过去十年中,防范意识的日益加强(或者开玩笑地说,安全产品也起到了推动作用),使得IT部门对管制系统的权力越来越强大。美国联邦政府和州政府支持了网络接入控制(NAC)等项目,从而促使"系统最低权限"这样显而易见的安全功能得以进入Vista操作系统。不过,一些商业科技用户对于IT部门可以单方面决定这些用户能做些什么以及能否运行系统非常不满。
现在,没有人提出这个疑问–到底谁拥有PC。显然,为了保障公司的安全,企业不得不对基于电脑的网络和数据进行保护。但是,在目前的情况下要平衡安全和自由,甚至只是在电脑上这么做,都是不可能的吗?
这个话题击中了读者敏感的神经。短短几天内,就有1,185位读者接受了我们的在线调查。这一数据以及下文对业务和IT专业人士的采访,都提供了一些有趣的观点。主要的问题就是,受访者对于标准化的管制要求和对系统进行强制戒严的看法存在着一定的区别。
"人们之所以讨厌自己的IT部门,事出有因,"一家中等规模制造企业的业务经理表示,"让IT变得平易近人,对于所有相关人员来说都是一种双赢。如果用户能够体会到IT实际上是一种助手而非阻碍,他们就会感觉到在电脑上做些管制和防范措施的必要。"
我们的一个建议是:要清晰地告知用户部门,IT扮演的就是管家婆的角色。你不可能处于没有"警察"、没有企业管制的真空地带。
绿屏时代
对于IT专业人士来说,过去的日子相当单纯。那时,用户肯定也想在自己的绿屏终端安装太空大战(Space Wars)等游戏,但是主机集中化的特点阻止了所有的游戏软件。当然,这样的主机也限制了生产效率的提高。PC作为一种破坏性的力量应运而生。不过,由于检查每台机器的桌面太耗精力,所以尽管人人享受搭配自己的桌面,却会压垮了IT管理人员,并使IT部门的工作逐渐陷入停顿。因此技术人员由衷地欢迎桌面管理系统和组策略设置机制,在出现了桌面系统戒严工具后,他们更是为能从繁重的劳动中解脱出来长舒了一口气。
但用户在领略过不受限电脑的自由后显然不会甘心就范,而那些企图从数据中心的禁锢呵护里叛逃出来的人,正是早期的桌面管理软件用户。他们利用PC的松散管理环境是业务成功的关键因素作为法宝,开始了反抗。IT也做出了回应,他们宣称瘦客户机可以让用户登录到信任的系统,免于接触不明节点。但是瘦客户机不支持离线使用,而且不幸赶上了目前移动化的趋势。
慢慢地,斗争开始了。
沟通鸿沟
此次调查是关于IT成熟度水平的一次衡量,或者说是企业系统管理水平的一次衡量,在接受调查的用户中,80%的人提到,在他们的组织中PC控制有很多措施,差不多90%的受访者都站在这个阵营中–就是希望在一个标准的尺度内对PC 戒严,而不是采取极端的控制或完全放任的管理方式。
毫无疑问,与不断变化的工作环境相比,IT如果能有一个可复制的工作流程和强大的控制管理,可以对业务提供更好的服务。实际上,即便没有合规要求的业务,最好也是加以一定程度的控制。
吉姆
- 弗莱博格(Jim Freyburger)是美国东南部一所盈利性学校南方大学(South University),拥有几个不同的校区。
弗莱博格过去常常在《萨班斯-奥克斯利法案》(Sarbanes-Oxley)要求的环境下工作。但是自从学校改为私立性质以后,唯一变化的就是外部对上市公司的监控取消了,弗莱博格这样认为。"不过,最终要保护我们的学校安全,"那么就要继续按照遵从法案的最佳实践来做事,弗莱博格坚持认为。
工作站控制的好处就是在抵御病毒和其他安全威胁时,不需要再发放文件说明,这个因素时常在我们的调查中被引用。一位来自一家大型制造企业的分析师说,控制就是一种铁腕式的强制执行。
"我们的网络曾因蠕虫的入侵而严重受损,"他说,因此如果可能,已经有许多人倾向于选择集中发布式的软件补丁和升级。这就类似于让呆伯特(美国的职场漫画Dilbert的主人公)的恶魔经理继续存在下去而且在IT的帮助下更加为所欲为。在受访者当中,仅有三分之一的IT人员认为,业务部门应该就对自己的PC有多少控制权而与IT部门商榷。相反,这次调查发现,几乎三分之二的业务人员说,他们想要和IT部门进行沟通。这就很容易看出,沟通的原则不是说他们应该做什么。
现在到了该沟通的时候了。更重要的是,现在到了业务和IT应该谈谈各自的期望的时候了。
"IT需要了解业务实际,"一家军队承包商的资深经理表示,"像IT花一个礼拜的时间只是为了解决一个用户5分钟内就能完成的很小的问题,这样的事情不能够再继续下去了。"这的确是个事实,因为那些在家里网网络化毁灭战士游戏成长起来的一代也已经加入到工厂的员工队伍中来。尽管这些技术管家可能比他们懂的还要少一些,但他们仍然要忍受IT对电脑的控制。
听上去像是要求增加更多的服务人员,或者至少是坐下来谈谈什么样的IT资源才能满足用户对服务水平的期望。
实际上,这个理念与IT基础设施库(ITTL)中所描述的IT服务管理最佳实践框架十分吻合,ITIL包含了业务和IT之间关于服务级别协议探讨的一些指导性意见。80%的业务经理说,IT是其运营效率的一个关键组成部分。那么IT经理为什么不能借助资源和合作态度,与业务经理就实施恰当的桌面级控制进行讨论呢?
我们不能说基于预算情况进行的商业性控制,它其实等同于敲诈行为,而且注定走不远。然而,关于平衡的谈话是恰当之举。
定位你的戒严标准
如何让IT变成助手而非障碍的最佳方式就是开始定位你的戒严标准,以此来满足你的服务需求。没有用户和业务部门的合作,就没有安全的系统,培养合作的最佳方式就是沟通。
- 比如,在IT方面,有一个普遍的看法,就是即时通信客户端不可能用于商业用途。然而,SysMaster公司的销售员斯泰西麦克德莫特(Stacy McDermott)告诉我们,他所在公司的客服人员非常依赖IM来销售公司的基于IP的语音技术(VoIP)产品。通过培养用户的意识,让他们明白IT在这是提供帮助而非妨碍,这样就可以争取到业务部门对遵从IT要求的支持态度。就像一位受访者指出的,太多的限制形成了一种困境,因为用户感觉到,IT就是不想让业务人员好好地完成他们的工作。
与业务部门合作来确认你要防范的特殊风险。这是一个有趣的实践:来做一个调查,让IT部门和业务部门分别列出他们各自认为的前5大风险。我敢保证,你们将会感到一点惊讶。
五年前,IT部门还没有把盗窃知识产权作为一种重大的IT风险,而这样的情况在知识产权领域本来已经存在。如果PC被控制而且阻止了未经授权软件的安装,那对于IT来说是一项很值得称道的事情,因为对于软件审核来说,这个风险能够很清晰地识别。但是,如果知识产权损失对于业务部门来说是一件大事,而你却没有防范好USB方式的数据盗窃,那么你就等于把前门锁好了,却把后窗给打开了。
当然,麦克德莫特也指出完全封锁USB端口对于她的销售人员来说也是有弊端存在的,因为销售人员需要在展览会上在笔记本之间来回快速传递文件。这是一个需要平衡的行为,它使得政策变得更加重要。书面写下,公司的政策作为一种协议,规定作为业务和IT之间完全的隔绝是不能被接受的。
美国系统网络安全协会(SANS Institute)和其他一些组织提供了一些政策的样板,所以可以从这些文件的精要中摘得一些精华。简单归纳出下面一些要点:
- 软件和配置控制。用户要做多少修修补补的工作,结果还处在网络保护的沙盒模式里?
- 支持的反应时间。所以,用户不能安装他们自己的软件。那么你能够以多快的速度为他们测试和安装软件呢?
- 员工自有设备。个人PC允许在网络运行吗?IT该坚持何种程度的控制?IT将为他们提供何种程度的支持?我们预期这些话题对于不久以后的个人智能手机来说将变得更为重要。
- 物理威胁。处在何种环境下,PC可以离站工作?什么时候用户可以安装外部的硬盘驱动程序?用户可以在哪里使用便携电脑和智能手机?他们应该如何保护这些设备的安全?据顾能公司(Gartner)统计,截至到2010年,笔记本电脑将成为一半企业用户的主要计算设备,所以,这些问题将会越来越紧迫。
- 登录。让别人知道当你在他们的PC上登录时,会发生些什么情况,并且为什么,这不仅是一种礼貌,而且告知的方式也能保护你规避法律漏洞。
记住,并非所有的雇员都有同等的需求。就像此次调查中很多受访者说指出的,你可以想见,因为零售业员工对待POS终端的方式与一位工程师处理一个工作站的方式肯定有很大的不同。通常情况下,如果某人合法地接入到公司的网络,他或者有建筑物的钥匙或门禁卡,都已经被视为可信任的用户。但是,如果他要和业务经理一起工作,可能审核安全的标准还要视具体情况而定。.
提到工具,最理想的肯定是经济实用,并能够构建到你的运营系统中去的工具。尽管称不上是最全面的工具,但目前组策略和Windows Server Update Service等得到了比较有效的应用。
记住,有时候"工作站戒严"与戒严工作站本身无关。对于接受我们调查的一些业务部门来说,注意到一个终端用户安装了某个软件就足够了。它还没有到戒严软件这个程度,而要做的是审核和注册工作。
Altiris等一体化套件很具有成本效益,不过不用指望它们会有很好的整合。在桌面管理套件中,有很多是通过购并将各种成功的产品整合到一起的。
桌面虚拟化正在朝这个方面努力,并变得慢慢成熟,它有潜力变成一种安全工具,既能在保证企业应用安全的同时,还允许一些分散灵活化的使用。比如,Kidaro公司提供一种加密的虚拟机,它可离线工作,但是又不同于瘦客户端,允许安全凭证(以防主机PC可以键盘登录),而且还可以把系统配置文件与用户数据隔离开来。即便出现了恶意软件攻击情况,它也能使虚拟机恢复到Known-good状态。
最后,不要忘记一些比较好的整体系统保护方法,比如Web过滤方式,能够将恶意软件放到隔离区,数据挤压工具能够让企业的数据保持安全;以及一些端口安全工具,如病毒防护和基于主机的入侵防护以及网络接入控制等都能使受感染的PC与网络隔离,从而可以在较高的层次上保护你的组织的安全,并允许你在桌面享受更多的安全性。
