企业信息安全 如何保证服务器外包安全

经常会有用户问我，我们让承包商管理一定数量的重要服务器，例如管理我们的IBM刀片服务器。而这些工作不得不在LAN中进行，并且我们一般会选用长期合作的承包商，以至于这些承包商的工作是在很高的权限上进行的。但是公司并不希望承包商可以访问LAN中的任何节点。我该如何限制承包商的访问权限，同时又可以保证他们顺利完成自己的工作呢?最重要的是，我们并不希望让承包商商感觉到我们并不信任他。

　　很明显对承包商的权限管理问题近来成为普遍关注的安全挑战。不同于典型的guest用户，承包商，特别是长期的承包商，他们和企业公司的关系是十分紧密的。

　　当然，不得不承认，他们并不是公司自己的雇员。因此从管理的角度，或者仅仅是意识的角度分析，您并不能给他们开发太大的访问整个企业网络的权限。我们也应该清楚承包商所做的工作，几乎全部是在您的网络中进行的。

　　这里有一些例子：企业中审计员在每个月的固定时间需要访问一些终端设备;在医院中，一些技术人员需要定期检测X射线仪器或其他医疗设备;同样在其他很多公司IT运营中都存在外包服务部分，例如管理企业的刀片服务器。普遍存在的现象是，第三方承包商在多年的合作中，已经获得了您的公司商务名片，桌面配置和电子邮件地址信息。

　　但这并不需要给这些承包商开发访问公司数据代码或其他知识产权，公司财务数据(除非他们是审计人员)，或是公司未来的发展计划。通常，这些工作者是在同一行业的每一个公司平行工作的，因此不难想象存在信息被泄露给感兴趣的竞争者的可能。

　　限制承包商的访问控制，我过去采用虚拟局域网技术(VLAN)和配置访问控制列表(ACL)来实现网络分离。但是这样做最终迫使我不得不寻找更多的自动化工具来帮助。

　　首先，这些工作人员的时间需要被设定并保证VLAN和ACL配置不发生错误。任何时候企业内部都存在移除和向群组中新加承包商。都需要确保这些设置被即使的更新，同样也使得从逻辑分离硬连线到物理设施都增加了很大的难度。

　　其次，有些环境也不能使用VLAN和ACL。例如很多员工同时在线工作，他们需要共享不同的应用程序和资源，因此很可能存在同时多人需要获取同一台电脑上的资源，此时基于端口的分离就不能在这里实施。

　　再其次，也是最让人头疼的，如何解决绕过安全措施的方法。即使攻击他们不窃取用户的帐号和密码，他们却可以知道用户从什么位置登陆，并可以得到他们的IM或者互联网或是用户电脑中的重要资源。

　　那么怎么做才识更安全更加自动化的方式呢?我认为基于角色的访问控制是应对承包上访问控制必不可少的措施之一。您需要采用多种方式灵活的应用角色控制，排序所有的承包商类型及地址。

　　对于长期的承包商，找一个你可以增加他们到活动目录或者特定存储空间的系统，并使得网络设备强制实施基于他们所在组的准入策略。如果这个安全设备可以自动记录角色并可直接控制流量，而不是依赖象交换机一样的外部设备，你的访问控制将会保持并表现为动态。如果一个承包上离开，他或她的名字将从AD中删除，他或她将不能再访问企业网络。如果其他的承包商想要移动桌面，你将不得不更新VLAN和ACL配置去限制他们在LAN中的访问路径。

　　对于短期的承包尚，考虑提供一个特殊的通道来访问通用的资源。这样做可以让你承包商可能开始运作前，迅速提供接入而无需更新身份认证。这种共享登陆仍将使你可以拥有控制准入权，你可以控制什么应用程序，他们可以运行;什么服务器，他们可以访问。