在發明計算機前，圍繞業務合作伙伴的安全問題就已經是現實。為便于討論，業務合作伙伴是指和你的企業有業務關系的個人或組織，并且作為合作關系條款中的內容，他們能夠訪問一些敏感數據或系統。

當組織和業務合作伙伴互相聯系并且為對方提供對內部系統更多的訪問時，更多的信息安全挑戰就產生了。因為業務合作伙伴通常與受信任的內部人員或外包商一樣，擁有相同的數據或系統訪問級別，組織承受著許多顯著的信息安全挑戰，這與組織已經面對的內部威脅風險相似。業務合作伙伴的特權訪問只是放大了風險，像任何內部人員一樣、業務合作伙伴能夠繞過為阻撓外部或非信任源訪問而設置的安全控制。

組組織需要進行盡職調查，以確保其免受于業務合作伙伴所帶來的風險。本文中，我們探討涉及到業務合作伙伴的典型風險以及緩解這些風險的方法。

涉及業務合作伙伴的典型風險

涉及到業務合作伙伴的典型風險主要依賴于訪問的類型、數據和可供訪問資源的風險級別。業務合作伙伴能以許多不同的方式訪問內部的網絡：直接的物理訪問、本地或遠程的憑證登錄。從業務流程的角度來看，這樣的訪問對于業務合作伙伴扮演的角色是關鍵的，但是從安全的角度來看，這種情況是設想合作伙伴知道如何并且負責地使用該訪問權限。不過，現實情況不總是這樣的。

類似地，另一個風險是，與你的組織相比，業務合作伙伴實行的信息安全實踐不太安全。在一些合作伙伴組織中，共享個人的登錄憑證就像常規一樣，這可能導致伙伴的訪問權限被竊取或是無意地被用來攻擊你的系統。通常這種使用合法的訪問憑證、通過受信任的連接進入的攻擊手法很難偵測。例如，如果業務合作伙伴的系統設定為能通過SSH經由因特網遠程訪問他們的網絡，一旦他們使用的單因素認證和密碼被惡意軟件捕獲或是被暴力破解，攻擊者就可以使用這個賬戶通過受信任的網絡連接攻擊你的系統。在業務合作伙伴的網絡到你的組織間使用受信任網絡連接，使得該攻擊難以偵測，因為它可能不會通過你的邊界安全檢測。

另外，業務合作伙伴可能訪問、存儲或處理數據的風險，會因業務合作伙伴關系的不同而不同，但是比起訪問系統來說，這可能會有更大的風險。如果業務合作伙伴存儲像社會保險號這樣的敏感數據，并且他們的安全防線被突破，你的組織可能需要負責把這個安全事故、相關的成本和潛在的責任告知你的顧客，即使你的安全沒有直接地受到損害。對于合作關系來說，更嚴重的風險是與業務合作伙伴共享的知識產權遭受任何未授權的訪問。

緩解和管理業務風險的方法

總之，管理與業務合作伙伴安全有關風險的最佳方法是，實施強大的安全控制。你的組織能夠實施以下這些技術，來確保業務合作伙伴對你組織系統訪問的安全：對所有的數據傳輸使用加密的連接，要求所有的訪問通過使用強認證個人帳戶，記錄所有的訪問和活動，然后審閱這些日志來尋找可疑的活動。合適的業務控制包括對新用戶的正確授權，由管理層審閱訪問列表以及合同中定義合作的關系。

與業務合作伙伴的合同應該包括對安全控制的引用，包括希望伙伴滿足的職責和期望，例如員工必須遵守一樣的安全策略。該合同應該包括關于報告安全事故、保護系統和數據所需提供的最少的安全控制的細節，以及訪問方面的細節。包含以上條款的合同，或是對已存在合同的內容補充，會有助于確保對雙方的期望得到理解。

對于那些不尋常、或是涉及到安全團隊認為可能帶來更高安全風險的業務合作伙伴安排，你的組織可以進行風險評估，這是在執行合作關系前應努力一部分。這可以確保管理層和其他利益相關人理解賦予業務合作伙伴訪問你們系統所涉及到的技術風險，本質上，這是讓管理層推進合作關系的決策，（對合作伙伴）進行專門的控制來降低風險，或是選擇不發起業務合作。

管理業務合作伙伴或是受信任內部人員的風險另外的方法是，記錄并定期審查日志，從而尋找可疑的行為。根據日志的數量，這可能需要自動的工具來幫助辨識需要人工調查的事件，但理想情況是，你的安全團隊已經有合適的日志審查能力來做這個事情。

一開始，如果你實施強大的安全控制、進行風險評估或是定期地審閱相關日志，會讓你的業務合作伙伴覺得你不信任他們。如果對于所有的業務合作伙伴遵循一樣的實踐和評估模型，就會很容易讓潛在的業務合作伙伴將那些作為標準，從而盡職盡責。同樣你要謹記，如果你沒有遵守對業務合作伙伴提出的安全需求，業務合作伙伴可能會對提供你的組織到它們系統的任何訪問感到擔心，并使兩者間的關系變得緊張。

管理業務合作伙伴風險：結論

毋庸置疑，在當今以計算機為中心的世界中，為快速地和有效地進行業務，新的業務交互和賦予業務合作伙伴訪問權限已經引起了新的風險。對系統和數據新增的訪問權限給組織增加了風險點，但是圍繞業務合作伙伴的這些安全風險是可以成功緩解的。記住，盡管業務合作伙伴安全風險總會以某種形式存在，但最終安全的角色是為業務領導者提供建議，關于這些風險、以及如何控制到位從而最大程度地緩解這些風險。