問題的兩面可能都值得考慮

“我們遵循一些ISO安全標準，特別是27001，這是我可以收集到的信息”，這通常是麻煩的事情，需要對很多框進行打勾。您的IT部門可能正在做他們應該做的事情，面對這些問題不會有任何幫助。實際上，即使查看 wikipedia ，它也清楚地表明其設計的學步法，而且值得慶幸的是，我並沒有通讀整個答案。

為實際上必須閱讀，理解和實現這一點的IT人士提供一個思路！

如果您需要提出更改，請考慮可能做出更高的決定，並且可能是由技術水平較低的人。您可能必須找出合適的人选和提出問題的方式，這既是政治上的決定，也是技術上的決定。

一種可能性是看您是否可以孤立地對待開發/測試環境，與主網絡之間存在差距（但這再次取決於您的公司標準。）

其中一些可能比其他請求更可行。

• 我被要求從事原型工作的驅動程序的安裝
  您可能可以很容易地為此做個案例，並且應該完成 仍然在隔離的測試實驗室系統上運行。

• 任何IDE或應用程序更新
  可能性很小-您可能必須通過公司才能做到這一點。您可能可以與富有同情心的IT部門交談，讓您測試對其進行更新，然後再進行更廣泛的部署，

• 能夠訪問控制面板的某些部分以更改某些設備設置
  再次，這是您工作的重要部分，並且無論如何最好在單獨的測試實驗室中完成

• 任何新的安裝方式
  呵呵沒有發生。最終，您最終會遇到許多瑣事 strike>非託管無政府狀態系統，而沒有中央管理。您可能會說服他們讓您擁有一些測試系統，但是不太可能根據需要構建和部署自己的測試系統。

從某種意義上講，您將必須說服管理層，您所需要的更改是必要的才能使事情正常運行。您可能還需要處理政治，合規性等等。它的不是會很容易。

我去過那裡。

在一個案例中，一個坐在我旁邊的人收到了一台新計算機，因為他的舊計算機死了。他能夠登錄，但無法安裝Visual Studio。因此，他向IT部門下了一個工作訂單，然後他們執行了安裝。

然後，他不得不下一個工作訂單，以便將其連接到我們的版本控制系統。要安裝MS Office的另一個工作訂單。還有另一個可以訪問我們使用的共享點站點（按MAC地址鎖定）。到目前為止所花費的時間：3週。

所有這些都完成之後...他無法調試Web應用程序。 VS具有運行調試器所需的管理員權限。他也無法在本地配置IIS（已鎖定）。他又下了兩個工單來解決這個問題。一周後，本地管理員訪問權限被徹底拒絕，因為現在禁止開發人員這樣做。 IT確實顯示並配置了IIS ...但是他無權將任何內容推送到網站目錄中，因此這毫無用處。他工作的任何部分。老闆每天與老闆交談，然後老闆向IT總監發送電子郵件。這持續了幾個月。他確實帶來了他自己的筆記本電腦，但是公司有嚴格的政策禁止將它們插入網絡。這個傢伙甚至將其安裝在原始機器上。這只是由新的IT主管制定的政策，該政策已獲得CTO的批准。

該公司是一家相當大的公司，擁有近1,000名.Net開發人員。由於正常的上班時間，所有被錄用的人都很快發現自己無法做任何工作。有些人堅決等待，有些人離開了。大約4個月後，IT總監被解僱（完全不相關的事情），他的繼任者（從內部晉升）立即更改了該政策。

對於您的具體情況，您所能做的就是與您的經理就該政策的荒謬性質進行很好的交談，同時將您的請求提交給適當的人員，然後儘力而為。有些人可以在這種愚蠢的環境中工作；其他人發現幸福存在於其他地方。

擔任這個職位後，我通常只花一點時間與管理層/主管或高級開發人員進行交談。這就淘汰了各種方式：

1）公司有嚴格的政策，IT必須處理所有這些事情-即使對於開發人員也是如此。他們知道這很痛苦，但是必須這樣。除非...

2），否則您會要求輸入很多密碼。

2）公司擁有嚴格的政策，不能/不會更改，但是開發人員無論如何都會做他們想做的事情。一位高級技術人員曾經問過我，我對給定任務使用了什麼，然後我告訴他，他回答說：“開發人員……您只是無法使用批准的程序列表，對嗎？” -面帶微笑。

這通常稱為“隱蔽”或“黑皮包”操作，每個人都使用他們想要的內容並且管理層知道這些內容，只要您不說，人們只是不說任何話或特別在乎出問題時不要抱怨（而且您不會為其他任何人搞砸）。順便說一句，這裡的缺點是有時會玩政治遊戲，如果出了什麼問題，即使您的工具/軟件/工作站與它無關，您也可能會被咀嚼-特別是如果您是初中（“團隊被俘虜或被殺死，秘書將拒絕所有知識。“）。

3）公司擁有嚴格的政策...並且了解您討厭的開發人員類型，並在您自己的計算機上為您授予本地管理員特權，甚至設置非託管虛擬機，您都可以使用它們來運行工具，而不必破壞它們的工作站，並且在不可避免地使事情崩潰時也不必重新安裝映像。

我們都說我們知道我們在做什麼，我們最終都在某一點或另一點炸毀了操作系統。 “我很確定手動安裝錯誤驅動程序的Alpha版本並編輯註冊表以使過程更快不會造成問題... 咳嗽 ...”

尤其是當公司沒有定期向您的部門招募大量新員工，或者如果您的開發部門只是IT日常工作的一小部分情況時，有時人們會忘記如何處理事情並他們沒有開發人員安裝的清單。

在我工作過的所有非軟件公司中，開發人員工具都不是任何映像或安裝的標準部分，並且無論如何都將逐案處理

4）公司出於某種原因按原樣擁有事物，但由於您不喜歡它而似乎沒有生產力，因此它們沒有或不能改變。您最終只需要忍受它，儘管好消息通常是，一旦您完成所有設置，它就會消失，並且您幾乎不需要再輸入密碼。

有時您也會非常擅長使用不需要管理員權限的軟件，或...請參閱上面的＃2。有時，這只是嚴格的政策，安全的基礎架構，糟糕的管理或官僚主義性質的缺點……好處通常是，您並不需要真正擔心其中的任何一個，而當下一個大的安全漏洞出現時，揭示了NSA實際上是失踪的男管家（天哪！），這不是您的問題。您只要做好工作，或者在IT爭奪補丁程序並重新啟動所有工作站的時候花一個小時的時間，就知道這不是“我的問題”，這很安全。這可能適合您的工作風格和個性，但是可能適合不同的人！

如果您確實決定要求/推銷安全策略例外，則應意識到很有可能，這是由您所要求的事實表明，您是其中的一員。政策適用於，而不是應免除特殊待遇的人。您如何保證要下載和安裝的驅動程序，工具等不惡意？它們很可能包含旨在阻止或減慢公司運營，洩露私人信息和商業機密等的代碼。

如果事實證明它們確實是惡意的，則您要進行什麼樣的審計跟踪確定將惡意代碼引入何處？它是供應商提供的驅動程序/工具版本的原始版本嗎？它是通過MITM攻擊注入的嗎？在組織內部還是外部？只是您在個人USB記憶棒上隨身攜帶該軟件時發現的一種病毒？

所有這些問題都是IT安全部門/政策的職責，之所以成立，是因為該公司希望能夠僱用具有資質的人員（如您）自己的領域（開發），但是他們要么不合格，要么無法投入一半時間來嚴格關注安全性。

如果您仍然想追求安全性，則應該努力理解為什麼這些問題很重要，並將這種理解傳達給您需要說服的決策者。您還應該準備好進行IT部門如果不去做的那樣的記錄保存工作。

要考慮的一件事是，您剛開始工作，因此與同事相比，您需要安裝或設置更多的東西。隨著開發環境的穩定，隨著時間的流逝，此類問題可能會越來越少。這可能是您的同事更願意接受現狀的原因之一。

如果不是這種情況，基本問題是為什麼要定義安全策略。貴公司是否有特殊的安全要求，例如銀行或處理機密或敏感（個人）信息的組織？在這種情況下，他們不太可能更改其相對少數僱員的安全策略。仍然值得一試，但是請確保您這樣做的方式不會損害您的聲譽和未來的職業前景。

因此，與其說自己的挫敗感，不如說出自己的挫敗感，而是著眼於業務方面問題。被您的工作阻塞會給公司帶來辛苦的金錢。您能否量化這些規定平均每週/每月使您（和您的開發人員同事）停滯多少小時？這給管理層帶來了生產力損失的估計，如果乘以開發人員的平均小時成本，就可以將其貨幣化。如果這個數字足夠高，則管理層可能會注意到並採取行動。

您可以從IT支持人員那裡詢問另一項有用的措施，即詢問他們必須處理多少和多少嚴重的安全事件。去年，其中有多少是由開發人員引起的。

如果這些數字說服管理層至少考慮了一項更改，請確保

• 管理和IT支持都在尋找解決方案，並且
• 而不是要求“更多自由”，而是提出一個開放式問題，例如“ ”，“我們如何才能提高生產率並減少沮喪感我們的IT人員 ^{1 sup>而又不影響安全性？”}

_{1與IT開發人員相比，這些規則對於IT支持人員而言可能更加乏味且令人沮喪。 sub>}

也許一種選擇是開始記錄您遇到的所有缺少管理員權限的情況，這些情況阻止您完成工作和/或浪費時間和IT時間。收集一段時間後，將其發送給公司中負責制定這些策略決策的任何部門，並說明如何進行，雖然您可以了解公司大多數工作站上對這些策略的需求，但這兩者都是當應用於軟件工程師時，這是不必要的，並且對生產力極為不利。並且，當然要對此保持禮貌。另外，如果您和/或其他開發人員確實考慮承擔如此沉重的負擔，那麼至少提及當前的政策對於開發團隊的士氣來說是一個大問題可能是個好主意。不過，我不建議您明確威脅要離開它。如果他們不接受提示，但您確定值得離開，請在離開時在面試中提及並向他們解釋，如果他們不改變政策，他們很可能會失去更多才華橫溢/有價值的開發者，但我不建議您明確提及將其遺留的可能性，除非您已經決定這樣做並且正要出路。

當然，如果上述方法失敗，則可以嘗試採用更被動的攻擊性方法，那就是在需要管理員權限才能執行某項操作時繼續致電IT。一旦他們開始了解您對管理員訪問的合法需求的頻率，並且當他們開始了解他們實際上擁有一名IT人員時，他們的全職工作正在為您輸入密碼，那麼他們就可能會明白這一點。您需要管理員權限。但是，正如我所說，除非您先嘗試了更多的外交選擇，否則我不建議您使用這種方法。如果您要打擾的IT部門一直在支持不讓您擁有本地管理員的現有政策，則此方法可能特別有用。

即使在高安全性環境，對於開發人員組來說，它們是標準安全策略的例外，因為開發人員通常都知道不安裝不可靠的垃圾，並且開發人員通常需要定期訪問管理員才能完成工作。當然，這並不是說開發人員應該是整個公司的域管理員，或者不必遵循旨在保護敏感信息和系統的過程，但是對自己的系統擁有管理員權限的開發人員並不是異常。不幸的是，那些沒有開發環境經驗的IT人員，尤其是在沒有很長的開發團隊的新公司中，往往不能完全掌握對您的工作有必要的管理員權限。您和其他開發人員可以幫助他們了解情況，但是，與所有業務情況一樣，您需要在最大程度上尊重它。

一個可能的妥協是擁有單獨的特權帳戶，該帳戶專門用於為您提供更高的訪問權限（對服務器，本地計算機等），您不能以交互方式登錄，但具有管理員權限，因此您可以鍵入自己的密碼

。這使您的IT人員更加安全，因為您知道自己意外下載並獲得特權的惡意程序無法自行安裝或在其他系統上造成嚴重破壞，但是您仍然可以安裝自己的驅動程序更新。

如果該政策的真正原因是避免安裝任何感覺的產品，他們可能仍然不願意這樣做，而您可能只需要接受即可。但是，如果安全性是驅動因素，那麼這可能是一個適當的妥協。

一個詞： MONEY

很多時候，問題出在責任不連貫。 IT管​​理員（尤其是如果您有“安全負責人”的職位）負責保護企業免受風險侵害，因此他們無處不在。例如，他們看到，如果允許無限制的Web訪問，則有人可能會下載惡意軟件，造成$$$的損害，並且應為此負責。他們沒有看到不加區別的過濾也可能禁止訪問所需的網站，可能會導致業務放緩和$$的損失（即使他們看到了，他們也肯定這些$$不會來自

相反，開發人員希望自由支配安裝軟件。嘿，甚至是最終用戶的管理員權限，因此，如果需要某些第三方軟件，則開發人員本身可以通過腳本進行安裝。這樣可以加快開發速度並為公司節省資金，不是嗎？而且，好吧，如果有人引入了病毒，則可以通過$$$$和IT預算中的小時數來解決問題，而不是我們的預算...

如果您說出您擁有的命令鏈，如果IT策略出現問題，也許他們會向IT經理詢問。 IT經理只會回答說IT策略是“出於安全原因”，而高層管理人員不會知道任何新信息。

相反，請報告您估計每個開發人員都在浪費多少時間。週。如果您甚至可以投入大約金額，並通過報告，則可以加分。用金錢來說明政策問題將為上層管理人員提供他們將了解的指標；一旦有了這些數字，他們可能會要求IT部門採取措施以減少其政策的影響，甚至在需要時允許分配一些支出（例如，在單獨的網絡中供開發人員使用）。

請注意，該解決方案是開放式的……也許您的IT策略不應該更改，但是IT團隊應該花更多的精力來正確地分析和記錄開發人員（以及每個部門）需要的權限，並提供新的PC已經“定制”了。

我曾經在以前的（非常大的雇主）那裡遇到過這個問題，對所有用戶都使用了一個單一的強制性安全策略。然後，他們買了我們（一家開發公司），卻不知道如何讓我們在他們的公司網絡上工作（要求本地管理員訪問）。

我們最終只剩下兩台計算機（甚至沒有）虛擬機）。一台計算機（上面貼有漂亮的藍色標籤）連接到公司網絡，讓我們做一些有趣的事情，例如電子郵件和訪問假期請求，另一台計算機（上面貼有漂亮的紅色標籤）連接到我們自己的局域網，由我們管理

我不建議您將此選項作為選項（因為這確實很麻煩），但是如果您確實無法在公司網絡上授予訪問權限，則這是一個選項。

我將其解釋為時間和成本問題。當您花時間獲得繼續進行工作所需的訪問權限時，您可能會花時間進行工作。還要調查是否可以將此政策更改僅適用於開發人員，而不適用於整個公司範圍的更改。

請記住，這可能是很難改變的政策，特別是如果您在公司工作的領域通常需要高級別的安全性（國防承包商等）。我曾在兩方面的公司中工作過，而對安全性一無所知的人總是回頭咬他們，因此他們的政策可能源於過去的不良經驗。

您最好請求可以遠程訪問並以這種方式工作的開發虛擬服務器。理想情況下，您還將具有用於連接這些服務器的特定帳戶，這些帳戶可用於區分防火牆處的流量。這使您可以安全地工作 並具有管理計算機訪問的所有好處。

畢竟，沒有人希望成為那個讓cryptolocker獲得共享驅動器的人，因為他擁有管理員權限，並且偶然點擊了錯誤的內容。

僅在提供給您的參數內工作如何？

組織中的其他所有人都必須這樣做嗎？怎麼不行就像高級開發人員/運維人員一樣，我不能只花一天時間開始開發應用程序（這並不是我不知道的-政府中的大多數高級開發人員/運維人員都這樣做），但這不是我所付的錢做。

接下來，作為開發人員，您不了解基礎架構。來自郵件和Web管理，我對大多數開發人員及其基礎結構的看法是“足夠危險”。您可能知道可以完成5件事中的3件事，但是您沒有意識到由於組織中的其他配置，這3件事將造成安全漏洞。就像我不知道編程語言的所有方法或複雜性是因為我沒有每天花時間去做一樣，您會想到很多關於基礎結構的知識，但是當它們出現時，它們並不能提供足夠的建議應該被忽略。

如果您的公司值得付出代價，那麼應該發生以下情況：驅動程序安裝-應該通過測試部門以確保與系統中其他驅動程序的兼容性。應用程序更新-它們是否在利用新的/不同的？構架？您的新攻擊面是什麼？控制面板-由於某種原因而被鎖定-作為基礎結構，如果我可以在這裡訪問，我可以做任何我想做的事情。新安裝-請參閱驅動程序安裝USB訪問-您甚至都不知道有多少人正在丟棄受感染的USB，而只是在等待有一點訪問權限的人將其插入

通常，當我進行此對話時與Devs（我是您要問這個的人）我會解釋這些內容。基本上，由於您沒有我所在領域的經驗，無法了解我們為什麼進行這些更改，因此您要么需要信任我，要么需要找到一個新的人，但是原因是真實的，失敗的結果將使我喪命。

對於將這些東西帶給我的開發人員，我總是持懷疑態度。通常（不是說您是這樣），但他們通常是這樣的人，他們非常擔心周圍的一切，而不擔心他們面前的工作。因此，開發人員說“這太緊”並沒有真正打擾我。這樣的事實是，如果您實際上要發布該軟件，請了解一下在生產環境中可能會遇到的問題。

我看到有一些評論“記錄您的軟件數量”。浪費時間”。我以前有一個開發人員要拉扯我，基本上是這樣的反駁：“代您做準備不構成我的緊急情況”足以使要求問的人感到非常尷尬。作為基礎設施，人們總是被告知開發人員有責任管理他們了解公司及其需求的時間。

請記住，一天結束時，從事基礎結構工作的人可能和您學習的時間一樣長（如果不多，計算機科學的研究生比編程的要多），所以這與我們不一樣不知道我們在做什麼。我們在這裡確保系統能夠正常運行，安全-最後，如果其他兩個都完成了，那麼我們就可以進行開發。 （這始終是高層管理人員的指示-始終-如果他們無法通過電子郵件向客戶發送電子郵件或獲取報告，他們不會對您的新功能有多酷感到失望。）

最後，最後一個事情-您正在使用VM（尤其是像Ubuntu這樣的低級Linux發行版，Red Hat會是更好的選擇）這一事實絕對沒有任何區別。為Linux和Windows Web服務器構建VM已有5年以上，這是絕對正確的。因此，當基礎設施人員和GAL告訴您做某事時，請聽我們說（通常，系統管理員是懶惰的-除非我們實際上必須這樣做，否則不做任何事-因為我們會以兩種方式獲得報酬）。

（還好一件事-您實際上可以找到所需的管理員權限-只需在您的個人VM上明確授予它們即可-這就是我要做的事情）。

我只是想通過保存下來來結束我與我的開發人員的奇妙關係，這是因為我可以保護他們免受不斷破壞的困擾。開發/運營關係應該是共生的，而不是對抗的。

我認為，如果您可以舉出成功的公司提供能夠在不損害安全性的前提下提供所需環境的成功公司的示例，這將對您提出變更有所幫助。不幸的是，我不知道任何具體示例，但也許其他人可以。