規(guī)模較大企業(yè)的IT部門常常分工較細(xì)，IT人員各守一攤，于是IT安全團隊和IT運維團隊各司其職的同時也難免各自為政。需要注意的是，不是每位IT員工都具有安全意識，有些甚至無形中為IT安全拆臺，如果連IT人都不重視安全，指望技術(shù)門外漢的普通員工來維護安全簡直是無稽之談。

正所謂“態(tài)度決定高度”，這句名言其實對于各類機構(gòu)及企業(yè)實施并維護IT安全也能起到很好的指導(dǎo)作用。——無論大家對這句話是否認(rèn)同，每位IT工作者的態(tài)度都會切實影響到所在機構(gòu)、企業(yè)或者高校的IT安全保障。安全處理態(tài)度的影響力絕不僅僅局限于IT部門，更會決定機構(gòu)中普通成員對安全事務(wù)的重視程度。

對普通IT工作人員來說，安全事務(wù)依然會被視為一個麻煩事兒——他們不僅認(rèn)為這類工作“事不關(guān)己”，還將由此帶來的限制當(dāng)成是對自身業(yè)務(wù)的嚴(yán)重阻礙。環(huán)顧任何IT部門，我們會發(fā)現(xiàn)“孤島”狀況依舊存在。

只要企業(yè)規(guī)模足夠龐大，個人及由個人構(gòu)成的群體都會自然而然地被專業(yè)知識劃分開來。其中包括網(wǎng)絡(luò)組、數(shù)據(jù)庫組、規(guī)劃組、中間層組、VoIP組、系統(tǒng)分析師、系統(tǒng)管理員以及計算機支持組等等;而在各個分組之外，傲慢的安全人員又會形成屬于自己的獨立領(lǐng)域。

IT人員認(rèn)為對用戶接入敞開方便之門，幫助他們訪問更多數(shù)據(jù)、簡化信息檢索流程并提高員工的日常工作效率是IT部門的職責(zé);但I(xiàn)T安全團隊的成員則習(xí)慣懷疑一切并對所有活動加以鎖定。更有甚者，某些IT安全從業(yè)者會對其他疏于考慮產(chǎn)品或服務(wù)保護的IT人士頤指氣使、橫加指責(zé)，進(jìn)而加劇雙方的工作矛盾。

用戶常常會打來電話匯報“昨天我們還能做‘X’，但今天突然就不行了”，對這類意見IT團隊往往會在電話中或即時通訊平臺上直接抱怨稱“那是因為安全小組鎖定了‘Y’，因此導(dǎo)致‘X’無法繼續(xù)生效。終端用戶當(dāng)然不理解新政策到底是好是壞，他們只能從IT團隊的反饋中得知是其他人從中作梗才破壞了“X”的正常使用，進(jìn)而阻礙了自己熟悉的工作流程。從這個角度看，安全保護工作成了一件壞事，而且這種觀點會由IT團隊傳播至終端用戶當(dāng)中。

安全不應(yīng)該以這種孤立的方式推行。所有IT人員與普通員工都需要理解安全工作的重要性、進(jìn)而弄清楚自己在日常業(yè)務(wù)中的決定會給整個企業(yè)的安全體系帶來何種影響。無論是執(zhí)行技術(shù)實施方案還是與用戶交流新的安全實踐措施，IT部門做出的決策都會給企業(yè)帶來深遠(yuǎn)影響。安全問題不容忽視，每個人都應(yīng)嚴(yán)肅對待。態(tài)度積極、執(zhí)行主動才是切實保障安全性的兩大主要方式。

大多數(shù)IT工作者對于IT安全人員及其管理政策都不至于抱有敵意。IT團隊中的某些成員缺乏IT安全知識，他們在進(jìn)行日常決策時往往沒有從安全角度出發(fā)進(jìn)行全面考慮。這種將安全考量視為阻礙或者不加重視的習(xí)慣通常與IT人士受到的教育緊密相關(guān)。

大家不妨回想自己在大學(xué)中的學(xué)習(xí)經(jīng)歷，這里我們以編程課程為例。各位還記得學(xué)校什么時候才開始教自己進(jìn)行輸入驗證或者錯誤檢查嗎?通常我們會先學(xué)習(xí)如何利用鍵盤輸入內(nèi)容并將其在屏幕上顯示出來，然后才在學(xué)期后半段接觸有關(guān)內(nèi)容修改的知識。我們往往把大部分時間用在幫助學(xué)生理解基礎(chǔ)運作方式上，卻忘了為其規(guī)劃整體思路、強調(diào)輸入驗證與緩沖區(qū)溢出檢查的重要性。很多人都認(rèn)為“學(xué)生會在處理高級設(shè)計項目時自己掌握這類知識”，但事實上編程入門課程往往根本沒有真正把IT安全教育融入其中。我們曾在過去的一系列討論中確定了安全事務(wù)的跨學(xué)科屬性，而IT人士對于安全問題的處理態(tài)度就把握在我們這些教育工作者手中。

回到原點!我們需要對IT人員進(jìn)行培訓(xùn)、確保他們掌握安全基礎(chǔ)知識。態(tài)度不僅影響個人工作效果、也會決定整個機構(gòu)的安全水平，而這一切都將在日常事務(wù)中得到體現(xiàn)。