最新发布
下一篇:
IT外包服务该如何考量
西方有句熟语“No trust, no trade”,也就是说“没有信任就没有生意。”在IT外包中,信任尤为重要。因为客户需要把自己部分的IT职能转移到外包服务提供商上,让其代替维护和管理,这就意味着客户需要承担一定的安全风险。那么,面对用户外包时,我们应该从哪些方面来说服他们呢?
第一,明确告诉用户,在IT运维中,没有绝对意义上的安全;
第二,明确告诉客户,其实安全不安全的感觉不重要,最重要的是有相应的安全机制去实施保障,而手工提交服务的方式在安全方面是最难控制的;
第三,比较不同服务提交方式的安全性。
相比传统的IT运维,即手工服务提交的方式,工具+手工的方式更加安全。这是因为:第一,在使用工具时,不会出现误操作,因为工具只是执行者,无论是一百次还是一千次,输出的结果都是一样的;而单纯手工操作就可能出现很多人为的错误;第二,使用工具提交服务时,所有的操作是可以留痕的,即使出现安全问题,也可以查出根源,而手工操作则不然,因为当你提供服务时,客户不可能始终看着你,即使能做到全程跟踪,也无法有效规避恶意的人为操作与盗取数据。
为进一步加强外包服务的安全性,还可按照以下2个方面来部署。
第一, 使用工具来提交服务,工具的安全机制包含:
1、所有的关键服务提交都可以留痕,一旦出现安全问题,可迅速定位并查出结果;
2、可以灵活地进行授权管理,使不同水平、层级的IT运维人员拥有不同的管理权限;
3、日常的服务主要是对用户的系统层面、应用程序层面等IT基础架构方面的运维管理,而不是管理其隐私文件。如果用户担心,还可以主动关闭“远程控制”功能,一旦关闭,正常的运维管理工作还将继续,但是其个人文件将无法远程访问;
4、代理和服务器之间的所有通信进行加密,以防止中间人攻击(man-in-the-middle attack),其加密密钥在每次服务器向代理分派任务时都进行滚动(一般每天至少一次)。
5、客户端采用密码与随机挑战密码的组合,并通过算法进行搅乱混杂。这种独特的随机挑战方案可有效防止中间人攻击。
第二,建立有效的人员保密机制。
外包服务提供商公司的人员通常都需要签订保密协议,用合同的机制规范相关人员的行为,一旦泄密需要支付巨额的赔偿。
BPO网版权及免责声明
1、凡本网注明:“BPO网”或者“原创”的所有作品,版权均属于BPO网所有,其他媒体、网站或个人转载使用时必须注明:“文章来源:BPO网”。违反上述声明者,本网将追究其法律责任。
2、凡本网注明“来源:XXX(非BPO网)”的作品,均转载自其它媒体,转载目的在于传递更多信息,并不代表本网赞同其观点和对其产生的任何结果负责。
BPO公众号