規(guī)模較大企業(yè)的IT部門(mén)常常分工較細(xì)，IT人員各守一攤，于是IT安全團(tuán)隊(duì)和IT運(yùn)維團(tuán)隊(duì)各司其職的同時(shí)也難免各自為政。需要注意的是，不是每位IT員工都具有安全意識(shí)，有些甚至無(wú)形中為IT安全拆臺(tái)，如果連IT人都不重視安全，指望技術(shù)門(mén)外漢的普通員工來(lái)維護(hù)安全簡(jiǎn)直是無(wú)稽之談。

正所謂“態(tài)度決定高度”，這句名言其實(shí)對(duì)于各類(lèi)機(jī)構(gòu)及企業(yè)實(shí)施并維護(hù)IT安全也能起到很好的指導(dǎo)作用。——無(wú)論大家對(duì)這句話是否認(rèn)同，每位IT工作者的態(tài)度都會(huì)切實(shí)影響到所在機(jī)構(gòu)、企業(yè)或者高校的IT安全保障。安全處理態(tài)度的影響力絕不僅僅局限于IT部門(mén)，更會(huì)決定機(jī)構(gòu)中普通成員對(duì)安全事務(wù)的重視程度。

對(duì)普通IT工作人員來(lái)說(shuō)，安全事務(wù)依然會(huì)被視為一個(gè)麻煩事兒——他們不僅認(rèn)為這類(lèi)工作“事不關(guān)己”，還將由此帶來(lái)的限制當(dāng)成是對(duì)自身業(yè)務(wù)的嚴(yán)重阻礙。環(huán)顧任何IT部門(mén)，我們會(huì)發(fā)現(xiàn)“孤島”狀況依舊存在。

只要企業(yè)規(guī)模足夠龐大，個(gè)人及由個(gè)人構(gòu)成的群體都會(huì)自然而然地被專業(yè)知識(shí)劃分開(kāi)來(lái)。其中包括網(wǎng)絡(luò)組、數(shù)據(jù)庫(kù)組、規(guī)劃組、中間層組、VoIP組、系統(tǒng)分析師、系統(tǒng)管理員以及計(jì)算機(jī)支持組等等;而在各個(gè)分組之外，傲慢的安全人員又會(huì)形成屬于自己的獨(dú)立領(lǐng)域。

IT人員認(rèn)為對(duì)用戶接入敞開(kāi)方便之門(mén)，幫助他們?cè)L問(wèn)更多數(shù)據(jù)、簡(jiǎn)化信息檢索流程并提高員工的日常工作效率是IT部門(mén)的職責(zé);但I(xiàn)T安全團(tuán)隊(duì)的成員則習(xí)慣懷疑一切并對(duì)所有活動(dòng)加以鎖定。更有甚者，某些IT安全從業(yè)者會(huì)對(duì)其他疏于考慮產(chǎn)品或服務(wù)保護(hù)的IT人士頤指氣使、橫加指責(zé)，進(jìn)而加劇雙方的工作矛盾。

用戶常常會(huì)打來(lái)電話匯報(bào)“昨天我們還能做‘X’，但今天突然就不行了”，對(duì)這類(lèi)意見(jiàn)IT團(tuán)隊(duì)往往會(huì)在電話中或即時(shí)通訊平臺(tái)上直接抱怨稱“那是因?yàn)榘踩〗M鎖定了‘Y’，因此導(dǎo)致‘X’無(wú)法繼續(xù)生效。終端用戶當(dāng)然不理解新政策到底是好是壞，他們只能從IT團(tuán)隊(duì)的反饋中得知是其他人從中作梗才破壞了“X”的正常使用，進(jìn)而阻礙了自己熟悉的工作流程。從這個(gè)角度看，安全保護(hù)工作成了一件壞事，而且這種觀點(diǎn)會(huì)由IT團(tuán)隊(duì)傳播至終端用戶當(dāng)中。

安全不應(yīng)該以這種孤立的方式推行。所有IT人員與普通員工都需要理解安全工作的重要性、進(jìn)而弄清楚自己在日常業(yè)務(wù)中的決定會(huì)給整個(gè)企業(yè)的安全體系帶來(lái)何種影響。無(wú)論是執(zhí)行技術(shù)實(shí)施方案還是與用戶交流新的安全實(shí)踐措施，IT部門(mén)做出的決策都會(huì)給企業(yè)帶來(lái)深遠(yuǎn)影響。安全問(wèn)題不容忽視，每個(gè)人都應(yīng)嚴(yán)肅對(duì)待。態(tài)度積極、執(zhí)行主動(dòng)才是切實(shí)保障安全性的兩大主要方式。

大多數(shù)IT工作者對(duì)于IT安全人員及其管理政策都不至于抱有敵意。IT團(tuán)隊(duì)中的某些成員缺乏IT安全知識(shí)，他們?cè)谶M(jìn)行日常決策時(shí)往往沒(méi)有從安全角度出發(fā)進(jìn)行全面考慮。這種將安全考量視為阻礙或者不加重視的習(xí)慣通常與IT人士受到的教育緊密相關(guān)。

大家不妨回想自己在大學(xué)中的學(xué)習(xí)經(jīng)歷，這里我們以編程課程為例。各位還記得學(xué)校什么時(shí)候才開(kāi)始教自己進(jìn)行輸入驗(yàn)證或者錯(cuò)誤檢查嗎?通常我們會(huì)先學(xué)習(xí)如何利用鍵盤(pán)輸入內(nèi)容并將其在屏幕上顯示出來(lái)，然后才在學(xué)期后半段接觸有關(guān)內(nèi)容修改的知識(shí)。我們往往把大部分時(shí)間用在幫助學(xué)生理解基礎(chǔ)運(yùn)作方式上，卻忘了為其規(guī)劃整體思路、強(qiáng)調(diào)輸入驗(yàn)證與緩沖區(qū)溢出檢查的重要性。很多人都認(rèn)為“學(xué)生會(huì)在處理高級(jí)設(shè)計(jì)項(xiàng)目時(shí)自己掌握這類(lèi)知識(shí)”，但事實(shí)上編程入門(mén)課程往往根本沒(méi)有真正把IT安全教育融入其中。我們?cè)谶^(guò)去的一系列討論中確定了安全事務(wù)的跨學(xué)科屬性，而IT人士對(duì)于安全問(wèn)題的處理態(tài)度就把握在我們這些教育工作者手中。

回到原點(diǎn)!我們需要對(duì)IT人員進(jìn)行培訓(xùn)、確保他們掌握安全基礎(chǔ)知識(shí)。態(tài)度不僅影響個(gè)人工作效果、也會(huì)決定整個(gè)機(jī)構(gòu)的安全水平，而這一切都將在日常事務(wù)中得到體現(xiàn)。