专家观点：為(wèi)了员工自己的利益，需要通过控制他(tā)们安装和运行的软件来提升系统的安全性。 

    大量计算机安全问题都源于同一个问题：终端用(yòng)户在未经管理(lǐ)员同意并且无管理(lǐ)员控制的情况下，就安装或运行程序。 

    除了缓冲區(qū)溢出和社会工程攻击，大多(duō)数攻击行為(wèi)的发生都是由于用(yòng)户不经意地安装了未授权的恶意软件或其它程序。多(duō)数情况下，该程序本身就是恶意的，比如说病毒、蠕虫、木(mù马以及间谍软件；但是也有(yǒu)本身合法的程序，但它们可(kě)以允许新(xīn)种类的攻击发生。 

  任何一个软件都有(yǒu)可(kě)能(néng)成為(wèi)攻击目标。如果你允许你的用(yòng)户安装Macromedia的Flash组件，那么就可(kě)能(néng)会遭到恶意编写的Flash控件的攻击。如果安装Google的新(xīn)搜索条，那么会有(yǒu)丢失机密信息的危险。如果允许终端用(yòng)户在自己的计算机上播放个人的CD，那么可(kě)能(néng)会安装一个新(xīn)的rootkit程序。 

我到过很(hěn)多(duō)地方，在有(yǒu)的國(guó)家，我的手机是没有(yǒu)信号的。所以无论在哪里，只要能(néng)连到网上，我就用(yòng)Skype和家人朋友联系。Skype真是了不起――效果比手机要好，但花(huā)费却微乎其微。 

但是，一旦我安装了这个软件并且用(yòng)它和越来越多(duō)的人交流，我就知道迟早会遭到攻击。不出所料，没几个月，就有(yǒu)人发现了存在于其中的漏洞，接着Skype发布了一些补丁。但愿Skype在后续阶段还会不断升级安全补丁。 

在PC上面安装任何一款新(xīn)软件都会增加它被攻击的可(kě)能(néng)性，不管安装的是Skype、Java、RealPlayer、Firefox、QuickTime、iTunes或者甚至是防病毒软件。我常常忠告一些公司，要降低安全的脆弱性，他(tā)们惟一能(néng)做的做好的事就是控制公司自己的用(yòng)户可(kě)以安装和运行什么样的软件。用(yòng)户在使用(yòng)哪个浏览器增强插件？安装了什么样的ActiveX控件？后来，一些管理(lǐ)员非常惊讶地发现他(tā)们公司的员工安装了GoToMyPC，从家里访问办公室的机器，而他(tā)们却毫不知晓。 

即使不是大多(duō)数，也肯定有(yǒu)很(hěn)多(duō)公司对我的忠告充耳不闻。他(tā)们说，强迫终端用(yòng)户在安装软件之前必须获得IT许可(kě)会引起一些“不合适的”事情发生或者是“限制了學(xué)术自由”。终端用(yòng)户会反对我的观点，管理(lǐ)方也不会支持我。但是公平地讲，我说的都是很(hěn)客观的，没有(yǒu)丝毫的夸张。