藍盟企業it外包服務
從事軟件開發多年,對於軟件這塊還是不太建議外包的方式,外包雖然是一種非常快速的讓那個企業擁有產品的一種方式,但是外包隱患還是非常巨大,特別是一些規模不是很大的外包公司,本身裡面人員就不太穩定,如果出現一個問題很可能當初的代碼和相關的技術場景都很難還原,但是外包行業還是存在很大的市場,外包是能夠解決這麼一種場景需要一種定製化的產品,但本身在資金或者人員配置不夠,為了業務的需要還要去做,於是找到外包公司給完成,本來是一種雙贏的工作,但因為軟件技術開發的特殊性還是會遺留很多問題。
外包裡面到底有多深的水
如果條件允許的情況下,還是建議找正規外包公司,雖然費用貴點起碼品質能夠保證。像華為很多項目都是外包來完成,品質也是能夠保證,主要原因華為公司平臺比較強,能夠源源不斷拿到大的訂單,所以配套的外包公司重視程度也會不一般,所以在質量以及售後的保障上都能跟得上,哪個外包公司敢得罪華為這個金主,到了這種性質的外包質量還是非常可靠的,而且很多給華為做外包的企業員工,在做完這個項目之後就加入華為公司了,外包公司屬於弱勢一方。
如果真的需要項目的外包還是建議找正規一點的外包企業,這樣在後期維護方面還能跟得上,小的外包公司風險相對會比較大。
小的外包公司風險較大。小的外包公司相對來講價位會便宜一些,功能的修改也會更加隨意一點,但是由於人員的配備問題,在初期功能完善的非常快,關鍵是後期需要增加新的功能時候,售後很可能跟不上,而且經常遇見之前主要的開發者已經離職的情況,新的技術人員又不瞭解情況,畢竟軟件類的產品,需要更新修改的地方還是相當多,不是簡單的一錘子買賣。有些外包公司為了補加額外的功能費用,還會對服務器上做一些手腳,讓一些基本的功能不能正常的運轉,這種情況在實際開發過程中遇見過,所以外包軟件開發如果不是必須不建議去做。
當然不能簡單的認為所有的外包公司都不好,很多外包還是服務非常到位,主要這個行業參差不齊很容易就被各種渾水給攪和了,裡面欺生的現象太嚴重,仗著對方不明白在裡面做了很多不光彩的事情,甚至還出現極限的刪庫問題,只要是外包很多數據肯定是暴露出來了,這種是無法避免的,所以很多企業在外包公司完成之後就開始修改服務器的密碼。
如果真是到了必須請外包的地步,建議選擇公司大點的企業,而且在合同條款要明確清楚,畢竟軟件外包產品後期維護的可能性非常大,不要覺得做完了萬事大吉了。很多做外包的程序員做不了幾年就轉行找個有自己產品的公司,開始新的征程了畢竟外包公司給人的感覺還是沒有成就感,希望能夠幫到你。
大學生編程指南
不安全,就算不是外包,完全自主掌控的話,也不安全。
我認為 IT 的安全可以分成這麼幾個部分:
數據洩露:比如公司有一些敏感數據的話,是萬萬不能洩露出去的,比如客戶信息,包括客戶的姓名、證件號、手機號、家庭住址等等;再比如一些訂單信息,甚至每天的訂單量,這些都是公司的商業機密。
數據丟失:這裡的丟失不是被拷走的意思,而是數據被刪除,不能恢復的意思。
代碼洩露:有些人可能認為代碼洩不洩露也沒啥影響,覺得咱們寫的大部分項目都是增刪查改,沒有什麼可保密的;拋開一些值得進行保護的代碼,一般項目的代碼洩露,可能會導致數據庫配置的洩露,同樣會威脅到數據的安全;已經發生過很多次,開發人員直接將單位的代碼上傳到網上公開的代碼託管平臺,導致數據庫配置洩露,被不法分子利用。
那麼回到題目,想將 IT 外包出去,又擔心公司信息洩露,我建議可以這樣做:
外包和自主掌控相結合
如果公司有一定 IT 能力的話,建議採用外包和自主掌控相結合的方式推動;一些關鍵性的內容,還是掌握在自己手裡比較好。
比如數據庫的維護,就不要輕易讓外包有生產環境的權限了,這樣至少可以排除一定的風險。
加強權限管控和故障恢復機制
對於內部員工,也需要加強權限管控,不同的崗位,應該有不同的操作權限:比如 DBA 的權限最大,開發人員只需要有對錶中的數據有讀取和操作權限即可,測試人員的話只需要只讀權限等等;
故障恢復機制也很重要,如果生產上的數據只有一份的話,萬一被刪除就是致命的。
操作必留痕
對於數據庫的操作,甚至是系統的操作,是必須留下操作軌跡的;對於一些敏感操作,應該要做預警的;比如數據庫中的用戶信息表發生數據的導出、下載。
必要的數據脫敏
有些心懷不軌的人,雖然沒有操作數據庫的權限,但是可以通過頁面查詢到敏感數據,手動複製粘貼,這時候就需要對頁面進行脫敏處理展示了;
數據脫敏的意思就是有一些數據不能完整展示,需要遮住一部分字段,比如手機號只展示前三位+後四位,中間四位打成星號。
加強宣導
在技術層面減少數據洩露的風險,同時也需要從管理入手,加強對數據洩露危害的宣導,讓員工提高重視;公司敏感數據的洩露,會觸犯法律的,嚴重會被判刑坐牢。
我將持續分享Java開發、架構設計、程序員職業發展等方面的見解,希望能得到你的關注。
會點代碼的大叔
本人從事金融軟件工作,就結合自己的工作來談談樓主對it外包的數據洩密風險問題。就拿我們公司的系統來說,以前幾乎90%都是通過外包公司開發的,這幾年隨著金融科技的高速發展,科技人才隊伍不斷壯大,系統自主可控率才逐步提升。但仍有相當多的系統仍然依賴外包公司來開發,今天就從以下幾個方面來談談外包對信息安全的影響:
1、人力外包模式,俗稱的“賣人頭”。這種模式基本外包公司就是提供人頭,結算以人力投入為依據,說白了就是外包公司一個月在甲方投入多少人力,就拿多少錢,具體外包人員幹什麼活,完全由甲方安排。這種模式的外包合作,個人認為對信息數據的保護還是存在比較大的風險的,因為外包公司無法直接管控到每個外包人力的工作內容,而甲方大部分也僅僅是分配任務,對外包人力的管理存在侷限性,也僅僅只能靠規章制度來約束外包人力。
2、項目外包模式。這種模式一般就是將整個項目打包給外包公司完成,外包公司一般都有成熟的產品,在現有產品基礎上結合客戶需求進行改造,同時項目會配備完善的項目管理,組建項目組,項目經理對整個項目負責,能有效的降低數據洩密的風險。
3、不管是人力外包還是項目外包,當前軟件開發的模式大部分都要求進駐甲方的辦公場所,而且一般甲方會提供辦公設備或開發終端,在安全部門的嚴格監督下,數據一般都是隻進不出,從技術上提供了防止數據洩露的保障。
4、生產環境的信息數據才有利用價值,而外包人員一般很難能直接從生產環境提取到信息數據,哪怕要提取也要經過一道道的程序,很容易被發現。
5、如果擔心外包引起信息數據洩露,那在與外包合作的合同上明確權責,這樣出現了洩露事件,可以第一時間對外包公司進行追責,外包公司也就會更加重視信息安全。
信息安全關乎每個人的切身利益,大家務必重視!!!
IT漫話
我不做外包,但從一個長期合作伙伴以及自己公司的使用外包的情況,說一下吧
IT外包在我們公司很正常,我們公司是外企,全球的IT都外包。他們有駐場的,也有遠端集中的服務中心。我們公司也會有人銜接外包公司,包括所有IT外包期間的項目和運維。員工信息外洩,覺得好像沒有什麼防範。不過公司內部的客戶信息,項目信息,商務上的文件和數據倒是有很嚴格的規範,權限管理還是很嚴的。就算員工也只能找到和自己相關的信息的授權,其他依賴系統。就連郵件系統都是使用微軟的雲端的outlook。
我覺得我們公司是極度相信大企業提供的IT服務。
我們的一個長期合作的夥伴是一家國企,他的IT是使用人力外包的方式從外包公司僱人駐場服務,少量自己公司的員工,大量的外包人員。感覺上還是很多漏洞,部分敏感的信息的歸自己員工負責,其他都交給外包的人。外包公司的人員流動雖說不頻繁,但工資待遇和正式員工還是有差距,活又多又累,人還是浮躁的。對於這家企業,也習慣了,活只要有人幹,流動就流動吧。
信息外洩也是他們頭等大事,現在也在出臺很多規範補漏。隨機突擊檢查,定期掃描,CCTV監控,完善門禁登記等。搞到最後,總要在效率和嚴防之間有一個取捨?
gzluke
事先聲明,我並不從事IT相關業務,也沒有打廣告的企圖。
可以的。既然你們要外包公司IT,那我就假設你們公司並不是互聯網行業,IT業務是輔助作用,而不是你們公司的主業。
一般這種公司要求外包,能降低企業運營成本,減少公司支出費用。通過電話,郵件等提交IT申請,然後外包公司就會通過VPN網絡在後臺給你解決軟件問題,通過外派技術代表到公司解決硬件問題。也有一些公司乾脆連電腦,打印機等設備都是租用的,直接輕資產上陣運營。
但是,公司運營不能緊緊看成本降低多少。而是看實際效果。9102年代,離開電腦基本就不用辦公了,就算能工作,效率也是極低的。因此還是有以下幾個缺點:
1. 通過電話,郵件等溝通的外包公司,只能解決小問題,大問題的時候基本沒用。
2. 現代企業還是有不少地方需要自己開發小軟件提高工作效率的。例如製作一個適合自己公司業務流程的小型數據庫(ACCESS就好,看書都能零基礎自己動手做)什麼的,簡單,實用。自己公司的IT人員也能更好的理解公司業務流程,開發維護軟件。外包公司是不會管這些的,你要開發任何軟件都要重新報價付費,而這還是不涉及後期維護或者軟件修改的費用。
總之,外包可能會降低自己公司生產成本,但基本不可能再提高生產效率。如果只是小型公司就還好,中大型企業基本可以告別效率了。
哦,對了,還有數據安全這一塊。一般來說還是安全的,外包公司只負責你的防火牆外圍,但不能解決內部密碼。例如說,你有一個加密文件,它要得到你的文件並解密跟外部黑客獲取你的文件方式是一樣的,非法破解密碼也是一樣的。並無更容易的方法,反而外包公司還要維護你的網絡安全,這樣也是跟自己IT部門基本一樣。只是自己IT部門解決不了的網絡安全問題時,他可以選擇拔網線,而外包公司無法遠程拔掉物理網線。
綜上所述,是否外包公司IT其實也是利弊摻半的事情,但我個人覺得對於中大型企業來說,弊大於利。
的士通勤王
我就在外包公司,前不久我們公司發生了一起嚴重的洩露客戶代碼事件,客戶一查到底,追究我們公司責任,導致公司利益受損,洩露者本人被司法機關控制
我想說的是永遠不要相信人的自覺,不管是外包還是你們自己的員工,一定要用制度和技術去管理,比如網絡和代碼的權限控制,比如要求所有人使用公司電腦,關閉usb,關閉文件外發,禁止訪問網盤雲盤,監控所有電腦,等等,再配合嚴格的追責制度,多加強調宣貫,讓所有人員知道洩露的後果,這樣才能減少發生信息洩露事件的概率
OcelotConsul
要有一套專用開發環境,比如雲桌面,所有開發都在雲內進行斷網開發,權限要管控好,不可外拷,也不能往內網傳文件,需要傳文件時需由甲方項目負責人來執行。然後要有一套基礎測試數據,敏感信息要做脫敏處理。項目文檔要管理好,做好漏掃壓測工作。甲方最好能夠出那麼一兩個兩三個人來熟悉下項目以便後續運維工作,條件允許的話也方便甲方自己進行二開等小需求處理。
網絡部分不能讓第三方觸碰,將第三方的權限限制到測試環境即可,準生產環境可時視情況來授權給第三方,畢竟UAT數據會更貼近生產數據了。生產環境則均有甲方人員來處理。
另外就是找大點的外包公司
哇嘎哩嗊吼
安全
怎麼說呢?你花多少錢就可能越安全
開發找一批人
測試找一批人
安全測試找一批人
項目部署好了,把涉及到的密碼一改,除了你們自己其他人都上不去,當然本公司肯定的需要有懂這方面一點的人
當然上面說的安全都是相對的,並且軟件開發都是一步到位的。
現實情況是公司業務一直在變動,軟件需求一直在變動,需要不斷找外包公司修改,公司的數據信息或多或少會洩露,一般的做法是找一個正規的外包公司,然後簽訂保密協議,讓法律來約束,一般情況下甲方和乙方的業務沒有衝突,不會故意洩露。
DJ滴
做點假數據給開發用,系統上線後用真實數據。制定好系統維護,數據導入導出的制度,沒有任何一個單位會把全部的數據交給第三方,就算有涉密資質也不行!
哦耶2016
太理想化了,不外包就要養一個運維部門,工資高了企業負擔不起,工資低留不住人。大型技術服務公司可信度還是很高的,特別是有涉密質資的,員工都有保密培訓,上崗籤保密協議。
