位工程師處理一個(gè)工作站的方式肯定有很大的不同。通常情況下，如果某人合法地接入到公司的網(wǎng)絡(luò)，他或者有建筑物的鑰匙或門(mén)禁卡，都已經(jīng)被視為可信任的用戶(hù)。但是，如果他要和業(yè)務(wù)經(jīng)理一起工作，可能審核安全的標(biāo)準(zhǔn)還要視具體情況而定。.

提到工具，最理想的肯定是經(jīng)濟(jì)實(shí)用，并能夠構(gòu)建到你的運(yùn)營(yíng)系統(tǒng)中去的工具。盡管稱(chēng)不上是最全面的工具，但目前組策略和Windows Server Update Service等得到了比較有效的應(yīng)用。

記住，有時(shí)候"工作站戒嚴(yán)"與戒嚴(yán)工作站本身無(wú)關(guān)。對(duì)于接受我們調(diào)查的一些業(yè)務(wù)部門(mén)來(lái)說(shuō)，注意到一個(gè)終端用戶(hù)安裝了某個(gè)軟件就足夠了。它還沒(méi)有到戒嚴(yán)軟件這個(gè)程度，而要做的是審核和注冊(cè)工作。

Altiris等一體化套件很具有成本效益，不過(guò)不用指望它們會(huì)有很好的整合。在桌面管理套件中，有很多是通過(guò)購(gòu)并將各種成功的產(chǎn)品整合到一起的。

桌面虛擬化正在朝這個(gè)方面努力，并變得慢慢成熟，它有潛力變成一種安全工具，既能在保證企業(yè)應(yīng)用安全的同時(shí)，還允許一些分散靈活化的使用。比如，Kidaro公司提供一種加密的虛擬機(jī)，它可離線(xiàn)工作，但是又不同于瘦客戶(hù)端，允許安全憑證（以防主機(jī)PC可以鍵盤(pán)登錄），而且還可以把系統(tǒng)配置文件與用戶(hù)數(shù)據(jù)隔離開(kāi)來(lái)。即便出現(xiàn)了惡意軟件攻擊情況，它也能使虛擬機(jī)恢復(fù)到Known-good狀態(tài)。

最后，不要忘記一些比較好的整體系統(tǒng)保護(hù)方法，比如Web過(guò)濾方式，能夠?qū)阂廛浖诺礁綦x區(qū)，數(shù)據(jù)擠壓工具能夠讓企業(yè)的數(shù)據(jù)保持安全；以及一些端口安全工具，如病毒防護(hù)和基于主機(jī)的入侵防護(hù)以及網(wǎng)絡(luò)接入控制等都能使受感染的PC與網(wǎng)絡(luò)隔離，從而可以在較高的層次上保護(hù)你的組織的安全，并允許你在桌面享受更多的安全性。

多易