如何确定供应商和承包商是安全的?

日期: 2015-06-10 作者:赵长林 来源:TechTarget中国

评网络和数据的安全性对于保护企业可谓生死攸关。因此,除了要消除企业内部的安全隐患,我们还要考虑外部的因素。在连接到服务供应商时,或者在承包商等在与企业的基础架构进行交互时,我们必须跟踪发生了什么。在这些情况下,我们必须评估供应商的安全实践是否符合企业的标准,并确保准备好策略和工具,监视连接到企业设施的承包商,否则它们有可能影响企业内部那些承载关键业务的系统。

服务供应商 很多公司正在越来越多地将工作外包给第三方的服务供应商,以求节约成本和获得灵活性。这当然有好处,但我们必须要理解这是在将关键业务和工作从企业的数据中心迁移出去,所以这种做法本身就包含着风险。 为克服这些风险,企业可以采取三种方法……

我们一直都在努力坚持原创.......请不要一声不吭,就悄悄拿走。

我原创,你原创,我们的内容世界才会更加精彩!

【所有原创内容版权均属TechTarget,欢迎大家转发分享。但未经授权,严禁任何媒体(平面媒体、网络媒体、自媒体等)以及微信公众号复制、转载、摘编或以其他方式进行使用。】

微信公众号

TechTarget微信公众号二维码

TechTarget

官方微博

TechTarget中国官方微博二维码

TechTarget中国

电子邮件地址不会被公开。 必填项已用*标注

敬请读者发表评论,本站保留删除与本文无关和不雅评论的权力。

评网络和数据的安全性对于保护企业可谓生死攸关。因此,除了要消除企业内部的安全隐患,我们还要考虑外部的因素。在连接到服务供应商时,或者在承包商等在与企业的基础架构进行交互时,我们必须跟踪发生了什么。在这些情况下,我们必须评估供应商的安全实践是否符合企业的标准,并确保准备好策略和工具,监视连接到企业设施的承包商,否则它们有可能影响企业内部那些承载关键业务的系统。

服务供应商


很多公司正在越来越多地将工作外包给第三方的服务供应商,以求节约成本和获得灵活性。这当然有好处,但我们必须要理解这是在将关键业务和工作从企业的数据中心迁移出去,所以这种做法本身就包含着风险。

为克服这些风险,企业可以采取三种方法:第一种方法是完全相信供应商会真正做到所宣称的一切。如果供应商不像其宣传得那样值得信任,这种做法就有很多风险。第二种方法是在内部处理一切,并执行内部控制和控制验证,这种做法成本较高且很耗时间。

|
如何采用一种“中间主义” 的第三方法,既保证安全性又不多花钱呢?具体而言,首先,企业在签定合同时要保证清楚地阐明安全义务和安全责任。其次,要确保企业准备与之签定合同的供应商能够提供适当的安全保险。这可以保证在供应商遭受攻击或破坏等事件后,企业可以补偿一些由此损害带来的成本。第三,要确保企业准备与之签定合同的供应商已经在安全方面对其服务进行了独立审计。


如果服务供应商对这些问题的回答能够使你满意,那么你有可能找到了一家可信的供应商。此外,如果供应商能够遵循SSAE16框架,并提供对SOC 2报告的访问(这表明有第三方审核的参与并测试了供应商的安全控制),这对企业来说岂不是更好的选择?


承包商


承包商会带来风险,这是因为其往往可以从物理上访问公司的系统。对于承包商,确保安全性的首要一步是克服缺乏人力资源的困难。在有新雇员进入、雇员离职、公司内部发生人员流动和职位变动时,不能有效地应对这些人员对系统的访问和权限的限制,所以,很显然,在当前的环境中增加承包商等非雇员用户会使问题更糟。

笔者以为与承包商进行接洽的任何人都可以负担人力资源的职责。它们需要通过策略使IT知道来了一位正在工作的“新员工”。

另一个重要措施是要限制承包商对企业设施的访问。例如,如果承包商要修复企业的HVAC系统,你就要确保只给予其访问HVAC的访问,不能给予其访问其它系统的权限。这种做法至少可以减少将某设备上的恶意软件风险传播到企业网络上。

远程访问


不管企业是与服务供应商还是承包商合作,涉及到的第三方可能需要远程访问企业的系统。从安全的观点看,这会带来另一种挑战。

对于这种交互,其首要的一步是使用支持强认证的VPN网关。由此,你可以根据其执行的角色而限制其访问。这又回到了那个问题:HVAC的维护者只能访问HVAC系统,而这一点适用于本地访问或远程访问的其它任何人。只要VPN连接运行,企业内部就应有人可以监视它,并且确保一切正常运行。

企业应在不需要时禁用其访问,而不应使其完全开放。比方说张三需要在夜间进入访问企业的VPN,管理员就得在夜间激活其账户,以便于其访问。在张三“完活儿”后,管理员应从内部关闭其VPN连接,从而防止其“任性”地访问企业网络。

作者

赵长林
赵长林

TechTarget中国特邀作者

相关推荐

  • DR基础知识:灾难恢复计划和灾难恢复策略

    IT灾难恢复(DR)计划的主要目标是制定详细的恢复计划,以在意外中断时执行。 这种计划应该列明详细步骤,说明在 […]

  • 如何确定应用程序的攻击面?

    应用程序漏洞以及错误配置都可能成为攻击者的靶子。能够正确的防御这些应用程序的要求是,在健全的风险管理发生之前,企业能够确认攻击面……

  • 隐私vs.安全:该如何平衡?

    中国的《网络安全法》已于今年6月1日正式开始实行,这给现代企业在维护信息隐私和安全性方面带来更多的挑战,也将对如何平衡隐私和安全性的探讨推上风口浪尖。

  • 抵御WannaCry等攻击?这里有一波资源来袭……

    连续几天勒索蠕虫WannaCry都作为霸屏一般的存在,且该勒索病毒源头软件背后的黑客黑客组织放话还要在6月持续放大招,不免令人担心。那么为了应对潜在的恶意攻击,企业该怎么做呢?