外包合作成企业信息安全短板，该如何加强防控措施？

       大数据时代，企业对新技术需求不断增多，出于成本以及管理效益考虑，不少企业会将部分业务外包给其他公司或组织，很多外包工作也都会涉及数据处理问题，然而外包公司或缺乏有效安全防护措施，或不能与企业内部的安全管理水平匹配，导致外包成为企业信息保护的缺口。

       由于外包风险管控不力，导致业务中断、敏感信息泄露等事件时有发生。现在已经有不少数据泄露事件发生在外包、转包流程中，外包业务的数据处理过程中存在的各种泄密渠道，如外设拷贝、IM、邮件和网络上传等，很容易成为企业机密泄露的隐患，此外终端管理的缺失也会给企业带来更多系统风险。

外包存在的信息安全隐患

  1、敏感数据泄露风险 

       开展外包业务时，需要给对方发送部分业务数据、项目资料等，这些重要机密存放在外包人员的电脑上，该如何保护它们的存储安全？项目合作过程中，企业也要堤防终端的重要文件遭遇恶意损坏而无法恢复的风险，此外我们也要给对方一定的服务器访问权限，该如何保证访问下载安全？这些业务数据、项目资料等，一旦泄露或损坏，会给企业带来难以估量的损失。

  2、非法的网络访问行为

       对外包人员开放网络访问权限，如果没有进行相应的管控，很容易出现非法的网络访问行为，如未授权人员接入办公网络，外包人员随意访问内部核心区域，外包人员使用通讯设备进行非法行为等。

  3、终端使用缺少管理

       通常情况下，外包人员的终端需要接入公司内网开展工作，然而我们无法确定外包人员的终端环境，外包人员随意使用USB或网络端口，随意安装不明来源应用软件，以及操作系统存在安全漏洞等，因为没有部署与公司一致的终端安全管理系统，许多终端行为无法得到规范管理，容易出现病毒入侵、系统被破坏的风险。

  4、缺乏审计，难管控、难追溯

       针对外包合作行为，企业大多采取“事后追责”的机制，然而大多数据泄露行为都不为人知，只有引起企业或他人察觉，或造成严重后果的数据安全问题才有被逐个监察的可能，而缺乏审计依据，让事后追溯变得困难。

外包信息安全解决方案

       企业在选择外包服务机构时，除了要对服务商进行充分的背景调查和信息安全管理能力进行评估，还需要配套切实可行的技术手段和管理工具，落实相关信息的保护。

       对此，亚讯信息也有专门的外包信息安全管控方案，帮助企业合规管理外来人员访问、保护重要文档安全以及强化文档操作审计，补全外包这块信息安全缺口。

  1、相关资料信息加密保护，确保机密可控安全

       在进行外包时，有必要提前对敏感信息进行加密保护，对其设置访问、操作等权限，防止敏感信息泄露和不当使用。不仅可以帮助企业对重要文档加密，还可以对不同敏感程度的机密进行分级分类保护，管控加密文档的访问权限，防止无关人员访问机密，重要资料发送给外包人员，加密措施也伴随着，可以一直保护资料在外安全。

       企业还可以应用安全网关限制访问系统服务器的权限，防止非授权人员访问，同时结合文档加密功能，对从服务器中下载到本地的文档进行自动加密，避免服务器的数据被外泄。

  2、严格控制终端网络接入和访问权限

       可以帮助规范外包人员的网络接入，严格控制内部网络与外部网络的连接，同时加强接入内网的主机检测，检测接入的终端客户端是否安装杀毒软件、补丁是否修补，规定的软件是否安装等，无法通过合规检测的客户端主机禁止访问核心服务器区域。

同时还可以限制外接设备接入终端，如对USB存储、刻录、智能手机等各种外设的使用权限进行管控，防止信息泄露。

  3、桌面安全管理，降低系统风险

       可以帮助集中管理接入内网的终端主机，规范化管理企业内的软件安装卸载使用，对外接设备进行控制，以及对全网终端的系统漏洞进行检测并统一分发安装补丁，实现桌面的安全规范管理，降低系统安全威胁。

  4、文档传输规范，防止机密外泄

       对邮件、IM和网络上传等常见文档传播途径进行严格规范，可以有效防止机密外泄。支持对QQ、微信等主流即时通讯工具的文档、图片和截屏的外传行为进行管控，同时还可以帮助有效防范拍照、截屏和打印等泄密行为。

  5、备份重要文档，防止文档丢失

       文档云备份系统支持将终端的文档上传到文档云备份服务器，进行集中存储和管理，企业可以将项目合作中的重要文档提前备份，防止设备丢失、非法带离和外包人员离场等原因导致机密文档的损坏或丢失，以及防止勒索病毒或者人为恶意损坏，导致文档不可用时，可以快速恢复原有文档，及时恢复被影响的业务。

  6、审计终端文档操作，掌控文档的交互和流转

       外包所涉及的文档的使用行为掌控得越详细，对后期的审计越有利。系统可以帮助全面记录文档全生命周期、邮件、网络上传、USB、移动存储设备等终端行为的操作日志，对终端操作行为、文档各种流通情况进行全面审计，并通过定期输出报表进行统计分析，帮助快速发现潜在风险。

       总之，亚讯信息终端安全管理系统涵盖信息防泄露、终端行为管理与审计、文档备份、病毒防控、准入控制以及资产运维管理等管控项目，企业可以根据外包业务特点，部署相应安全管理措施，确保外包服务中的信息安全。

       企业业务的形式越趋多样化，在一定程度上给我们的信息保护增加了难度，不过只要我们加强对机密文档的源头保护，以及对接入企业内部的外部终端进行管控，建立一套相对完善的信息防泄露体系，就可以很好地避免外包等新业务成为我们信息保护的短板，影响业务的正常开展。