監(jiān)理公司管理系統(tǒng) | 工程企業(yè)管理系統(tǒng) | OA系統(tǒng) | ERP系統(tǒng) | 造價咨詢管理系統(tǒng) | 工程設(shè)計管理系統(tǒng) | 簽約案例 | 購買價格 | 在線試用 | 手機APP | 產(chǎn)品資料
X 關(guān)閉

如何加強外包安全策略

申請免費試用、咨詢電話:400-8352-114

來源:泛普軟件

在過去的幾周內(nèi),并沒有出現(xiàn)什么重大的安全漏洞,所以,John McCormick有機會將他的重點放在最近發(fā)生的一系列的重要數(shù)據(jù)安全的事件上。通過研究這些事件,可以從中找出創(chuàng)建更強的安全策略的重要性,并且可以從中看到最近在安全領(lǐng)域內(nèi)都發(fā)生了什么事情。。

雖然在這一周沒有出現(xiàn)重大的安全漏洞,但是最近發(fā)生的幾起關(guān)鍵數(shù)據(jù)安全的事件向人們強調(diào)了在討論外包和收購的過程中創(chuàng)建有效的安全策略的重要性。

細節(jié)
由于在最近幾周中沒有出現(xiàn)重大的安全漏洞,因此我想將我的注意力集中于最近發(fā)生的那些影響到安全策略的事件上,而不是放在攻擊安全漏洞的新聞上。但是在本文的末尾,你可以找到一些與安全漏洞相關(guān)的信息。

如果你想對外包給出另外一個管理警告的理由的話,最近在印度的花旗銀行(Citybank)發(fā)生的新聞可以給你提供更多的理由。為了加快項目的速度,花旗銀行將他們呼叫中心的客戶服務(wù)業(yè)務(wù)外包給印度的一個本地化團隊,但是這個團隊中有人泄漏了花旗銀行在美國客戶的密碼和其他賬戶信息,從而導(dǎo)致了大量的欺騙性采購,花旗銀行為此損失了425,000美金。到目前為止,當局目前已經(jīng)逮捕了16個人(對于這個問題,要想得到印度方面的觀點,可以從印度的快報的網(wǎng)站上得到這個故事的詳細情況。)

當然,問題并不是印度的呼叫中心的工人會盜用而美國本土員工就一定不會盜用,現(xiàn)在的騙子還是很多的。更合適一點的說法是,這個事件只能突出這樣一個事實:使用本地工人比外包到海外要安全的多。

還有要記住的很重要的一點是:各個國家保護公司防止被欺騙以及懲罰那些犯罪分子而使用的法律都有著很大的不同。換句話說,在美國看來是非法的事情可能在另一個國家根本就不是一種犯罪。

我在這個專欄中寫出這篇文章,并不是要將大家的注意力集中到印度這個國家。事實上,印度當局對這個欺騙事件非常關(guān)注,并且可能會使用所有必要的法律武器來懲罰這些犯錯誤的人。但是這也不是一個孤立的事件:我們使用外國勞動力的機會在不斷增加,而第三世界國家也認識到他們可以從中分一杯羹,并且他們可以不斷增加外包份額。

由于安全方面的原因造成一定的損失而要起訴一個本地的公司的話,這將是非常困難的。你無法想象,要想從一個完全不同的法律體系的國家中的公司或者個人那里獲得賠償是多么的困難?

從另一方面來說,有些經(jīng)理可能會看到印度當局所采取的快速行動,并且作為補充,他們可能還會注意到印度當局發(fā)現(xiàn)欺騙的速度,如果這些事情發(fā)生在美國,并且如果不涉及到某些本國居民的話,他們可能永遠不會看到這種案件的曙光,因為這些案件首先要經(jīng)過政府那強有力的盜竊身份的法律確認,而要實現(xiàn)這一點往往是遙遙無期的。

如果你的公司在印度有業(yè)務(wù),或者準備將關(guān)鍵任務(wù)外包到印度的話,你首先應(yīng)該看一看印度的有關(guān)網(wǎng)絡(luò)方面的法律--可以在Naavi.org這個網(wǎng)站上看一看有關(guān)的報告。在這里我所能夠說的是,我還不清楚在這個案例中,這個印度的呼叫中心公司的財政要承擔的責任是什么,但是我敢打賭,花旗銀行在這個案例中所花費的律師費遠遠比實際損失的客戶的要多得多。

與此同時,在與上述故事無關(guān)的另一個案例中,最近在LexisNexis 公司出現(xiàn)的安全問題造成的損失是該公司最初報告的十倍還要多。一開始,該公司并沒有重視這個威脅,這個威脅與the ChoicePoint debacle非常相似。LexisNexis最初報告了這個并不嚴格的安全手續(xù),并且說明這個不嚴格的安全手續(xù)可能導(dǎo)致公司損失了超過30,000人次的數(shù)據(jù)記錄。然而,在四月12日,公司再一次公開發(fā)布的報告中承認大約有接近310,000個美國公民受到這個不嚴格的安全手續(xù)的影響。

這個問題中最麻煩的部分不是安全手續(xù)太過脆弱,而最重大的新聞也不是大多數(shù)公司的大多數(shù)安全手續(xù)都很脆弱。最重大的新聞是那些公司既沒有認識到這個問題所影響的范圍,或者說它們可能知道這個問題但是幾個星期以來一直沒有通知公眾。

對于那些不知道的人來說,特別是LexisNexis公司所犯下的錯誤,他們沒有正確的對通過收購所獲得的數(shù)據(jù)倉庫公司——位于佛羅里達的Seisint公司的現(xiàn)存客戶基進行篩選。這個細微的失誤因此也導(dǎo)致了重要的安全漏洞,這也很可能會影響到很多其他的公司。各個企業(yè)不能僅僅滿足于對收購所獲得的數(shù)據(jù)庫的安全手續(xù)進行后向檢驗,因為他們自己的安全手續(xù)往往都是很堅實的。

(個人聲明:LexisNexis是一個包含大量商業(yè)信息的數(shù)據(jù)庫,并且這個數(shù)據(jù)庫是一個合法的數(shù)據(jù)庫。我原來為總公司--Reed Elsevier LLC工作,但是現(xiàn)在我不再為這個公司工作,并且我從來沒有與LexisNexis數(shù)據(jù)庫自身連接過。)

最后的話語
需要大家記住的是,我并不是在這里要專門挑剔印度的外包呼叫中心。我在這里只是從法律和財務(wù)的觀點出發(fā),強調(diào)外包不僅僅是一個節(jié)約費用的問題,它比我們所要求的復(fù)雜的多。

任何正在集成數(shù)據(jù)或者客戶列表的公司都應(yīng)該注意這方面的問題,因為任何購買數(shù)據(jù)庫或者進行公司收購的公司的心中都應(yīng)該記住LexisNexis公司的那個報告。因為你不知道那個最初創(chuàng)建授權(quán)客戶列表的公司中安全狀況是好還是壞。

相關(guān)參看


在這里我想用一個簡短的提示來提醒那些閱讀本專欄的政府或者承包政府網(wǎng)站的網(wǎng)站管理員們。在這個月的早些時候,F(xiàn)BI在阿邁阿密逮捕了一個很重要的黑客--委內(nèi)瑞拉的Rafael Nunez-Aponte("RaFa")。RaFa曾經(jīng)讓美國空軍陷入窘境,并且在黑客團體中有很多朋友,這次逮捕RaFa將有可能導(dǎo)致協(xié)同攻擊政府的網(wǎng)站,而且那些通過咨詢與政府有密切關(guān)系的網(wǎng)站以及其他與政府有合同關(guān)系的網(wǎng)站都有可能遭受這種攻擊。
 

世界上最著名的計算機學(xué)校之一,也是CERT的發(fā)源地,位于匹茲堡的卡耐基梅隆大學(xué)已經(jīng)報告了這樣一種危害:有人危及到他們保存?zhèn)€人信息的學(xué)校數(shù)據(jù)庫。包括已經(jīng)記錄的1600名現(xiàn)有的研究生以及從1997年到2004年已經(jīng)獲得研究生學(xué)位的校友錄、從2002年九月開始到2004年五月為止的申請碩士學(xué)位的規(guī)劃,以及從2003年開始申請博士學(xué)位的規(guī)劃,還有Tepper商學(xué)院的管理員工記錄。
 

在4月15日,微軟悄悄的發(fā)布了一個補丁,修補了Windows 媒體播放器中的一個已知的安全漏洞,相關(guān)信息查閱知識庫文章892313。這個安全威脅適用于媒體播放器的9和10版本,可能讓黑客通過數(shù)據(jù)版權(quán)管理特征來進入系統(tǒng)。
 
微軟還發(fā)布了另一個安全公告MS05-002的2.0版本,從另一個角度說明這個更新是為Windows 98、Windows SE、以及Windows ME所提供的。查看一下公告上的新版本,看一看這個漏洞是否影響到了你的系統(tǒng)。
 

另外,微軟還更新了安全公告MS05-009的2.0版本。這個更新是為Windows的信使4.7.0.2009 (只有Windows XP SP1有這個版本)提供的,因為該系統(tǒng)在使用SMS或者自動更新時無法安裝原有的補丁。
 

微軟已經(jīng)使用一個次要的修訂版(1.2)修改了安全公告MS05-010,其中包含了有關(guān)緩解因素的新信息。
 

微軟的安全公告MS05-017、MS05-021以及MS05-023也已經(jīng)有了次要修訂版。
 
IBM 已經(jīng)為Lotus Notes以及Domino系統(tǒng)中新發(fā)現(xiàn)的多個安全漏洞發(fā)布了補丁,最嚴重的安全漏洞是緩沖區(qū)溢出,這個漏洞可能導(dǎo)致DoS攻擊,至少IBM 是這么認為的。是下一代安全軟件(NGSS)組織發(fā)現(xiàn)了這個安全威脅,并且將其報告給了IBM,據(jù)說這個安全漏洞可能允許執(zhí)行任意代碼,當然這是一個非常嚴重的問題。為了安全起見,NGSS將在隨后的幾個月中保留這六個安全漏洞的詳細說明,但是Secunia已經(jīng)將他們定級為高級別的安全問題。
 
很顯然,黑客惡意軟件方面的blog也在增生擴散,因為他們完全不需要經(jīng)過檢驗、并且是匿名和免費的。根據(jù)最近的幾個報告,比如說來自Vulnet.com的報告,網(wǎng)絡(luò)犯罪分子開始轉(zhuǎn)向使用blog來存儲任何大小的惡意代碼,從而實現(xiàn)黑客能夠利用其特洛伊木馬訪問其他網(wǎng)絡(luò)的目的。
 
根據(jù)News.com的報告,已經(jīng)發(fā)現(xiàn)了更為嚴重的Mozilla Firefox 安全漏洞,而且Secunia已經(jīng)將他們定級為高級別的安全問題。在最近發(fā)布的公告(Firefox 1.0.3)中,公布了九個安全漏洞,其中包括跨站腳本漏洞(cross-site scripting )以及安全旁路(security bypass )等安全漏洞,以及一個許可證完全系統(tǒng)的漏洞。我認為,實際上還有很多新的問題,但是很難確定在Firefox的布告中是否包含了所有新發(fā)現(xiàn)的安全缺陷。
 
美國戰(zhàn)略指揮部(STRATCOM)的司令官James Cartwright上將最近宣布,他將向國會介紹在他領(lǐng)導(dǎo)之下的一個中堅黑客部隊。這個黑客部隊名為"網(wǎng)絡(luò)戰(zhàn)聯(lián)合功能構(gòu)成司令部(Joint Functional Component Command for Network Warfare,JFCCNW)",這個部隊將負責保護五角大樓的系統(tǒng),但是它也包括具備針對那些外國軍隊和政府目標的黑客攻擊能力。

作者簡介
John McCormick是一個安全咨詢專家,并且是IT領(lǐng)域的一個知名作家,公開發(fā)表了17000篇文章。他為TechRepublic的ITLocksmith專欄寫了四年多的文章。(zdnet)

發(fā)布:2007-04-23 09:38    編輯:泛普軟件 · xiaona    [打印此頁]    [關(guān)閉]
石家莊OA系統(tǒng)
聯(lián)系方式

成都公司:成都市成華區(qū)建設(shè)南路160號1層9號

重慶公司:重慶市江北區(qū)紅旗河溝華創(chuàng)商務(wù)大廈18樓

咨詢:400-8352-114

加微信,免費獲取試用系統(tǒng)

QQ在線咨詢

泛普石家莊OA快博其他應(yīng)用

石家莊OA軟件 石家莊OA新聞動態(tài) 石家莊OA信息化 石家莊OA快博 石家莊OA行業(yè)資訊 石家莊軟件開發(fā)公司 石家莊門禁系統(tǒng) 石家莊物業(yè)管理軟件 石家莊倉庫管理軟件 石家莊餐飲管理軟件 石家莊網(wǎng)站建設(shè)公司