外包选择管理规范的合作伙伴,有合适的管理方案安全是可以保证的,即使不外包内部人员一样有信息泄漏的风险,信息安全不安全不完全取决于是否外包,而是在于公司是否会为信息安全投入资源!
整个项目全部外包?你们的心真大!看你们是什么类型的公司,如果是互联网公司,正了八经打造一个自己的技术团队吧,外包哭死你!如果it这只是一小块,建议请一个全栈开发工程师,然后把非核心的模块可以外包给别人做
你能保证你找的公司正规,保密,你能保证他们公司的员工有素质么,是吧,到时候发生了泄密,都说是临时工!
我不做外包,但从一个长期合作伙伴以及自己公司的使用外包的情况,说一下吧
IT外包在我们公司很正常,我们公司是外企,全球的IT都外包。他们有驻场的,也有远端集中的服务中心。我们公司也会有人衔接外包公司,包括所有IT外包期间的项目和运维。员工信息外泄,觉得好像没有什么防范。不过公司内部的客户信息,项目信息,商务上的文件和数据倒是有很严格的规范,权限管理还是很严的。就算员工也只能找到和自己相关的信息的授权,其他依赖系统。就连邮件系统都是使用微软的云端的outlook。
我觉得我们公司是极度相信大企业提供的IT服务。
我们的一个长期合作的伙伴是一家国企,他的IT是使用人力外包的方式从外包公司雇人驻场服务,少量自己公司的员工,大量的外包人员。感觉上还是很多漏洞,部分敏感的信息的归自己员工负责,其他都交给外包的人。外包公司的人员流动虽说不频繁,但工资待遇和正式员工还是有差距,活又多又累,人还是浮躁的。对于这家企业,也习惯了,活只要有人干,流动就流动吧。
信息外泄也是他们头等大事,现在也在出台很多规范补漏。随机突击检查,定期扫描,CCTV监控,完善门禁登记等。搞到最后,总要在效率和严防之间有一个取舍?
本人从事金融软件工作,就结合自己的工作来谈谈楼主对it外包的数据泄密风险问题。就拿我们公司的系统来说,以前几乎90%都是通过外包公司开发的,这几年随着金融科技的高速发展,科技人才队伍不断壮大,系统自主可控率才逐步提升。但仍有相当多的系统仍然依赖外包公司来开发,今天就从以下几个方面来谈谈外包对信息安全的影响:
1、人力外包模式,俗称的“卖人头”。这种模式基本外包公司就是提供人头,结算以人力投入为依据,说白了就是外包公司一个月在甲方投入多少人力,就拿多少钱,具体外包人员干什么活,完全由甲方安排。这种模式的外包合作,个人认为对信息数据的保护还是存在比较大的风险的,因为外包公司无法直接管控到每个外包人力的工作内容,而甲方大部分也仅仅是分配任务,对外包人力的管理存在局限性,也仅仅只能靠规章制度来约束外包人力。
2、项目外包模式。这种模式一般就是将整个项目打包给外包公司完成,外包公司一般都有成熟的产品,在现有产品基础上结合客户需求进行改造,同时项目会配备完善的项目管理,组建项目组,项目经理对整个项目负责,能有效的降低数据泄密的风险。
3、不管是人力外包还是项目外包,当前软件开发的模式大部分都要求进驻甲方的办公场所,而且一般甲方会提供办公设备或开发终端,在安全部门的严格监督下,数据一般都是只进不出,从技术上提供了防止数据泄露的保障。
4、生产环境的信息数据才有利用价值,而外包人员一般很难能直接从生产环境提取到信息数据,哪怕要提取也要经过一道道的程序,很容易被发现。
5、如果担心外包引起信息数据泄露,那在与外包合作的合同上明确权责,这样出现了泄露事件,可以第一时间对外包公司进行追责,外包公司也就会更加重视信息安全。
信息安全关乎每个人的切身利益,大家务必重视!!!
不安全,就算不是外包,完全自主掌控的话,也不安全。
我认为 IT 的安全可以分成这么几个部分:
数据泄露:比如公司有一些敏感数据的话,是万万不能泄露出去的,比如客户信息,包括客户的姓名、证件号、手机号、家庭住址等等;再比如一些订单信息,甚至每天的订单量,这些都是公司的商业机密。
数据丢失:这里的丢失不是被拷走的意思,而是数据被删除,不能恢复的意思。
代码泄露:有些人可能认为代码泄不泄露也没啥影响,觉得咱们写的大部分项目都是增删查改,没有什么可保密的;抛开一些值得进行保护的代码,一般项目的代码泄露,可能会导致数据库配置的泄露,同样会威胁到数据的安全;已经发生过很多次,开发人员直接将单位的代码上传到网上公开的代码托管平台,导致数据库配置泄露,被不法分子利用。
那么回到题目,想将 IT 外包出去,又担心公司信息泄露,我建议可以这样做:
外包和自主掌控相结合如果公司有一定 IT 能力的话,建议采用外包和自主掌控相结合的方式推动;一些关键性的内容,还是掌握在自己手里比较好。
比如数据库的维护,就不要轻易让外包有生产环境的权限了,这样至少可以排除一定的风险。
对于内部员工,也需要加强权限管控,不同的岗位,应该有不同的操作权限:比如 DBA 的权限最大,开发人员只需要有对表中的数据有读取和操作权限即可,测试人员的话只需要只读权限等等;
故障恢复机制也很重要,如果生产上的数据只有一份的话,万一被删除就是致命的。
操作必留痕对于数据库的操作,甚至是系统的操作,是必须留下操作轨迹的;对于一些敏感操作,应该要做预警的;比如数据库中的用户信息表发生数据的导出、下载。
有些心怀不轨的人,虽然没有操作数据库的权限,但是可以通过页面查询到敏感数据,手动复制粘贴,这时候就需要对页面进行脱敏处理展示了;
数据脱敏的意思就是有一些数据不能完整展示,需要遮住一部分字段,比如手机号只展示前三位+后四位,中间四位打成星号。
在技术层面减少数据泄露的风险,同时也需要从管理入手,加强对数据泄露危害的宣导,让员工提高重视;公司敏感数据的泄露,会触犯法律的,严重会被判刑坐牢。
我将持续分享Java开发、架构设计、程序员职业发展等方面的见解,希望能得到你的关注。做点假数据给开发用,系统上线后用真实数据。制定好系统维护,数据导入导出的制度,没有任何一个单位会把全部的数据交给第三方,就算有涉密资质也不行!
专业做IT运维外包10几年了,我们的客户有世界500强企业,也有研发型的高新企业,他们对数据安全都有很高的要求,通常的做法是与我们签订保密协议,并且数据加密,我们在日常工作中接触到的文档,为客户备份的数据,都是经过专业的软件加密的,没有客户的授权,我们根本无法解密,也就无法真正看到文件和数据的内容,也就是说,客户的信息数据都是十分安全的
事先声明,我并不从事IT相关业务,也没有打广告的企图。
可以的。既然你们要外包公司IT,那我就假设你们公司并不是互联网行业,IT业务是辅助作用,而不是你们公司的主业。
一般这种公司要求外包,能降低企业运营成本,减少公司支出费用。通过电话,邮件等提交IT申请,然后外包公司就会通过VPN网络在后台给你解决软件问题,通过外派技术代表到公司解决硬件问题。也有一些公司干脆连电脑,打印机等设备都是租用的,直接轻资产上阵运营。
但是,公司运营不能紧紧看成本降低多少。而是看实际效果。9102年代,离开电脑基本就不用办公了,就算能工作,效率也是极低的。因此还是有以下几个缺点:
1. 通过电话,邮件等沟通的外包公司,只能解决小问题,大问题的时候基本没用。
2. 现代企业还是有不少地方需要自己开发小软件提高工作效率的。例如制作一个适合自己公司业务流程的小型数据库(ACCESS就好,看书都能零基础自己动手做)什么的,简单,实用。自己公司的IT人员也能更好的理解公司业务流程,开发维护软件。外包公司是不会管这些的,你要开发任何软件都要重新报价付费,而这还是不涉及后期维护或者软件修改的费用。
总之,外包可能会降低自己公司生产成本,但基本不可能再提高生产效率。如果只是小型公司就还好,中大型企业基本可以告别效率了。
哦,对了,还有数据安全这一块。一般来说还是安全的,外包公司只负责你的防火墙外围,但不能解决内部密码。例如说,你有一个加密文件,它要得到你的文件并解密跟外部黑客获取你的文件方式是一样的,非法破解密码也是一样的。并无更容易的方法,反而外包公司还要维护你的网络安全,这样也是跟自己IT部门基本一样。只是自己IT部门解决不了的网络安全问题时,他可以选择拔网线,而外包公司无法远程拔掉物理网线。
综上所述,是否外包公司IT其实也是利弊掺半的事情,但我个人觉得对于中大型企业来说,弊大于利。
从事软件开发多年,对于软件这块还是不太建议外包的方式,外包虽然是一种非常快速的让那个企业拥有产品的一种方式,但是外包隐患还是非常巨大,特别是一些规模不是很大的外包公司,本身里面人员就不太稳定,如果出现一个问题很可能当初的代码和相关的技术场景都很难还原,但是外包行业还是存在很大的市场,外包是能够解决这么一种场景需要一种定制化的产品,但本身在资金或者人员配置不够,为了业务的需要还要去做,于是找到外包公司给完成,本来是一种双赢的工作,但因为软件技术开发的特殊性还是会遗留很多问题。
外包里面到底有多深的水如果条件允许的情况下,还是建议找正规外包公司,虽然费用贵点起码品质能够保证。像华为很多项目都是外包来完成,品质也是能够保证,主要原因华为公司平台比较强,能够源源不断拿到大的订单,所以配套的外包公司重视程度也会不一般,所以在质量以及售后的保障上都能跟得上,哪个外包公司敢得罪华为这个金主,到了这种性质的外包质量还是非常可靠的,而且很多给华为做外包的企业员工,在做完这个项目之后就加入华为公司了,外包公司属于弱势一方。
如果真的需要项目的外包还是建议找正规一点的外包企业,这样在后期维护方面还能跟得上,小的外包公司风险相对会比较大。
小的外包公司风险较大。小的外包公司相对来讲价位会便宜一些,功能的修改也会更加随意一点,但是由于人员的配备问题,在初期功能完善的非常快,关键是后期需要增加新的功能时候,售后很可能跟不上,而且经常遇见之前主要的开发者已经离职的情况,新的技术人员又不了解情况,毕竟软件类的产品,需要更新修改的地方还是相当多,不是简单的一锤子买卖。有些外包公司为了补加额外的功能费用,还会对服务器上做一些手脚,让一些基本的功能不能正常的运转,这种情况在实际开发过程中遇见过,所以外包软件开发如果不是必须不建议去做。
当然不能简单的认为所有的外包公司都不好,很多外包还是服务非常到位,主要这个行业参差不齐很容易就被各种浑水给搅和了,里面欺生的现象太严重,仗着对方不明白在里面做了很多不光彩的事情,甚至还出现极限的删库问题,只要是外包很多数据肯定是暴露出来了,这种是无法避免的,所以很多企业在外包公司完成之后就开始修改服务器的密码。
如果真是到了必须请外包的地步,建议选择公司大点的企业,而且在合同条款要明确清楚,毕竟软件外包产品后期维护的可能性非常大,不要觉得做完了万事大吉了。很多做外包的程序员做不了几年就转行找个有自己产品的公司,开始新的征程了毕竟外包公司给人的感觉还是没有成就感,希望能够帮到你。