定位你的戒严标准如何让IT变成助手而非障碍的最佳方式,就是开始定位你的戒严标准,以此来满足你的服务需求。没有IT和业务部门的合作,就没有安全的系统,培养合作的最佳方式就是沟通。
比如,在IT方面,有一个普遍的看法,就是
即时通讯(IM)客户端不可能用于商业用途。然而,SysMaster公司的销售员斯泰西·麦克德莫特(Stacy McDermott)告诉我们,他所在公司的客服人员非常依赖通过IM来销售公司的基于IP的语音技术(VoIP)产品。通过培养用户的意识,让他们明白IT是在提供帮助而非妨碍,这样就可以争取到业务部门对遵从IT要求的支持态度。就像一位受访者指出的,太多的限制形成了一种困境,因为用户感觉到,IT就是不想让业务人员好好地完成他们的工作。
通过与业务部门的合作来确认IT要防范的特殊风险。这是一个有趣的实践:来做一个调查,让IT部门和业务部门分别列出他们各自认为的前五大风险。我敢保证,你们将会感到一点惊讶。5年前,IT部门还没有把盗窃知识产权作为一种重大的IT风险,而这种风险在知识产权领域存在已久。如果PC被控制而且阻止了未经授权软件的安装,那对于IT来说是一项很值得称道的事情,因为对于软件审核来说,这个风险能够很清晰地识别。但是,如果知识产权损失对于业务部门来说是一件大事,而你却没有防范好USB方式的数据盗窃,那么你就等于把前门锁好了,却把后窗给打开了。
当然,麦克德莫特也指出完全封锁USB端口对于她的销售人员来说也是有弊端存在的,因为销售人员需要在展览会上在笔记本之间来回快速传递文件。这是一个需要平衡的行为,它使得政策变得更加重要,IT部门应该书面写下来,规定作为业务和IT之间完全的隔绝是不能被接受的。
美国系统
网络安全协会(SANS Institute)和其他一些组织提供了一些政策的样板,所以可以从这些文件的精要中摘得一些精华。简单归纳出下面一些要点:
软件和配置控制。用户要做多少修修补补的工作,还是处在网络保护的沙盒模式里?
支持的反应时间。用户不能安装他们自己的软件。那么你能够以多快的速度为他们测试和安装软件呢?
员工自有设备。个人PC允许在网络运行吗?IT该坚持何种程度的控制?IT将为他们提供何种程度的支持?我们预期这些话题对于不久以后的个人智能手机将变得更为重要。
物理威胁。处在何种环境下,PC可以离站工作?什么时候用户可以安装外部的硬盘驱动程序?用户可以在哪里使用便携电脑和智能手机?他们应该如何保护这些设备的安全?据顾能公司(Gartner)统计,截至到2010年,笔记本电脑将成为一半企业用户的主要计算设备,所以,这些问题将会越来越紧迫。
登录。让别人知道当你在他们的PC上登录时,会发生些什么情况,并且为什么,这不仅是一种礼貌,而且告知的方式也能保护你规避法律漏洞。
记住,并非所有的雇员都有同等的需求。就像此次调查中很多受访者所指出的,你可以想见,零售业员工对待POS终端的方式与一位工程师处理一个工作站的方式肯定有很大的不同。通常情况下,如果某人合法地接入到公司的网络,他或者有建筑物的钥匙或门禁卡,都已经被视为可信任的用户。但是,如果他要和业务经理一起工作,可能审核安全的标准还要视具体情况而定。.
应用工具
提到工具,最理想的肯定是经济实用,并能够构建到你的运营系统中去的工具。尽管称不上是最全面的工具,但目前组策略和Windows Server Update Service等得到了比较有效的应用。
记住,有时候“工作站戒严”与戒严工作站本身无关。对于接受我们调查的一些业务部门来说,注意到一个终端用户安装了某个软件就足够了。它还没有到需要戒严这个软件的程度,要做的只是审核和注册工作。
Altiris等一体化套件很具有成本效益,不过不用指望它们会有很好的整合。在桌面管理套件中,有很多是通过购并将各种成功的产品整合到一起的。
桌面虚拟化正在朝这个方面努力,并变得慢慢成熟,它有潜力变成一种安全工具,既能在保证企业应用安全的同时,还允许一些分散灵活化的使用。比如,Kidaro公司提供一种加密的虚拟机,它可离线工作,但是又不同于瘦客户端,允许安全凭证(以防主机PC可以键盘登录),而且还可以把系统配置文件与用户数据隔离开来。即便出现了恶意软件攻击情况,它也能使虚拟机恢复到“Known-good”状态。
最后,不要忘记一些比较好的整体系统保护方法,比如网络过滤方式,能够将恶意软件放到隔离区,数据挤压工具能够让企业的数据保持安全;以及一些端口安全工具,如病毒防护和基于主机的入侵防护以及网络接入控制等都能使受感染的PC与网络隔离,从而可以在较高的层次上保护企业信息的安全,并允许在桌面享受更多的安全性。
【责任编辑:
董晶晶 TEL:(010)68479336-8024】
|
服 务 CIO 推 进 信 息 化 
