IT资产管理战略，如果正确实施，可以让公司在接受软件供应商审计时，有所准备，对于企业内已经购买的，和正在被使用的系统和软件有所知晓，帮助IT部门确立特定的战略。但是，如果一个公司没有实施IT资产管理(ITAM)战略——或者并没有恰当实施，那最大的风险就是，它会面对一系列的问题，以及技术供应商的潜在罚款。

软件供应商对于软件违规的处罚可能很高，高达每单个软件，或者运行特定应用程序的每单个注册设备，30,000美元， George Spalding说，他是IT服务管理咨询公司Pink Elephant的副总裁。而且，如果一个软件供应商发现了软件不合规，就有可能导致另一家供应商的审计，因为供应商之间会就不合规的客户进行沟通，他说。

在本期问与答中，Spalding将解释面对软件供应商对于软件合规性审计时，可能面临的问题，为什么IT资产管理战略对于硬件很重要，资产管理工具如何与检测和服务台工具相集成，以及物联网将如何影响ITAM。

当审计时，发现有软件不合规时，会发生什么？

George Spalding：通常，被审计的企业会雇用一群律师，和软件供应商的律师坐下来，基本上，他们会达成协议。他们会协商罚款。但这是痛苦的。当(被审计的公司)被发现违规时，罚款很高。

我相信，大多数公司并不想违规。他们不想欺骗软件公司。他们也没有意识到自己违规了。就好像，“哇，这是怎么发生的？我认为我们购买了该软件。我们有政策说明我们应该购买该软件。”

被审计的公司并不想违法，但这的确是：违法行为。这其实是欺诈。这是在没有支付合法费用，或者租借的情况下，窃取知识产权。这实际上就是违法行为，这也就是为什么(被审计的)公司当然不会希望，以任何方式，形式，形态，参与，或部分参与其中，或者，为人知晓。

这就解释了资产管理的重要性。人们会说，“嗯，我们负担不起资产管理项目。”真的吗？不对，你承担不起没有资产管理项目的代价。你必须要有一个资产管理系统，这样你就可以有专人立即回复软件公司的请求，比如，“你能证明你有X数量的许可证，你有多少员工会使用它们？”

如果立即回应，且不是“是的，我们有许可证”这样的回答，而是有相关证明和文档，他们就不会来进行审计。你只需要做出回应，就万事大吉。但一旦有任何闪烁其词或者任何疑问，他们就会立刻派人突击进行审计，而工作人员就会手足无措。

供应商多久会对IT企业进行合规性审计？

Spalding：这肯定会发生，但IT公司通常不会对外宣布，而软件供应商也不会对外宣布。因为这就相当于银行有安全漏洞。他们会修正，但不会告诉任何人。他们不想破坏声誉。说实话，没有人真正知道企业被审计和被罚款的频率。

对于IT公司，确保软件合规的解决方案之一就是购买企业许可证。 真正的大企业从来不需要面对软件不合规问题，因为他们直接购买企业许可证。

往往都是中型公司，会因为想节约一到两美元，而为100名员工购买100份许可证。他们也正是这样惹上麻烦的。

中型公司也不太可能，或者愿意投资于资产管理。

Spalding：他们没有看到它的必要性。他们似乎无法承担资产管理部门。他们可能有一个资产管理经理，一个人，只有一个人，使用检测工具来确定资产。但是没有任何一个检测工具可以解决所有问题。最终，他们必须购买很多工具来解决很多问题。

如果企业不知道自己拥有的IT资产，除了软件不合规问题以外——还有其他财务影响吗？

Spalding：我来举个例子：有一家位于双城区的大公司，租赁了30台服务器。租赁公司说，“嗨，很高兴见到你。你知道吗，你租赁的那30台服务器已经到期了。所以请归还我们的服务器。” 我当时也在场。公司部门的负责人说，“我们已经决定买下这些设备。”租赁公司说：“真的吗？哇，那太棒了。好的，我准备发票，你可以付款了。”他们真的这样做了。

我问那位部门负责人，说：“你为什么要买下这些设备？”他说，“因为我们不知道这些设备在哪里。我们找不到了。”突然，资产管理和配置管理概念中出现了一个全新的元素。这成了很大的财务问题，不仅涉及到购买，维护，如果你租赁设备，还要知道资产在哪里。

那些存储在服务器上，却找不到的数据，怎么办呢？

Spalding：就是说呀。当然，没有人会告诉你这些，因为没有人想让别人知道，但是这类问题一直存在。他们就是找不到设备了。

所以，我们既有购买的资产，也有我们需要丢弃的资产。 而处理丢弃的资产也很重要，因为要考虑其中的数据，当然也要考虑环境问题。

然后，还要涉及到将资产和其资产号码相配对，政策管理和其他所有这类的问题。

资产管理涉及到大量的数据，表格和枯燥的细节，为了保护企业免受违规的处罚，保护投资和各类资产而必须这样做。

让我们谈谈如何将检测工具集成在IT资产管理系统内。

Spalding：每一个独立的资产管理系统都应该有检测工具。这应该是它的一部分，否则你就不应该购买它。但是，让我们想一想“检测”到底是什么意思。首先，我能够检测的前提是资产能够让我检测到。这是第一步。所以它必须让我检测到。

检测工具基本使用两种技术运行：基于代理的或无代理的。基于代理的检测，软件需要在每个资产内进行加载。工具查询代理，代理响应检测工具。而无代理检测，在每个单独组件上并没有代理。而是在检测工具内构建档案，寻找匹配。所以，它检测到设备的存在，将它与档案列表中的设备相对比。如果寻找到匹配，就会报告这一特定资产。这是一个Exchange server，这是一个文件服务器，那是一个直通文件服务器，那是SQL Server。

然后，作为客户你可以不断添加档案文件，这样检测工具就能不断发现资产。

下一个问题是，多久进行一次检测？当然，你期望能找到所有资产；你期望能检测到100%。但是从来都做不到。不可能做到，因为总有些没有被记录的，或者有些设备不支持代理，比如路由器。所以你使用路由器监控系统作为检测路由器，交换机和防火墙的工具。这是另外一种工具。

但是，检测工具很占带宽。如果你的公司很大，有成千上万的设备，如果你想对所有设备进行检测。最好安排在周末，要不就完蛋了。因为这要花费好几个小时，而且会占据网络的所有带宽。 如果你想要检测笔记本电脑的客户端设备，而在周末，员工会关闭电脑，你就无法通过检测工具发现这些设备。如果设备不在公司，还必须通过VPN连接。问题是，VPN支持检测工具吗？也许支持，也许不支持。

所以当一个企业进行检测时，能够发现企业内IT资产的实际情况吗？

Spalding：这可以作为实际参照，然后和他们认为的情况相比较。然后，开展讨论。他们会说：“等一下。那个服务器在哪里？我知道我们有那台服务器，它并没有出现在列表中。为什么没有出现？”然后试着找出它没有出现的原因。

所以，他们将之前的情况和当前的情况相比较。他们会说，“好吧，除了这六个设备以外，其他都匹配。这六项资产是我不知道的，但是被发现的。这六项资产是我以为会发现，但是没有被发现的。现在，我们来讨论一下情况。”

那服务台功能呢？服务台内能集成这些工具吗？

Spalding： 某些工具可以。

假设你遇到了问题，打电话给服务台。 服务台的员工输入你的公司名称，然后你作为服务台授权用户，会跳出相关信息，这是第一步。接下来服务台工作人员想知道你可能遇到问题的，你所使用的电脑资产。服务台想要将你和你的资产相关联。 你所使用的公司电脑，它的品牌，是一年半前购买的，安装的Windows系统版本。类似的信息。服务台需要所有这些信息，如何获得这些信息呢？通过资产管理/检测/配置管理工具。

有工具可以将所有这些信息相关联。但是必须有一个连接器，将个人与资产相关联。所以，当你第一次打电话的时候会比较繁琐。但是之后，对话就会简单很多。

所以，一般来说，集成套件往往比一个单一的产品有更好的功能？

Spalding：是的。过去，我们总是认为单一产品是最好的选择。总是想选择最好的单一产品。想要最好的变更管理系统，最好的服务台系统，最好的检测系统，等等。但是，随着时间的推移，我们发现，最好的产品并不能解决问题。

如果你购买一个系统，你应该购买一个将所有你需要功能相集成的系统。一个系统。即使你可以很容易地证明，也许其中的变更管理模块并不是最好的。集成系统还是比拥有最好的单一产品更好。毫无疑问，你可以节省时间，获得最大效率。所以是更好的选择。

物联网是如何影响IT资产管理战略的？

Spalding：这会把他们逼疯。

根据Gartner的调查，现在，共有49亿件物件连接在互联网上。将在未来的五年内，增长到250亿，这就是物联网。首先，每个人都在谈论恒温器、电炉、房门锁、车库的开门器、冰箱、面包机，所有这些类型的东西。

基本上，当你谈到物联网时，你谈论的是一个智能设备， 和网络连接——一个单独可访问的设备。

当我们谈论IT资产管理时，我们关心的不是面包机。不是冰箱；不是恒温器。而是在一个办公环境中，我们关心的是投影仪之类的东西。那些可以联网的智能投影仪。我能够查询一台数据投影仪，知道它是否正常工作。我能知道灯泡使用的时长，以及寿命还有多长。我可以远程知道。我可以查询打印机，知道它是否正常工作，并知道它所有的当前数据。它是否有足够的碳粉，是否有足够的纸。这一切即将实现。

因此，这就意味着网络边界弱化。防火墙的概念几乎可笑，因为电话里就有网络。

当你进入办公室以外的世界时，生产制造中有自动机械。办公室外的几乎所有行业内的，几乎每个设备都是由电脑控制的。还有卡车和各类运输工具，都有GPS，并传回信息。

因此，卡车，或者任何运输的交通工具，卡车内的任何设备，生产制造中的任何机器，休息室内的自动售货机，都将联网。

这一切都会发生。其中的一些已经发生了。所以从业务的角度出发，如果一个设备有电源，那很可能会有一个IP地址。 因此，这个地址，使它能够联网，并要求设备本身有某种形式的智能，知道如何回应和对话。

从资产管理的角度出发，所有的这一切都要有所记录。资产管理会爆发。在接下来的五年内，资产管理必须自动化。这一切不可能通过人工方式进行跟踪。

所以，资产管理检测工具，以及资产管理的自动化版本必须迎头赶上。物联网设备不可能通过人工管理。