公司想将it这块外包出去，又怕公司的信息数据被泄露，哪位回答我一下外包安不安全？-UltraLAB Alpha730-ZOL问答

9个回答默认排序

默认排序

按时间排序

wang370890129

外包选择管理规范的合作伙伴，有合适的管理方案安全是可以保证的，即使不外包内部人员一样有信息泄漏的风险，信息安全不安全不完全取决于是否外包，而是在于公司是否会为信息安全投入资源！

取消评论

系统安全推荐

整个项目全部外包？你们的心真大！看你们是什么类型的公司，如果是互联网公司，正了八经打造一个自己的技术团队吧，外包哭死你！如果it这只是一小块，建议请一个全栈开发工程师，然后把非核心的模块可以外包给别人做

取消评论

659751098

你能保证你找的公司正规，保密，你能保证他们公司的员工有素质么，是吧，到时候发生了泄密，都说是临时工！

取消评论

wlf456789

我不做外包，但从一个长期合作伙伴以及自己公司的使用外包的情况，说一下吧

IT外包在我们公司很正常，我们公司是外企，全球的IT都外包。他们有驻场的，也有远端集中的服务中心。我们公司也会有人衔接外包公司，包括所有IT外包期间的项目和运维。员工信息外泄，觉得好像没有什么防范。不过公司内部的客户信息，项目信息，商务上的文件和数据倒是有很严格的规范，权限管理还是很严的。就算员工也只能找到和自己相关的信息的授权，其他依赖系统。就连邮件系统都是使用微软的云端的outlook。

我觉得我们公司是极度相信大企业提供的IT服务。

我们的一个长期合作的伙伴是一家国企，他的IT是使用人力外包的方式从外包公司雇人驻场服务，少量自己公司的员工，大量的外包人员。感觉上还是很多漏洞，部分敏感的信息的归自己员工负责，其他都交给外包的人。外包公司的人员流动虽说不频繁，但工资待遇和正式员工还是有差距，活又多又累，人还是浮躁的。对于这家企业，也习惯了，活只要有人干，流动就流动吧。

信息外泄也是他们头等大事，现在也在出台很多规范补漏。随机突击检查，定期扫描，CCTV监控，完善门禁登记等。搞到最后，总要在效率和严防之间有一个取舍？

取消评论

MSS1899

本人从事金融软件工作，就结合自己的工作来谈谈楼主对it外包的数据泄密风险问题。就拿我们公司的系统来说，以前几乎90%都是通过外包公司开发的，这几年随着金融科技的高速发展，科技人才队伍不断壮大，系统自主可控率才逐步提升。但仍有相当多的系统仍然依赖外包公司来开发，今天就从以下几个方面来谈谈外包对信息安全的影响：

1、人力外包模式，俗称的“卖人头”。这种模式基本外包公司就是提供人头，结算以人力投入为依据，说白了就是外包公司一个月在甲方投入多少人力，就拿多少钱，具体外包人员干什么活，完全由甲方安排。这种模式的外包合作，个人认为对信息数据的保护还是存在比较大的风险的，因为外包公司无法直接管控到每个外包人力的工作内容，而甲方大部分也仅仅是分配任务，对外包人力的管理存在局限性，也仅仅只能靠规章制度来约束外包人力。

2、项目外包模式。这种模式一般就是将整个项目打包给外包公司完成，外包公司一般都有成熟的产品，在现有产品基础上结合客户需求进行改造，同时项目会配备完善的项目管理，组建项目组，项目经理对整个项目负责，能有效的降低数据泄密的风险。

3、不管是人力外包还是项目外包，当前软件开发的模式大部分都要求进驻甲方的办公场所，而且一般甲方会提供办公设备或开发终端，在安全部门的严格监督下，数据一般都是只进不出，从技术上提供了防止数据泄露的保障。

4、生产环境的信息数据才有利用价值，而外包人员一般很难能直接从生产环境提取到信息数据，哪怕要提取也要经过一道道的程序，很容易被发现。

5、如果担心外包引起信息数据泄露，那在与外包合作的合同上明确权责，这样出现了泄露事件，可以第一时间对外包公司进行追责，外包公司也就会更加重视信息安全。

信息安全关乎每个人的切身利益，大家务必重视！！！

取消评论

chang1997228

不安全，就算不是外包，完全自主掌控的话，也不安全。

我认为 IT 的安全可以分成这么几个部分：

数据泄露：比如公司有一些敏感数据的话，是万万不能泄露出去的，比如客户信息，包括客户的姓名、证件号、手机号、家庭住址等等；再比如一些订单信息，甚至每天的订单量，这些都是公司的商业机密。
数据丢失：这里的丢失不是被拷走的意思，而是数据被删除，不能恢复的意思。
代码泄露：有些人可能认为代码泄不泄露也没啥影响，觉得咱们写的大部分项目都是增删查改，没有什么可保密的；抛开一些值得进行保护的代码，一般项目的代码泄露，可能会导致数据库配置的泄露，同样会威胁到数据的安全；已经发生过很多次，开发人员直接将单位的代码上传到网上公开的代码托管平台，导致数据库配置泄露，被不法分子利用。

那么回到题目，想将 IT 外包出去，又担心公司信息泄露，我建议可以这样做：

外包和自主掌控相结合

如果公司有一定 IT 能力的话，建议采用外包和自主掌控相结合的方式推动；一些关键性的内容，还是掌握在自己手里比较好。

比如数据库的维护，就不要轻易让外包有生产环境的权限了，这样至少可以排除一定的风险。

加强权限管控和故障恢复机制

对于内部员工，也需要加强权限管控，不同的岗位，应该有不同的操作权限：比如 DBA 的权限最大，开发人员只需要有对表中的数据有读取和操作权限即可，测试人员的话只需要只读权限等等；

故障恢复机制也很重要，如果生产上的数据只有一份的话，万一被删除就是致命的。

操作必留痕

对于数据库的操作，甚至是系统的操作，是必须留下操作轨迹的；对于一些敏感操作，应该要做预警的；比如数据库中的用户信息表发生数据的导出、下载。

必要的数据脱敏

有些心怀不轨的人，虽然没有操作数据库的权限，但是可以通过页面查询到敏感数据，手动复制粘贴，这时候就需要对页面进行脱敏处理展示了；

数据脱敏的意思就是有一些数据不能完整展示，需要遮住一部分字段，比如手机号只展示前三位+后四位，中间四位打成星号。

加强宣导

在技术层面减少数据泄露的风险，同时也需要从管理入手，加强对数据泄露危害的宣导，让员工提高重视；公司敏感数据的泄露，会触犯法律的，严重会被判刑坐牢。

我将持续分享Java开发、架构设计、程序员职业发展等方面的见解，希望能得到你的关注。

取消评论

dong2008jie

做点假数据给开发用，系统上线后用真实数据。制定好系统维护，数据导入导出的制度，没有任何一个单位会把全部的数据交给第三方，就算有涉密资质也不行！

取消评论

yh321546

专业做IT运维外包10几年了，我们的客户有世界500强企业，也有研发型的高新企业，他们对数据安全都有很高的要求，通常的做法是与我们签订保密协议，并且数据加密，我们在日常工作中接触到的文档，为客户备份的数据，都是经过专业的软件加密的，没有客户的授权，我们根本无法解密，也就无法真正看到文件和数据的内容，也就是说，客户的信息数据都是十分安全的

取消评论

kkh8767

从事软件开发多年，对于软件这块还是不太建议外包的方式，外包虽然是一种非常快速的让那个企业拥有产品的一种方式，但是外包隐患还是非常巨大，特别是一些规模不是很大的外包公司，本身里面人员就不太稳定，如果出现一个问题很可能当初的代码和相关的技术场景都很难还原，但是外包行业还是存在很大的市场，外包是能够解决这么一种场景需要一种定制化的产品，但本身在资金或者人员配置不够，为了业务的需要还要去做，于是找到外包公司给完成，本来是一种双赢的工作，但因为软件技术开发的特殊性还是会遗留很多问题。

外包里面到底有多深的水

如果条件允许的情况下，还是建议找正规外包公司，虽然费用贵点起码品质能够保证。像华为很多项目都是外包来完成，品质也是能够保证，主要原因华为公司平台比较强，能够源源不断拿到大的订单，所以配套的外包公司重视程度也会不一般，所以在质量以及售后的保障上都能跟得上，哪个外包公司敢得罪华为这个金主，到了这种性质的外包质量还是非常可靠的，而且很多给华为做外包的企业员工，在做完这个项目之后就加入华为公司了，外包公司属于弱势一方。

如果真的需要项目的外包还是建议找正规一点的外包企业，这样在后期维护方面还能跟得上，小的外包公司风险相对会比较大。

小的外包公司风险较大。小的外包公司相对来讲价位会便宜一些，功能的修改也会更加随意一点，但是由于人员的配备问题，在初期功能完善的非常快，关键是后期需要增加新的功能时候，售后很可能跟不上，而且经常遇见之前主要的开发者已经离职的情况，新的技术人员又不了解情况，毕竟软件类的产品，需要更新修改的地方还是相当多，不是简单的一锤子买卖。有些外包公司为了补加额外的功能费用，还会对服务器上做一些手脚，让一些基本的功能不能正常的运转，这种情况在实际开发过程中遇见过，所以外包软件开发如果不是必须不建议去做。

当然不能简单的认为所有的外包公司都不好，很多外包还是服务非常到位，主要这个行业参差不齐很容易就被各种浑水给搅和了，里面欺生的现象太严重，仗着对方不明白在里面做了很多不光彩的事情，甚至还出现极限的删库问题，只要是外包很多数据肯定是暴露出来了，这种是无法避免的，所以很多企业在外包公司完成之后就开始修改服务器的密码。

如果真是到了必须请外包的地步，建议选择公司大点的企业，而且在合同条款要明确清楚，毕竟软件外包产品后期维护的可能性非常大，不要觉得做完了万事大吉了。很多做外包的程序员做不了几年就转行找个有自己产品的公司，开始新的征程了毕竟外包公司给人的感觉还是没有成就感，希望能够帮到你。

取消评论

加载全部9个答案加载中...

9个回答默认排序

默认排序

按时间排序

系统安全推荐

最新回答更多>

相关产品

相关问答

热门工作站排行

扩展阅读

热门推荐

举报

举报成功

私信

删除

数码爱好者必备神器

中关村在线客户端

9个回答 默认排序 默认排序 按时间排序

系统安全推荐

最新回答更多>

相关产品

相关问答

热门工作站排行

扩展阅读

热门推荐

举报

举报成功

私信

删除

9个回答默认排序

默认排序

按时间排序