【IT专家网独家】批准第三方访问系统的权限是一种风险，能够给企业带来安全威胁以及技术和商业危险。

　　向任何第三方提供你的公司系统的访问权限都是一种安全风险。即使没有恶意的意图，或者这种访问仅仅是为了合法的商业目的，这种访问如果不能禁止的话也应该严格控制。

　　让我们看一些潜在的风险，然后提供一些绕过这些风险的方法。除了向你的系统安装恶意软件的威胁之外，还有其它技术商业危险。

　　首先，批准外部人员访问系统的权限会把你的安全等级降低到外部提供商的水平。如果他们的控制措施薄弱，他们就会成为你的安全链条中的薄弱环节。如果黑客突破了他们的系统，黑客就可以利用他们作为进入你的网络的后门。同样，随着他们的风险的增加，你的风险也增加了。

　　第二，还有商业和声誉的风险。如果他们被攻破的系统被用来恶意访问你的系统，你的公司的名字也将出现在重要新闻标题中。坏新闻可能赶走客户、实际和潜在的生意，甚至导致不受欢迎的管理部门的审查。

　　第三，这种允许外部访问的做法可能绕过技术控制，如防火墙的控制。如果允许不加限制的访问，还要防火墙和访问控制做什么?你可能会把你的网络向一切人敞开。而且，如果他们要安装的软件包含恶意代码，他们的远程访问就会成为恶意软件进入你的网络的一个直接通道。

　　在考虑这种访问之前，你需要做如下事情。第一，对你的合作伙伴进行全面的风险评估。甚至要考虑对他们的设施进行现场考察，特别是他们的数据中心和任何放置IT和网络基础设施的地方。要保证他们在下列领域符合你的安全标准：物理和网络安全以及访问和管理的控制。确认你的合作伙伴有包含这些控制的书面的信息安全政策，并且有支持这些政策的IT安全部门。

　　第二，严格限制访问你的系统。第三方应该只能访问你的网络的一部分，并且用防火墙或者一个隔离的子网把这部分与你的内部网络分开。访问应该仅限于外部的几个具体的IP地址，并且要限制在具体的时间段进行访问，然后进行严密监视。

　　然而，更新第三方软件的最佳做法是反向操作。你的IT团队应该访问他们的网络获取软件更新，而不允许他们在你的网络中钓鱼。

　　此文章中文版权归TechTarget和天极公司所共有，任何第三方不得转载。

　　查看本文国际来源>>