评网络和数据的安全性对于保护企业可谓生死攸关。因此，除了要消除企业内部的安全隐患，我们还要考虑外部的因素。在连接到服务供应商时，或者在承包商等在与企业的基础架构进行交互时，我们必须跟踪发生了什么。在这些情况下，我们必须评估供应商的安全实践是否符合企业的标准，并确保准备好策略和工具，监视连接到企业设施的承包商，否则它们有可能影响企业内部那些承载关键业务的系统。

服务供应商

很多公司正在越来越多地将工作外包给第三方的服务供应商，以求节约成本和获得灵活性。这当然有好处，但我们必须要理解这是在将关键业务和工作从企业的数据中心迁移出去，所以这种做法本身就包含着风险。

为克服这些风险，企业可以采取三种方法：第一种方法是完全相信供应商会真正做到所宣称的一切。如果供应商不像其宣传得那样值得信任，这种做法就有很多风险。第二种方法是在内部处理一切，并执行内部控制和控制验证，这种做法成本较高且很耗时间。

|
如何采用一种“中间主义” 的第三方法，既保证安全性又不多花钱呢？具体而言，首先，企业在签定合同时要保证清楚地阐明安全义务和安全责任。其次，要确保企业准备与之签定合同的供应商能够提供适当的安全保险。这可以保证在供应商遭受攻击或破坏等事件后，企业可以补偿一些由此损害带来的成本。第三，要确保企业准备与之签定合同的供应商已经在安全方面对其服务进行了独立审计。

如果服务供应商对这些问题的回答能够使你满意，那么你有可能找到了一家可信的供应商。此外，如果供应商能够遵循SSAE16框架，并提供对SOC 2报告的访问（这表明有第三方审核的参与并测试了供应商的安全控制），这对企业来说岂不是更好的选择？

承包商

承包商会带来风险，这是因为其往往可以从物理上访问公司的系统。对于承包商，确保安全性的首要一步是克服缺乏人力资源的困难。在有新雇员进入、雇员离职、公司内部发生人员流动和职位变动时，不能有效地应对这些人员对系统的访问和权限的限制，所以，很显然，在当前的环境中增加承包商等非雇员用户会使问题更糟。

笔者以为与承包商进行接洽的任何人都可以负担人力资源的职责。它们需要通过策略使IT知道来了一位正在工作的“新员工”。

另一个重要措施是要限制承包商对企业设施的访问。例如，如果承包商要修复企业的HVAC系统，你就要确保只给予其访问HVAC的访问，不能给予其访问其它系统的权限。这种做法至少可以减少将某设备上的恶意软件风险传播到企业网络上。

远程访问

不管企业是与服务供应商还是承包商合作，涉及到的第三方可能需要远程访问企业的系统。从安全的观点看，这会带来另一种挑战。

对于这种交互，其首要的一步是使用支持强认证的VPN网关。由此，你可以根据其执行的角色而限制其访问。这又回到了那个问题：HVAC的维护者只能访问HVAC系统，而这一点适用于本地访问或远程访问的其它任何人。只要VPN连接运行，企业内部就应有人可以监视它，并且确保一切正常运行。

企业应在不需要时禁用其访问，而不应使其完全开放。比方说张三需要在夜间进入访问企业的VPN，管理员就得在夜间激活其账户，以便于其访问。在张三“完活儿”后，管理员应从内部关闭其VPN连接，从而防止其“任性”地访问企业网络。