围绕Stuxnet蠕虫病毒（第一个攻击工业控制系统的网络攻击病毒）的传播情况来看，有点类似这样的情况：攻击者可能已将该蠕虫病毒扩散到俄罗斯技术供应商以试图感染伊朗的核工业。而对于这家未知的俄罗斯公司，该公司员工正在不知情的情况下通过藏在工业控制器代码内的程序感染多个国家的设备。

　　如果情况属实，这将不会是第一次攻击者被用来攻击其客户的情况。在最近很多案例中，攻击者都利用承包商和其他第三方机构作为通往他们目标的桥梁。虽然很多公司对于他们的互联网连接都非常警觉，但很多时候他们对于合作伙伴到自己网络的连接却并不警惕，数据和网络保护公司NetWitness公司的首席安全官Eddie Schwartz表示。

　　“虽然很多时候，互联网连接都受到防火墙的限制，并且对于企业网络也只有有限的访问权限，然而，合作伙伴连接却经常被赋予对客户数据库和其他企业内部关键资源的广泛访问权限，”Schwartz表示。

　　位于防火墙背后的优势让供应商和合作伙伴成为攻击者的热门攻击目标，但近年来这方面的攻击有所减少，根据Verizon公司2010年数据泄漏调查报告的数据显示，在2010年中，供应商涉及11%的数据泄漏事故，而这比2008年同期降低了将近40%。

　　尽管如此，企业如果能与供应商协作做一些准备工作，问题将会少得多，让我们来看看下面三个建议：

　　1、签署协议并且定期审计

　　虽然大型公司都需要遵守法规和定期进行审计，但合作伙伴多数都是中小型企业，并且在保护网络和系统安全以及定期检查网络安全方面都缺乏经验，咨询公司Deloitte公司安全和隐私顾问Srini Subramanian。

　　在近日关于美国州政府安全状态的报告中，国家首席信息官协会与Deloitte公司发现，将近有四分之一的国家IT部门并不知道他们合作伙伴所部署的安全措施，不到一半的部门实际评估或者测试了他们的第三方合作伙伴安全。

　　Subramanian表示，签署安全协议以及拥有获取合作伙伴安全状态的能力能够帮助解除这种威胁。

　　“只是简单地依赖于契约控制和保密协议从长远来看并没有用，”他表示。

　　2、找出和识别企业资产

　　在让合作伙伴访问你的网络之前，找出你们企业所拥有的计算机、打印机、存储和网络设备的情况。如果企业自身都不知道他们网络中有哪些设备的话，将很难阻止攻击者，网络安全公司Bradford Networks公司创始人兼销售工程师Rick Leclerc表示。

　　“建立库存是巨大的一步，”Leclerc表示，“如果我想要找出朋友还是敌人，我必须要先确定所有朋友。我必须确保这个是朋友，而不是虚假的IP地址。”

　　当Bradord公司在初始原型阶段列举客户的网络设备时，他们通常都会发现网络中10%到20%的设备是来路不明的。虽然这些设备可能是员工带来公司的iPad，也可能是恶意接入点或者通过其他方式规避企业安全的员工。

　　3、尽可能地监控合作伙伴，至少要比互联网要多

　　由于合作伙伴拥有到企业网络某些部分的特权访问，来自或者发自合作伙伴网络的流量都应该进行密切审查，如果不能进行更加密切的审查，那么至少要比企业互联网网关的审查要严格，NetWitness公司的Schwartz表示。

　　“不管我们做了什么，我们必须假定合作伙伴的连接不是被信赖的，并可能是不可信赖的，就像很多情况下的互联网一样，”他表示，“我们需要对这些连接在程序和技术方面部署同样的强度。”

　　企业应该使用外围防御来限制到企业网络的流量，限制合作伙伴的访问。他们应该部署入侵检测技术来在攻击对内部网络造成破坏之前确定攻击。

　　“我们签署了安全协议，部署了安全连接解决方案，但最终，我们还是要将合作伙伴连接视为是可疑的，这并不是因为我们不喜欢或者不相信我们的合作伙伴，而是因为最终企业本身需要对他们的数据负责任，”他表示。

   原文出处：http://safe.it168.com/a2010/1102/1121/000001121211.shtml