【原创】千万大奖原是骗局 CIO警惕乙方成黑客

据《深圳特区报》报道，深圳福彩中心一家供应商的软件开发工程师，利用与深圳福彩中心实施技术合作项目的机会，通过木马攻击程序，恶意篡改开奖后的彩票数据，企图伪造双色球一等奖中奖事实，涉及金额高达3305万元。

类似事件还真不少，不仅刚刚爆出的这个深圳福彩中心事件，还有以前的中国移动的事情。2005年3月份，中国移动的供应商UT斯达康的工作人员，利用他为西藏移动做技术时使用的密码，4次入侵中国移动的数据库，给中国移动造成巨大损失。

种种案件都提醒CIO，要管好乙方，要管好合作伙伴。

在信息系统开发中，通常把出资建设IT系统的用户称作甲方，把提供技术服务的IT厂商、系统集成商称作乙方。为了获得更多的单子，乙方通常会对甲方百依百顺，召之即来挥之即去。然而，甲方因为乙方工作人员的非法操作而遭受巨额损失的真不在少数。

仔细分析一下这两个案例，发现有这样几个共同点：1.作案人皆为乙方的技术工作人员；2.作案人利用职务之便获取了甲方系统的某些关键信息，为攻击系统提供了方便；3.甲方没有对乙方工作人员采取足够的防范措施。中国移动那个案例，是因为作为甲方的西藏移动没有及时修改曾给乙方人员使用的账户的密码。从目前报道的情况，还看不出侵入深圳福彩中心的那位工作人员，是利用了什么样的职务之便。

作为甲方的CIO，如期抱怨犯罪分子贪财，还不如从自身找找原因，问自己一个问题，有没有管好乙方。有的CIO会很不屑地说：“这还需要管吗？我让他们做什么，他们就做什么。我让他们怎么做，就怎么做。”还有的CIO说：“我把它们当做自己人，就像我们自己的员工一样。”也有CIO说：“我对他们很信任，而且我和他们公司签订了保密协议，不会有事情了。”

其实，从这些说法里可以看出，CIO在管理乙方的目的和手段两个方面都存在一些误区。

首先看看管理乙方的目的方面的误区。让乙方听话，并不见得能管好乙方。一方面，一个听话的乙方并不一定能建好系统。甲方之所以要与乙方合作，是为了借助乙方的专业知识、服务和产品打造一个适合自己业务需要的信息系统。一个理性的CIO应该尊重知识，尊重专业人士的意见。另一方面，听话只是表面现象。在CIO和甲方能看见的地方，听话的乙方会做得尽善尽美。而在CIO看不见的地方，没准就有个陷阱在那里等着。

管理乙方手段上的误区更大。单靠一纸保密合同，是不能让乙方所有参与项目的员工乖乖听话的，也不能防止乙方工作人员利用其掌握的职务之便入侵系统。因为，合同的约束力在于事故发生后的惩罚，却不能有效地预防事故发生。做好一些细节工作，才是管理好乙方的关键。从近些年来爆出的案例中看出，CIO至少要有以下几个管理乙方的手段：

1.按照“必需知道”和“最小授权”原则对乙方相关人员授权。在合同终止或项目结束时，立刻关闭提供给乙方使用的相关账号。

2.建立密码设备管理制度，不仅要定期修改账户密码，还要及时修改曾授权给乙方相关人员使用过账号的密码。

3.确保在中止外包协议时收回或销毁乙方保存的所有资料。

4.严格控制乙方再次对外转包，采取足够措施确保甲方的信息安全。

俗语说，用人不疑，疑人不用。然而，在信息安全管理中，很多信息安全事故都是自己人干的，或者是自己相信的乙方干的。用人得疑，还得防。CIO只有多做一些修改密码、关闭账号类似的“小事”，才能少出点深圳福彩中心千万大奖类似的事故。

转载：感谢您对网站平台的认可，以及对我们原创作品以及文章的青睐，非常欢迎各位朋友分享到个人站长或者朋友圈，但转载请说明文章出处。