企业应如何规避IT外包风险？

　信息系统关系着企业的安全连续运行是IT运维管理追求的目标。IT运维管理与IT运维的成本、质量、速度有着很大的关系，当然也与IT系统的安全、连续和可用联系紧密。现今市场状况下，IT外包模式下许多IT运维管理都出现了许多问题，主要包括IT资产管理问题、IT外包管理问题、IT运维成本问题以及IT运维技术问题。it运维常见问题有哪些

1 IT资产管理问题

当不同的IT资产运维被外包后,相对应会增加一部分责任人,无论是对它的维护还是更新升级改造，都会影响到IT资产的价值,同时也会对你IT资产的使用年限和配置信息产生影响，导致发生一定的变化,从而造成物理位置与实际不符、账实不符、安全责任无落脚、人机不符等问题。分散的、动态的IT资产管理是无法提供清晰的结构脉络给相关管理人员和服务人员的。

2 IT外包管理问题

完善的IT外包管理：选择外包商-使用外包商-考核评价外包商-优化外包商。信息技术基础构架库标准体系现在被许多企业采用，这种管理使外包服务过程更加的流程化。然而,它对企业对于外包商的选择、考核、评价优化均未提及。因此,就算流程管理做好了,IT运维管理外包还是没有到位。

3 IT运维成本问题

招标或者议标易确定外包价格,但是很难界定价格的合理性,也无法确定价格涵盖的服务项目。当甲方遇到突发状况时,部分服务商往往不能快速响应，可能服务人员不在本地,还有超出服务范围要追加费用这种情况的出现。有的时候公司付出高,回报低,影响到公司的未来生存发展，无法保证长期稳定的良好服务。如何衡量服务成本来确定服务价格是IT运维管理外包中的主要问题之一。

4 IT运维技术问题

针对不同的IT运维服务对象应采取相对应的技术方法。不能仅仅依靠对技术人员进行管理从而达到管理技术的目的。这样只会制约IT运维服务发展速度和质量。

事实上如何使IT运维管理外包安全稳定运行是一个既简单又复杂的问题，但是只要注意IT外包过程中所出现的一系列问题并寻找有效的解决办法，就可以保证企业的正常运行发展。

说到外包开发项目中的安全问题，相信找过外包开发商开发项目的同学再熟悉不过了，外包开发项目的安全漏洞不仅多，而且还经常是越权访问、SQL注入、文件上传、代码注入等高危漏洞，因此今天本文来谈谈外包开发存在的意义、外包开发中的安全风险与应对解决方案。

外包开发存在的意义

外包开发是IT服务外包的一种子类，实质还是基于企业与IT外包服务提供者之间的委托代理关系，由前者提出开发需求与系统设计后，由后者提供应用程序或者系统开发的服务。

首先，随着企业对核心竞争力的重视，越来越多的企业将IT服务外包作为一种新的长期战略成本管理工具，用来消除不属于核心业务的干扰分支。企业需要重新定位，截断价值链中较短的部分，缩小经营范围。在此基础上，需要对企业的各种资源进行重新配置，将资源集中于最能体现企业优势的领域，从而更好地构建竞争优势，从而获得可持续发展的能力，这对于企业核心资源的长远发展有着重要的意义，可实现“成本控制”和“管理效益”的有效兼顾。

其次，对于一些非核心系统或者应用，企业采用自行开发的方式成本过高，或者对于一些需要前沿技术的产品，企业自身并不具备成熟的开发能力，因此选择外包开发是其平衡成本与效益的最佳选择。

再者，在移动互联网蓬勃发展、全民互联网创业的风潮之下，对于那些自身没有开发能力的创业者，如果从0构建开发能力则需要太多投入，一方面是业务紧迫性不允许，另一方面即便投入了也不见得比专业外包做的更好，所以他们选择了外包开发。

外包开发安全风险

来自国外的报告显示，56%的企业数据泄露都源自第三方供应商，42%的企业都因为第三方供应商遭遇攻击而出现数据泄露。前不久，FaceBook还因为第三方数据泄露而再次成为众矢之的。因此，为了保护企业数据安全，企业不仅要抵御自身所面临的内外部安全威胁，还要进行第三方风险管理（TPCRM）。这里所说的TPCRM，对应今天我们讨论的外包开发安全风险管理。

外包开发模式分类

简单而言，按照代码部署场景、协作模式，目前的外包开发模式可以分成三类，分别是驻场式、远程式和完全独立式，它们在开发过程中所面临的安全风险或者甲方安全能力覆盖上都存在很大不同。

驻场式

外包公司通过劳务派遣的方式或者临时办公的方式安排其员工到甲方办公地点进行服务，入驻到甲方产品或开发团队之中，这种模式下甲方的风险控制程度最高，因为此时必须遵循甲方的办公、开发、测试、发布流程规范，整个CI/CD的流程与环境都为甲方所控制，同时也处于甲方安全能力覆盖范围，相对而言，这种情况下安全风险最小。

远程式

外包公司员工在其办公环境下完成代码开发、测试，然后通过公共代码仓库或者其他在线文件系统或存储系统进行代码共享，由甲方完成代码的部署和系统运维或者合并到其主代码分支中，再由甲方完成代码部署与系统运维，这种模式下，甲方的风险控制程度相对较高，整个CI/CD的流程与环境都为甲方所控制，同时也处于甲方安全能力覆盖范围，但是无论合同中如何约定代码所有权，代码都会为外包公司所接触，而且代码共享路径经常需要对外网开放，这也为代码泄露留下口子。相对而言，如果外包公司有成熟的安全管控流程、代码共享路径进行有效的身份验证和访问控制，这种情况下安全风险较小。

完全独立式

外包公司独立完成代码开发、测试、发布，整个CI/CD流程为其控制，虽然线上运行环境不一定为外包公司控制，甲方可能只是配合域名指向或者品牌资源使用申请，但可以看到甲方对此风险控制程度非常弱，这种合作模式下的安全风险往往是极高的，因为甲方安全能力基本覆盖不到，其成熟的发布流程也一定管控到。

针对以上三种外包开发模式，结合业界或新闻披露的安全风险，大概可以分成以下几类：

风险列表

· 敏感信息泄露：最常见的是调试模式未关闭、源码压缩包放在web根目录、版本控制文件git/svn等文件放在根目录，或者外包开发人员将源码上传第三方仓库外泄或者个人电脑中毒或被入侵导致甲方源码、数据泄露。

· 高危漏洞高可能性：外包开发通常使用开源开发框架，这类框架往往漏洞频发，很容易被批量利用，而且也经常出现高危漏洞，常见的如服务端任意文件下载、SQL 注入、客户端组件暴漏和敏感信息泄露漏洞等，可以拉取数据库信息或者入侵服务器。另外，开发商代码架构、质量一般，更容易产生漏洞，或者在对用户可控输入的限制上存在遗漏。

· 敏感信息窃取：之前出现过银行外包开发商违规收集用户信息或者甲方业务数据。

· 埋入后门：外包开发人员故意留逻辑后门等

· 漏洞分布的广泛性：由于外包团队的代码复用，一旦在某个外包开发的系统出现漏洞，很大可能也能在其开发的其他系统找到相同或类似漏洞，另外，外包开发商一旦被黑，其客户源码、数据也会泄露。

原因剖析

· 外包公司自身的安全管理水平较低、安全运维能力不足，对于完全独立式的外包开发模式而言极易出现安全漏洞

· 外包公司员工安全技能和安全意识不足，可能本身外包公司对员工自身能力建设重视程度不高，也让其员工失去提升安全意识与技能的机会

· 模板式开发模式，换言之就是复制粘贴式的开发，自定义组件化程度往往不高，代码安全质量没有保障

外包开发安全风险管理

下面从组织架构、流程管控和技术赋能三个方面浅谈外包开发安全风险管理，其中大部分已经在国内大中型IT企业或多或少落地了。

组织层面

· 确定外包管理的目标，明确外包的总体原则，建立企业层面的信息科技外包安全防控架构，完善外包管理组织体系和制度体系，这种比较适合大型金融、通信、制造、互联网等行业的企业，由于外包项目多、外包开发商也多，需要在公司组织架构上予以重视。比如规划、建设独立的外包管理团队，让制订从上而下的外包项目管理流程获得组织基础。

流程层面

· 合同约束 在与外包开发商的合同中是否有安全要求？这些外包开发商是否需要标准来遵循安全开发生命周期？他们是否对系统开发生命周期和如何安全地编码接受过培训？外包开发商对代码中的漏洞和泄漏敏感信息是否承担责任？一旦发现漏洞被利用是否需要开展应急响应？如果这些要求都没有在合同中规定，那么，在未来合同中应该增加这些条款，并且，现有合同应该进行修订来涵盖这些条款。外包公司已经具备这样的人才。通过项目整体外包，作为甲方只需要关注项目的整体预算。乙方公司招聘、培育人才的成本会被平摊到各个外包项目中。

省事

还是和人有关。自己维持一个项目团队，涉及到招聘、培训、管理、团建、激励、绩效等多种人事管理开销。而作为甲方，短期而言，真正想要的是项目的产出——软件系统，而非一个专业团队。

项目管理和项目交付过程也是超级麻烦事，外包可以只关注结果，不需要管过程。

风险转移

项目交付存在巨大的不确定性，过程中充满风险。项目外包，也可以把项目交付出现问题的责任转移给外包公司。

这些因素都充满诱惑力。

但事情真的有那么美好吗？

为什么软件开发问题多

从标题，大家已经可以知道我的结论，就是我不建议软件开发通过外包的形式来完成。

我们知道，现代社会是一个陌生人协作的社会。一个组织、一家公司、一个团队的能力和精力都是有限的。把非核心能力的业务外包给其他组织、公司、团队是再正常不过的事情，我并非反对一切外包行为。

我想说的是，有些东西可以外包，有些则不能。要看某项事物是否适合外包。为什么软件开发就不太适合外包呢？

我们来看软件开发有什么特性。我将通过边界、估算、验收和合同四个方面来分享我的观点：

边界

一谈到软件项目，大家一定会想到超支、延期、加班等等。所有这些，都和一个重要因素有关，就是边界不清晰。

光是在需求这个源头，就经常出现需求不清晰、需求泛滥等问题。这些情况，就算是我们自己开发，和用户坐在一起都会经常遇到和难以解决。我们怎么能指望离岸的外包团队能更好地解决这些问题呢？

另外一个最核心的问题是，有人总结得很好，从农业时代、工业时代过渡到知识时代，最大的变化就是我们的工作对象从物品变成了事情。物品的边界是清晰的，所需要的工作时间是有限的。所以在工厂，可以通过计件来量度一个工人的产出和效率。

而事情的边界是可以无限扩充的，可以膨胀成任何规模的工作。也很难量度一个知识工作者的产出。

几乎所有的知识工作，都有这样的特性。软件项目也是其中的典型例子。一个看似简单的需求，一旦挖掘到细节，就可以无限泛滥。我想这是所有软件人的痛。

简单总结就是，如果对象是物品，由于边界清晰，完全可以外包。所以在工业领域，供应链已经被证明是最有效的生产协作方式，很多手机厂商，把销售和设计以外的所有环节都外包了。如果对象是事情，由于边界模糊，外包的有效性就会大打折扣。

企业规避IT外包风险的方法：

1．减少核心业务外包。根据调查，企业信息泄露的80%来自企业内部，例如来自对公司或领导不满的员工等。公司在决定IT外包之前，必须确定外包的部分包含的公司数据量较少。

2．制定外包工作进行期间的规范，例如，不得携带存储设备进入工作场地等。

3．法规制约。检查外包公司是否遵循数据隐私法案和特殊行业法规，例如萨班斯法案、HIPPA、ISO20007等。

4．技术保证。检查外包供应商是否具备保障信息安全的技术条件。

5．公司在选择外包供应商之初，应该首先查看外包供应商的保密政策，并在外包合同中明确保密协议和信息泄露后的责任归属。

以上就是关于it运维常见问题有哪些全部的内容，包括:it运维常见问题有哪些、外包开发商开发软件如何保证人脉的安全、企业应如何规避IT外包风险等相关内容解答，如果想了解更多相关内容，可以关注我们，你们的支持是我们更新的动力！