在發(fā)明計(jì)算機(jī)前，圍繞業(yè)務(wù)合作伙伴的安全問(wèn)題就已經(jīng)是現(xiàn)實(shí)。為便于討論，業(yè)務(wù)合作伙伴是指和你的企業(yè)有業(yè)務(wù)關(guān)系的個(gè)人或組織，并且作為合作關(guān)系條款中的內(nèi)容，他們能夠訪問(wèn)一些敏感數(shù)據(jù)或系統(tǒng)。

當(dāng)組織和業(yè)務(wù)合作伙伴互相聯(lián)系并且為對(duì)方提供對(duì)內(nèi)部系統(tǒng)更多的訪問(wèn)時(shí)，更多的信息安全挑戰(zhàn)就產(chǎn)生了。因?yàn)闃I(yè)務(wù)合作伙伴通常與受信任的內(nèi)部人員或外包商一樣，擁有相同的數(shù)據(jù)或系統(tǒng)訪問(wèn)級(jí)別，組織承受著許多顯著的信息安全挑戰(zhàn)，這與組織已經(jīng)面對(duì)的內(nèi)部威脅風(fēng)險(xiǎn)相似。業(yè)務(wù)合作伙伴的特權(quán)訪問(wèn)只是放大了風(fēng)險(xiǎn)，像任何內(nèi)部人員一樣、業(yè)務(wù)合作伙伴能夠繞過(guò)為阻撓外部或非信任源訪問(wèn)而設(shè)置的安全控制。

組組織需要進(jìn)行盡職調(diào)查，以確保其免受于業(yè)務(wù)合作伙伴所帶來(lái)的風(fēng)險(xiǎn)。本文中，我們探討涉及到業(yè)務(wù)合作伙伴的典型風(fēng)險(xiǎn)以及緩解這些風(fēng)險(xiǎn)的方法。

涉及業(yè)務(wù)合作伙伴的典型風(fēng)險(xiǎn)

涉及到業(yè)務(wù)合作伙伴的典型風(fēng)險(xiǎn)主要依賴于訪問(wèn)的類(lèi)型、數(shù)據(jù)和可供訪問(wèn)資源的風(fēng)險(xiǎn)級(jí)別。業(yè)務(wù)合作伙伴能以許多不同的方式訪問(wèn)內(nèi)部的網(wǎng)絡(luò)：直接的物理訪問(wèn)、本地或遠(yuǎn)程的憑證登錄。從業(yè)務(wù)流程的角度來(lái)看，這樣的訪問(wèn)對(duì)于業(yè)務(wù)合作伙伴扮演的角色是關(guān)鍵的，但是從安全的角度來(lái)看，這種情況是設(shè)想合作伙伴知道如何并且負(fù)責(zé)地使用該訪問(wèn)權(quán)限。不過(guò)，現(xiàn)實(shí)情況不總是這樣的。

類(lèi)似地，另一個(gè)風(fēng)險(xiǎn)是，與你的組織相比，業(yè)務(wù)合作伙伴實(shí)行的信息安全實(shí)踐不太安全。在一些合作伙伴組織中，共享個(gè)人的登錄憑證就像常規(guī)一樣，這可能導(dǎo)致伙伴的訪問(wèn)權(quán)限被竊取或是無(wú)意地被用來(lái)攻擊你的系統(tǒng)。通常這種使用合法的訪問(wèn)憑證、通過(guò)受信任的連接進(jìn)入的攻擊手法很難偵測(cè)。例如，如果業(yè)務(wù)合作伙伴的系統(tǒng)設(shè)定為能通過(guò)SSH經(jīng)由因特網(wǎng)遠(yuǎn)程訪問(wèn)他們的網(wǎng)絡(luò)，一旦他們使用的單因素認(rèn)證和密碼被惡意軟件捕獲或是被暴力破解，攻擊者就可以使用這個(gè)賬戶通過(guò)受信任的網(wǎng)絡(luò)連接攻擊你的系統(tǒng)。在業(yè)務(wù)合作伙伴的網(wǎng)絡(luò)到你的組織間使用受信任網(wǎng)絡(luò)連接，使得該攻擊難以偵測(cè)，因?yàn)樗赡懿粫?huì)通過(guò)你的邊界安全檢測(cè)。

另外，業(yè)務(wù)合作伙伴可能訪問(wèn)、存儲(chǔ)或處理數(shù)據(jù)的風(fēng)險(xiǎn)，會(huì)因業(yè)務(wù)合作伙伴關(guān)系的不同而不同，但是比起訪問(wèn)系統(tǒng)來(lái)說(shuō)，這可能會(huì)有更大的風(fēng)險(xiǎn)。如果業(yè)務(wù)合作伙伴存儲(chǔ)像社會(huì)保險(xiǎn)號(hào)這樣的敏感數(shù)據(jù)，并且他們的安全防線被突破，你的組織可能需要負(fù)責(zé)把這個(gè)安全事故、相關(guān)的成本和潛在的責(zé)任告知你的顧客，即使你的安全沒(méi)有直接地受到損害。對(duì)于合作關(guān)系來(lái)說(shuō)，更嚴(yán)重的風(fēng)險(xiǎn)是與業(yè)務(wù)合作伙伴共享的知識(shí)產(chǎn)權(quán)遭受任何未授權(quán)的訪問(wèn)。

緩解和管理業(yè)務(wù)風(fēng)險(xiǎn)的方法

總之，管理與業(yè)務(wù)合作伙伴安全有關(guān)風(fēng)險(xiǎn)的最佳方法是，實(shí)施強(qiáng)大的安全控制。你的組織能夠?qū)嵤┮韵逻@些技術(shù)，來(lái)確保業(yè)務(wù)合作伙伴對(duì)你組織系統(tǒng)訪問(wèn)的安全：對(duì)所有的數(shù)據(jù)傳輸使用加密的連接，要求所有的訪問(wèn)通過(guò)使用強(qiáng)認(rèn)證個(gè)人帳戶，記錄所有的訪問(wèn)和活動(dòng)，然后審閱這些日志來(lái)尋找可疑的活動(dòng)。合適的業(yè)務(wù)控制包括對(duì)新用戶的正確授權(quán)，由管理層審閱訪問(wèn)列表以及合同中定義合作的關(guān)系。

與業(yè)務(wù)合作伙伴的合同應(yīng)該包括對(duì)安全控制的引用，包括希望伙伴滿足的職責(zé)和期望，例如員工必須遵守一樣的安全策略。該合同應(yīng)該包括關(guān)于報(bào)告安全事故、保護(hù)系統(tǒng)和數(shù)據(jù)所需提供的最少的安全控制的細(xì)節(jié)，以及訪問(wèn)方面的細(xì)節(jié)。包含以上條款的合同，或是對(duì)已存在合同的內(nèi)容補(bǔ)充，會(huì)有助于確保對(duì)雙方的期望得到理解。

對(duì)于那些不尋常、或是涉及到安全團(tuán)隊(duì)認(rèn)為可能帶來(lái)更高安全風(fēng)險(xiǎn)的業(yè)務(wù)合作伙伴安排，你的組織可以進(jìn)行風(fēng)險(xiǎn)評(píng)估，這是在執(zhí)行合作關(guān)系前應(yīng)努力一部分。這可以確保管理層和其他利益相關(guān)人理解賦予業(yè)務(wù)合作伙伴訪問(wèn)你們系統(tǒng)所涉及到的技術(shù)風(fēng)險(xiǎn)，本質(zhì)上，這是讓管理層推進(jìn)合作關(guān)系的決策，（對(duì)合作伙伴）進(jìn)行專(zhuān)門(mén)的控制來(lái)降低風(fēng)險(xiǎn)，或是選擇不發(fā)起業(yè)務(wù)合作。

管理業(yè)務(wù)合作伙伴或是受信任內(nèi)部人員的風(fēng)險(xiǎn)另外的方法是，記錄并定期審查日志，從而尋找可疑的行為。根據(jù)日志的數(shù)量，這可能需要自動(dòng)的工具來(lái)幫助辨識(shí)需要人工調(diào)查的事件，但理想情況是，你的安全團(tuán)隊(duì)已經(jīng)有合適的日志審查能力來(lái)做這個(gè)事情。

一開(kāi)始，如果你實(shí)施強(qiáng)大的安全控制、進(jìn)行風(fēng)險(xiǎn)評(píng)估或是定期地審閱相關(guān)日志，會(huì)讓你的業(yè)務(wù)合作伙伴覺(jué)得你不信任他們。如果對(duì)于所有的業(yè)務(wù)合作伙伴遵循一樣的實(shí)踐和評(píng)估模型，就會(huì)很容易讓潛在的業(yè)務(wù)合作伙伴將那些作為標(biāo)準(zhǔn)，從而盡職盡責(zé)。同樣你要謹(jǐn)記，如果你沒(méi)有遵守對(duì)業(yè)務(wù)合作伙伴提出的安全需求，業(yè)務(wù)合作伙伴可能會(huì)對(duì)提供你的組織到它們系統(tǒng)的任何訪問(wèn)感到擔(dān)心，并使兩者間的關(guān)系變得緊張。

管理業(yè)務(wù)合作伙伴風(fēng)險(xiǎn)：結(jié)論

毋庸置疑，在當(dāng)今以計(jì)算機(jī)為中心的世界中，為快速地和有效地進(jìn)行業(yè)務(wù)，新的業(yè)務(wù)交互和賦予業(yè)務(wù)合作伙伴訪問(wèn)權(quán)限已經(jīng)引起了新的風(fēng)險(xiǎn)。對(duì)系統(tǒng)和數(shù)據(jù)新增的訪問(wèn)權(quán)限給組織增加了風(fēng)險(xiǎn)點(diǎn)，但是圍繞業(yè)務(wù)合作伙伴的這些安全風(fēng)險(xiǎn)是可以成功緩解的。記住，盡管業(yè)務(wù)合作伙伴安全風(fēng)險(xiǎn)總會(huì)以某種形式存在，但最終安全的角色是為業(yè)務(wù)領(lǐng)導(dǎo)者提供建議，關(guān)于這些風(fēng)險(xiǎn)、以及如何控制到位從而最大程度地緩解這些風(fēng)險(xiǎn)。