“第三方准入”窥探企业数据

无论第三方是供应商，客户，商业伙伴还是其他，准许对方接触企业数据都会伴有安全风险。包括云计算在内。在云中，数据能够在世界各处快速传递，中途可能已经过多方转手，这就取决于谁能够先于他人得到第一手数据。

第三方准入的威胁

第三方准入一般由第三方自行配置，第三方通常会确保能够随时进入设备内部，迅速解决潜在问题。专业人士表示，根据经验，第三方很少顾及安全问题。准入配置往往不完全。例如，远程进入会设置简单易记的准入密码，机构内的员工都知晓密码。若该机构有员工离职，密码无法及时更改，机构亦无法适当控制密码外泄。当企业提供第三方准入，那是在赌合伙人或客户的谁的安全级别更高一些。

本质上，这使得第三方成为信息安全防御上潜在的漏洞，因为任何对另一方基础设备的攻击都会危害到企业，心怀恶意者会经由漏洞来到企业内网。目前，掌握云计算及虚拟化的机构组织正在增加，竞争者们的数据很有可能储存在同一处。能否确保你的高度机密信息的完整，这一点至关重要。

威胁对象

若合伙人或第三方因安全系数不够，导致信息外泄，会为第三方准入带来威胁，当然公司的信誉也会受质疑，至少会使公司很难堪。此外，如果恶意攻击者进入内部，盗用数据，这会导致财政及信誉损失，最终使客户流失，因为无人会愿意与“不注重信息安全”的机构做交易。”

事实上，不少第三方机构对进入客户系统有着很高的要求。若安全的准入要求不符合要求，当黑客能够进入，并大肆改写系统及数据，使得第三方准入的潜在安全问题变得极其严重。

掌握第三方准入

IDC分析员称，要掌握第三方准入的需求，最重要的方法就是进行风险评估。评估的目的是，确保第三方系统的整体安全性，安全控制性，以及安全层次能够达到你机构所需的标准；评估项目包括，访问合伙人的设备以及数据中心，以确保网络通畅，安全措施到位等内容。

掌握第三方准入的另一方法是，确保第三方对公司系统的有限访问。这样能够确保第三方不会得到不必要的信息。在远离内网的地方，为第三方辟出独立的访问区域。如今，将公司数据交付第三方已是做生意的一贯做法。关键是预防数据外泄，因为可代补偿的费用极其昂贵。

2011年一份关于澳大利亚数据外泄费的调查数据现象，2010年来各公司用于数据外泄调查的费用仅上升了5个百分点。其实5%的数字并没有太不令人诧异，因为澳大利亚缺乏使企业告知客户数据外泄的相关规定。澳大利亚应当尽快强制执行数据外泄的告知规定，这能够给予企业以激励，使他们将类似外泄事件发生率降至最低，而不是总是在数据外泄后忙于善后收尾。这也是国内企业应当学习的重点。

微信扫一扫实时了解行业动态

微信扫一扫分享本文给好友