"我們的網(wǎng)絡(luò)曾因蠕蟲的入侵而嚴(yán)重受損，"他說，因此如果可能，已經(jīng)有許多人傾向于選擇集中發(fā)布式的軟件補丁和升級。這就類似于讓呆伯特（美國的職場漫畫Dilbert的主人公）的惡魔經(jīng)理繼續(xù)存在下去而且在IT的幫助下更加為所欲為。在受訪者當(dāng)中，僅有三分之一的IT人員認(rèn)為，業(yè)務(wù)部門應(yīng)該就對自己的PC有多少控制權(quán)而與IT部門商榷。相反，這次調(diào)查發(fā)現(xiàn)，幾乎三分之二的業(yè)務(wù)人員說，他們想要和IT部門進(jìn)行溝通。這就很容易看出，溝通的原則不是說他們應(yīng)該做什么。

現(xiàn)在到了該溝通的時候了。更重要的是，現(xiàn)在到了業(yè)務(wù)和IT應(yīng)該談?wù)劯髯缘钠谕臅r候了。

"IT需要了解業(yè)務(wù)實際，"一家軍隊承包商的資深經(jīng)理表示，"像IT花一個禮拜的時間只是為了解決一個用戶5分鐘內(nèi)就能完成的很小的問題，這樣的事情不能夠再繼續(xù)下去了。"這的確是個事實，因為那些在家里網(wǎng)網(wǎng)絡(luò)化毀滅戰(zhàn)士游戲成長起來的一代也已經(jīng)加入到工廠的員工隊伍中來。盡管這些技術(shù)管家可能比他們懂的還要少一些，但他們?nèi)匀灰淌躀T對電腦的控制。

聽上去像是要求增加更多的服務(wù)人員，或者至少是坐下來談?wù)勈裁礃拥腎T資源才能滿足用戶對服務(wù)水平的期望。

實際上，這個理念與IT基礎(chǔ)設(shè)施庫（ITTL）中所描述的IT服務(wù)管理最佳實踐框架十分吻合，ITIL包含了業(yè)務(wù)和IT之間關(guān)于服務(wù)級別協(xié)議探討的一些指導(dǎo)性意見。80%的業(yè)務(wù)經(jīng)理說，IT是其運營效率的一個關(guān)鍵組成部分。那么IT經(jīng)理為什么不能借助資源和合作態(tài)度，與業(yè)務(wù)經(jīng)理就實施恰當(dāng)?shù)淖烂婕壙刂七M(jìn)行討論呢？

我們不能說基于預(yù)算情況進(jìn)行的商業(yè)性控制，它其實等同于敲詐行為，而且注定走不遠(yuǎn)。然而，關(guān)于平衡的談話是恰當(dāng)之舉。
定位你的戒嚴(yán)標(biāo)準(zhǔn)

如何讓IT變成助手而非障礙的最佳方式就是開始定位你的戒嚴(yán)標(biāo)準(zhǔn)，以此來滿足你的服務(wù)需求。沒有用戶和業(yè)務(wù)部門的合作，就沒有安全的系統(tǒng)，培養(yǎng)合作的最佳方式就是溝通。

• 比如，在IT方面，有一個普遍的看法，就是即時通信客戶端不可能用于商業(yè)用途。然而，SysMaster公司的銷售員斯泰西麥克德莫特（Stacy McDermott）告訴我們，他所在公司的客服人員非常依賴IM來銷售公司的基于IP的語音技術(shù)（VoIP）產(chǎn)品。通過培養(yǎng)用戶的意識，讓他們明白IT在這是提供幫助而非妨礙，這樣就可以爭取到業(yè)務(wù)部門對遵從IT要求的支持態(tài)度。就像一位受訪者指出的，太多的限制形成了一種困境，因為用戶感覺到，IT就是不想讓業(yè)務(wù)人員好好地完成他們的工作。

與業(yè)務(wù)部門合作來確認(rèn)你要防范的特殊風(fēng)險。這是一個有趣的實踐：來做一個調(diào)查，讓IT部門和業(yè)務(wù)部門分別列出他們各自認(rèn)為的前5大風(fēng)險。我敢保證，你們將會感到一點驚訝。

五年前，IT部門還沒有把盜竊知識產(chǎn)權(quán)作為一種重大的IT風(fēng)險，而這樣的情況在知識產(chǎn)權(quán)領(lǐng)域本來已經(jīng)存在。如果PC被控制而且阻止了未經(jīng)授權(quán)軟件的安裝，那對于IT來說是一項很值得稱道的事情，因為對于軟件審核來說，這個風(fēng)險能夠很清晰地識別。但是，如果知識產(chǎn)權(quán)損失對于業(yè)務(wù)部門來說是一件大事，而你卻沒有防范好USB方式的數(shù)據(jù)盜竊，那么你就等于把前門鎖好了，卻把后窗給打開了。

當(dāng)然，麥克德莫特也指出完全封鎖USB端口對于她的銷售人員來說也是有弊端存在的，因為銷售人員需要在展覽會上在筆記本之間來回快速傳遞文件。這是一個需要平衡的行為，它使得政策變得更加重要。書面寫下，公司的政策作為一種協(xié)議，規(guī)定作為業(yè)務(wù)和IT之間完全的隔絕是不能被接受的。

美國系統(tǒng)網(wǎng)絡(luò)安全協(xié)會(SANS Institute)和其他一些組織提供了一些政策的樣板，所以可以從這些文件的精要中摘得一些精華。簡單歸納出下面一些要點：

• 軟件和配置控制。用戶要做多少修修補補的工作，結(jié)果還處在網(wǎng)絡(luò)保護(hù)的沙盒模式里？
• 支持的反應(yīng)時間。所以，用戶不能安裝他們自己的軟件。那么你能夠以多快的速度為他們測試和安裝軟件呢？
• 員工自有設(shè)備。個人PC允許在網(wǎng)絡(luò)運行嗎？IT該堅持何種程度的控制？IT將為他們提供何種程度的支持？我們預(yù)期這些話題對于不久以后的個人智能手機(jī)來說將變得更為重要。
• 物理威脅。處在何種環(huán)境下，PC可以離站工作？什么時候用戶可以安裝外部的硬盤驅(qū)動程序？用戶可以在哪里使用便攜電腦和智能手機(jī)？他們應(yīng)該如何保護(hù)這些設(shè)備的安全？據(jù)顧能公司（Gartner）統(tǒng)計，截至到2010年，筆記本電腦將成為一半企業(yè)用戶的主要計算設(shè)備，所以，這些問題將會越來越緊迫。
• 登錄。讓別人知道當(dāng)你在他們的PC上登錄時，會發(fā)生些什么情況，并且為什么，這不僅是一種禮貌，而且告知的方式也能保護(hù)你規(guī)避法律漏洞。

記住，并非所有的雇員都有同等的需求。就像此次調(diào)查中很多受訪者說指出的，你可以想見，因為零售業(yè)員工對待POS終端的方式與一位工程師處理一個工作站的方式肯定有很大的不同。通常情況下，如果某人合法地接入到公司的網(wǎng)絡(luò)，他或者有建筑物的鑰匙或門禁卡，都已經(jīng)被視為可信任的用戶。但是，如果他要和業(yè)務(wù)經(jīng)理一起工作，可能審核安全的標(biāo)準(zhǔn)還要視具體情況而定。.

提到工具，最理想的肯定是經(jīng)濟(jì)實用，并能夠構(gòu)建到你的運營系統(tǒng)中去的工具。盡管稱不上是最全面的工具，但目前組策略和Windows Server Update Service等得到了比較有效的應(yīng)用。

記住，有時候"工作站戒嚴(yán)"與戒嚴(yán)工作站本身無關(guān)。對于接受我們調(diào)查的一些業(yè)務(wù)部門來說，注意到一個終端用戶安裝了某個軟件就足夠了。它還沒有到戒嚴(yán)軟件這個程度，而要做的是審核和注冊工作。

Altiris等一體化套件很具有成本效益，不過不用指望它們會有很好的整合。在桌面管理套件中，有很多是通過購并將各種成功的產(chǎn)品整合到一起的。

桌面虛擬化正在朝這個方面努力，并變得慢慢成熟，它有潛力變成一種安全工具，既能在保證企業(yè)應(yīng)用安全的同時，還允許一些分散靈活化的使用。比如，Kidaro公司提供一種加密的虛擬機(jī)，它可離線工作，但是又不同于瘦客戶端，允許安全憑證（以防主機(jī)PC可以鍵盤登錄），而且還可以把系統(tǒng)配置文件與用戶數(shù)據(jù)隔離開來。即便出現(xiàn)了惡意軟件攻擊情況，它也能使虛擬機(jī)恢復(fù)到Known-good狀態(tài)。

最后，不要忘記一些比較好的整體系統(tǒng)保護(hù)方法，比如Web過濾方式，能夠?qū)阂廛浖诺礁綦x區(qū)，數(shù)據(jù)擠壓工具能夠讓企業(yè)的數(shù)據(jù)保持安全；以及一些端口安全工具，如病毒防護(hù)和基于主機(jī)的入侵防護(hù)以及網(wǎng)絡(luò)接入控制等都能使受感染的PC與網(wǎng)絡(luò)隔離，從而可以在較高的層次上保護(hù)你的組織的安全，并允許你在桌面享受更多的安全性。

多易