(2) 資安基礎管理另一章：PC資源管理莫輕忽

接續我在上期提出了建立「身份認證管理平台」的新主張，鼓勵企業在不更動原有應用程式的身分授權前提下，將既有認證方式集中整合到新的管理平台，以便從容管理繁複又龐雜的使用者身分授權或存取。然而在管理使用者身份的同時，還有另一個層面的管理也不容忽視，那就是使用者端的PC電腦的資源管理。

企業組織內的每部電腦──從桌上電腦、筆記型電腦到手持式裝置──就像是員工一樣，都有它的生命周期要管理；舉凡軟體安裝派送、遠端管理(作業系統或防毒軟體更新)、修正程式更新、軟體授權合法性，甚至手持式裝置管理等，都在生命周期管理之列，我們稱為資源管理(resource management)。

簡單來說，如同使用者身份管理起自報到日，終止於離職日；組織內每部電腦的管理則起自軟、硬體資源的安裝日，終止於使用除役日。

企業IT部門長期以來對管理使用者端電腦的工作都有沉重的負擔，傳統人工管理方式既費時又繁雜，不但消耗許多IT寶貴的人力，也往往無法達成完整且精確的管理成果。

舉例來說，某家半導體公司還在以人工方式處理前述電腦資源管理作業時，大約要編制十多人來管理二千多台PC；另一個例子則是某家銀行曾統計過，接聽一通使用者的初次求助電話，平均要花費IT人員13分鐘的處理時間。我們可以想見，單是管理這些PC電腦的疑難雜症就耗費企業組織可觀的人力和時間成本。

於是，使用自動化資源管理軟體就成為一道必行的方案。要落實有效的PC資源管理也如同身份管理政策一般，必須精確地針對所有使用者的職務與工作功能做好整體權限分級的規劃，才能真正管到「人」也管好「機器」。

我在此提出的另一個新主張就是：PC資源管理應當結合身份管理，以使用者為本來管理PC的所有相關資源；也就是說，PC資源必須與人如影隨行才能落實精確管理，而不致於發生下列這種半調子的結果︰例如產品設計圖發生外洩事件時，IT管理者只能偵察到那台電腦是可能的洩密出口，但因為沒有結合身份管理機制，因此不能確保是誰使用那台電腦犯行。

使用PC資源管理方案的成效有多驚人呢？以前述的半導體公司為例，他們在部署啟用自動化PC資源管理方案之後，現在只要二名IT人力就能管理三千台PC，而且隨者電腦管理數量的增加，幾乎不需再多配置IT人力也能從容應付。

這種PC資源管理策略也有助於企業計算目前已經使用的軟體授權數量，而不會無意間因過量使用而產生授權不足、面臨侵權的法律問題。

實施PC資源管理的另一個好處是可以確保修正程式不會妨礙既有系統的運作。由於有些作業系統或應用軟體的修正程式可能會與既有系統產生不相容的現象，因此IT管理者在確認相容性無虞之前，並不直接把修正程式派送到使用者端的電腦。

針對這個問題，諸如Novell ZENworks之類的資源管理方案就與各主流軟體公司合作，在實驗室內進行這類修正程式的相容性測試；用戶可以根據自身的系統組態做設定，以達成更新後的最佳效能。這類相容性測試服務對於那些自行開發應用程式的企業IT部門而言，是一種極為重要的管理服務。

其實這類PC資產管理不單能為IT管理者提供高效率、精準的管理成果，它還能透過統一派送的方式，讓企業(尤其是服務業)前台人員的電腦桌面擁有一致的畫面。這種建立企業識別圖像，展現專業的經營風格，也算是資安管理的另一種商業價值表現吧。

【原稿發表於網管人2006年八月號】