外包必需的六大安全策略

不管你作何感想，最終都需要外包某些IT服務。IT外包問題有利有弊，每家公司都需要制定安全策略，協助減少固有的危險。說起來容易，“我信任IT供應商”或者“我們的確沒有任何問題”，但是問題不在於你是否信任供應商，而是要為公司完成恰當的任務，保證具有合理的保護機制，減少威脅。

　　下文提供了六大安全策略，用以對付外部服務供應商。你可以建立獨立的安全策略，也可以將這些策略融入現有的安全策略，或者制定一套外包策略，解決這些問題。

　　1.可以接受的使用範圍

　　安全策略通常會要求員工做到這一點，但是外部人員可能就未必重視。將其作為一項策略，任何連線網路的人員都必須遵循規則——沒有惡意材料，沒有未授權的安全測試工具，沒有版權問題，沒有不安全的無線系統等等。諮詢人員、審計人員、系統整合人員等都容易帶來安全問題。保證接觸系統的員工瞭解哪些範圍不能使用，尤其是審計員和承包商，因為他們會在較長時間內與你合作。擁有的技術越多，所做的努力就越少，流程執行就越透明。建立可控制的環境有種很好的辦法，就是將公司的某臺電腦借給這些使用者。

　　2.資訊訪問

　　資訊訪問策略應具備可靠的資訊分類體系。明確哪些資訊外部供應商能夠共享和訪問，哪些資訊不能。任何人訪問關鍵伺服器，都會接觸敏感資訊。應確保獲權的訪問人員瞭解這項策略，這樣他們就能在訪問儘可能少的情況下完成工作。

　　3.資訊損壞

　　資訊——無論是軟體資訊還是硬體資訊——會使公司處於未獲權的狀態，這是一項很大的漏洞，因此你應該加倍小心。將其作為一項策略，在你接觸第三方供應商時，該策略應成為保密或未公開檔案的一部分。要求所有的資訊都不會返回，也不會遭到破壞。

　　4.入職和離職

　　為新來的諮詢人員或技術人員設定計算機和網路帳戶，這一點不容小視（儘管通常被忽視）。遵循需要了解和必須瞭解的規則，務必保證一旦使用者不再需要訪問網路，帳戶就會失效。不要忘記其它的管理密碼，如路由器、本地管理帳戶、Web應用程式的密碼，防止在於外部人員交流時洩露密碼。有可能的話就在專案完成後更改密碼。

　　5. 移除裝置

　　有一點很重要，必須記住：筆記本、硬碟或網路圖等裝置、介質、硬碟資訊離線後就不再受你控制，必須加以合理的保護。將其作為一項策略，隨時保護這些裝置，專案完成後取回這些裝置。

　　6.計算機的最低需求

　　另外還存在一項嚴重的漏洞，即允許第三方計算機在你的網路中執行，而且沒有保證網路受到合理的保護，或者不受病毒、間諜軟體等惡意軟體的感染。將其作為一項策略，要求在網路中執行的外部計算機及時更新補丁、反病毒簽名、實時軟體保護（此處的病毒指儲存器、電子郵件、Web瀏覽器等檢測出的病毒，而不僅僅是硬碟掃描到的病毒），必要時還應更新個人防火牆。如果你提供VPN、Citrix、Terminal Server等遠端訪問功能，這一點就格外重要，因為第三方軟體很容易連線不安全的計算機。如果一臺受感染或不安全的計算機將你的網路完全暴露給外部世界，那麼後果不堪設想。

　　如果你的公司認真對待這些安全策略，那就很容易將與外包相關的策略整合到環境中。我不是一名律師，因此在將這些安全策略付諸實施之前，請先諮詢法律顧問。最後，保證應付外部IT供應商的員工（網路管理員、安全經理、採購與採辦人員）都能瞭解這些策略，保證達到最佳效果。