加强外包的安全策略

申请免费试用、咨询电话：400-8352-114

在过去的几周内，并没有出现什么重大的安全漏洞，所以，John McCormick有机会将他的重点放在最近发生的一系列的重要数据安全的事件上。通过研究这些事件，可以从中找出创建更强的安全策略的重要性，并且可以从中看到最近在安全领域内都发生了什么事情。 
 
虽然在这一周没有出现重大的安全漏洞，但是最近发生的几起关键数据安全的事件向人们强调了在讨论外包和收购的过程中创建有效的安全策略的重要性。

细节

由于在最近几周中没有出现重大的安全漏洞，因此我想将我的注意力集中于最近发生的那些影响到安全策略的事件上，而不是放在攻击安全漏洞的新闻上。但是在本文的末尾，你可以找到一些与安全漏洞相关的信息。

如果你想对外包给出另外一个管理警告的理由的话，最近在印度的花旗银行（Citybank）发生的新闻可以给你提供更多的理由。为了加快项目的速度，花旗银行将他们呼叫中心的客户服务业务外包给印度的一个本地化团队，但是这个团队中有人泄漏了花旗银行在美国客户的密码和其他账户信息，从而导致了大量的欺骗性采购，花旗银行为此损失了425,000美金。到目前为止，当局目前已经逮捕了16个人（对于这个问题，要想得到印度方面的观点，可以从印度的快报的网站上得到这个故事的详细情况。）

当然，问题并不是印度的呼叫中心的工人会盗用而美国本土员工就一定不会盗用，现在的骗子还是很多的。更合适一点的说法是，这个事件只能突出这样一个事实：使用本地工人比外包到海外要安全的多。

还有要记住的很重要的一点是：各个国家保护公司防止被欺骗以及惩罚那些犯罪分子而使用的法律都有着很大的不同。换句话说，在美国看来是非法的事情可能在另一个国家根本就不是一种犯罪。

我在这个专栏中写出这篇文章，并不是要将大家的注意力集中到印度这个国家。事实上，印度当局对这个欺骗事件非常关注，并且可能会使用所有必要的法律武器来惩罚这些犯错误的人。但是这也不是一个孤立的事件：我们使用外国劳动力的机会在不断增加，而第三世界国家也认识到他们可以从中分一杯羹，并且他们可以不断增加外包份额。

由于安全方面的原因造成一定的损失而要起诉一个本地的公司的话，这将是非常困难的。你无法想象，要想从一个完全不同的法律体系的国家中的公司或者个人那里获得赔偿是多么的困难？

从另一方面来说，有些经理可能会看到印度当局所采取的快速行动，并且作为补充，他们可能还会注意到印度当局发现欺骗的速度，如果这些事情发生在美国，并且如果不涉及到某些本国居民的话，他们可能永远不会看到这种案件的曙光，因为这些案件首先要经过政府那强有力的盗窃身份的法律确认，而要实现这一点往往是遥遥无期的。

如果你的公司在印度有业务，或者准备将关键任务外包到印度的话，你首先应该看一看印度的有关网络方面的法律--可以在Naavi.org这个网站上看一看有关的报告。在这里我所能够说的是，我还不清楚在这个案例中，这个印度的呼叫中心公司的财政要承担的责任是什么，但是我敢打赌，花旗银行在这个案例中所花费的律师费远远比实际损失的客户的要多得多。

与此同时，在与上述故事无关的另一个案例中，最近在LexisNexis 公司出现的安全问题造成的损失是该公司最初报告的十倍还要多。一开始，该公司并没有重视这个威胁，这个威胁与the ChoicePoint debacle非常相似。LexisNexis最初报告了这个并不严格的安全手续，并且说明这个不严格的安全手续可能导致公司损失了超过30,000人次的数据记录。然而，在四月12日，公司再一次公开发布的报告中承认大约有接近310，000个美国公民受到这个不严格的安全手续的影响。

这个问题中最麻烦的部分不是安全手续太过脆弱，而最重大的新闻也不是大多数公司的大多数安全手续都很脆弱。最重大的新闻是那些公司既没有认识到这个问题所影响的范围，或者说它们可能知道这个问题但是几个星期以来一直没有通知公众。

对于那些不知道的人来说，特别是LexisNexis公司所犯下的错误，他们没有正确的对通过收购所获得的数据仓库公司——位于佛罗里达的Seisint公司的现存客户基进行筛选。这个细微的失误因此也导致了重要的安全漏洞，这也很可能会影响到很多其他的公司。各个企业不能仅仅满足于对收购所获得的数据库的安全手续进行后向检验，因为他们自己的安全手续往往都是很坚实的。

（个人声明：LexisNexis是一个包含大量商业信息的数据库，并且这个数据库是一个合法的数据库。我原来为总公司--Reed Elsevier LLC工作，但是现在我不再为这个公司工作，并且我从来没有与LexisNexis数据库自身连接过。）

最后的话语

需要大家记住的是，我并不是在这里要专门挑剔印度的外包呼叫中心。我在这里只是从法律和财务的观点出发，强调外包不仅仅是一个节约费用的问题，它比我们所要求的复杂的多。

任何正在集成数据或者客户列表的公司都应该注意这方面的问题，因为任何购买数据库或者进行公司收购的公司的心中都应该记住LexisNexis公司的那个报告。因为你不知道那个最初创建授权客户列表的公司中安全状况是好还是坏。

相关参看

在这里我想用一个简短的提示来提醒那些阅读本专栏的政府或者承包政府网站的网站管理员们。在这个月的早些时候，FBI在阿迈阿密逮捕了一个很重要的黑客--委内瑞拉的Rafael Nunez-Aponte（"RaFa"）。RaFa曾经让美国空军陷入窘境，并且在黑客团体中有很多朋友，这次逮捕RaFa将有可能导致协同攻击政府的网站，而且那些通过咨询与政府有密切关系的网站以及其他与政府有合同关系的网站都有可能遭受这种攻击。

世界上最著名的计算机学校之一，也是CERT的发源地，位于匹兹堡的卡耐基梅隆大学已经报告了这样一种危害：有人危及到他们保存个人信息的学校数据库。包括已经记录的1600名现有的研究生以及从1997年到2004年已经获得研究生学位的校友录、从2002年九月开始到2004年五月为止的申请硕士学位的规划，以及从2003年开始申请博士学位的规划，还有Tepper商学院的管理员工记录。

在4月15日，微软悄悄的发布了一个补丁，修补了Windows 媒体播放器中的一个已知的安全漏洞，相关信息查阅知识库文章892313。这个安全威胁适用于媒体播放器的9和10版本，可能让黑客通过数据版权管理特征来进入系统。

微软还发布了另一个安全公告MS05-002的2.0版本，从另一个角度说明这个更新是为Windows 98、Windows SE、以及Windows ME所提供的。查看一下公告上的新版本，看一看这个漏洞是否影响到了你的系统。

另外，微软还更新了安全公告MS05-009的2.0版本。这个更新是为Windows的信使4.7.0.2009 （只有Windows XP SP1有这个版本）提供的，因为该系统在使用SMS或者自动更新时无法安装原有的补丁。

微软已经使用一个次要的修订版（1.2）修改了安全公告MS05-010，其中包含了有关缓解因素的新信息。微软的安全公告MS05-017、MS05-021以及MS05-023也已经有了次要修订版。

IBM 已经为Lotus Notes以及Domino系统中新发现的多个安全漏洞发布了补丁，最严重的安全漏洞是缓冲区溢出，这个漏洞可能导致DoS攻击，至少IBM 是这么认为的。是下一代安全软件（NGSS）组织发现了这个安全威胁，并且将其报告给了IBM，据说这个安全漏洞可能允许执行任意代码，当然这是一个非常严重的问题。为了安全起见，NGSS将在随后的几个月中保留这六个安全漏洞的详细说明，但是Secunia已经将他们定级为高级别的安全问题。

很显然，黑客恶意软件方面的blog也在增生扩散，因为他们完全不需要经过检验、并且是匿名和免费的。根据最近的几个报告，比如说来自Vulnet.com的报告，网络犯罪分子开始转向使用blog来存储任何大小的恶意代码，从而实现黑客能够利用其特洛伊木马访问其他网络的目的。

根据News.com的报告，已经发现了更为严重的Mozilla Firefox 安全漏洞，而且Secunia已经将他们定级为高级别的安全问题。在最近发布的公告（Firefox 1.0.3）中，公布了九个安全漏洞，其中包括跨站脚本漏洞（cross-site scripting ）以及安全旁路（security bypass ）等安全漏洞，以及一个许可证完全系统的漏洞。我认为，实际上还有很多新的问题，但是很难确定在Firefox的布告中是否包含了所有新发现的安全缺陷。

美国战略指挥部（STRATCOM）的司令官James Cartwright上将最近宣布，他将向国会介绍在他领导之下的一个中坚黑客部队。这个黑客部队名为"网络战联合功能构成司令部（Joint Functional Component Command for Network Warfare，JFCCNW）"，这个部队将负责保护五角大楼的系统，但是它也包括具备针对那些外国军队和政府目标的黑客攻击能力。

来源：TechRepublic