浏览数量: 2028 作者: 本站编辑 发布时间: 2021-05-24 来源: 本站
安全专家说,每家公司都应要求查看其B2B合作伙伴的书面安全政策。
安全的应用程序开发实践
在大多数B2B关系中,合作伙伴均授予有限的权限以进入彼此的系统并访问关键信息。如果您的合作伙伴正在使用与您的系统接触的专有应用程序,则必须在该应用程序中内置安全性。您的合作伙伴必须向您展示如何将安全性纳入其应用程序设计,开发和部署计划中。寻找应用程序内置的访问和授权控制,路径隔离以确保应用程序的用户只能进入他所允许的位置,以及日志记录和协调以提供任何用户去往何处的记录,以匹配其所做的工作。确保应用程序不会关闭或忽略与B2B系统相关的其他安全控制,例如加密。
访问控制和用户认证
伙伴系统中松散的访问控制将使您感到头痛。为了避免篡改,公司应要求合作伙伴维护强大的活动密码程序。措施应包括要求经常更改密码,监视和记录密码使用情况,检测容易猜到的密码的工具以及设置访问策略的中央权限。如果合作伙伴通过其网络访问您的系统,则应禁止其设置部门密码。
对于敏感信息,公司应要求使用更高的访问和授权工具。但是对于不太敏感的交易(例如采购订单,拍卖和项目跟踪),强大的密码和用户名控制就足够了。
加密
专家和从业者表示,公司应要求其合作伙伴对通过互联网传输的任何敏感信息(客户数据,营销策略,劳资关系和未发布的财务信息)使用加密。
响应计划
应对计划是期望合作伙伴抵制的地方。大多数公司都专注于外围防御,但是一旦他们认为没有人可以介入,详细的响应计划就显得过大了。
合作伙伴应该提供他们的攻击响应计划的详细说明,并且应该围绕特定的系统设计,而不是书籍和手册中的通用样板。
另外,要求合作伙伴在一小时内将安全事件通知您。
分段架构
一些安全分析师主张将企业架构“分段”到较小的网络中,这些网络都位于单独的防火墙后面。这样,如果网络的一部分受到破坏,其余部分仍将保持安全。
背景调查
如果您自己组织中的标准做法是对有权访问敏感数据的员工进行背景调查,那么对于也有权访问的合作伙伴的员工,要求进行同样的检查是合理的。通过让业务代表而不只是IT人员参与谈判,您更有可能让您的合作伙伴同意进行背景调查。
合规审计
专家和从业人员一致认为,验证合规性的方法是通过定期审核(由Visa要求由您自己的审核员或独立的第三方安全公司进行审核)。通常,要求审核的一方会付账。
对安全性要求高的组织要求其合作伙伴定期或随机进行渗透测试。