13046685510

就算不是外包，完全自主掌控的话，也不安全。

我认为 IT 的安全可以分成这么几个部分：

● 数据泄露：比如公司有一些敏感数据的话，是万万不能泄露出去的，比如客户信息，包括客户的姓名、证件号、手机号、家庭住址等等；再比如一些订单信息，甚至每天的订单量，这些都是公司的商业机密。

● 数据丢失：这里的丢失不是被拷走的意思，而是数据被删除，不能恢复的意思。

● 代码泄露：有些人可能认为代码泄不泄露也没啥影响，觉得咱们写的大部分项目都是增删查改，没有什么可保密的；抛开一些值得进行保护的代码，一般项目的代码泄露，可能会导致数据库配置的泄露，同样会威胁到数据的安全；已经发生过很多次，开发人员直接将单位的代码上传到网上公开的代码托管平台，导致数据库配置泄露，被不法分子利用。

那么回到题目，想将 IT 外包出去，又担心公司信息泄露，我建议可以这样做：

外包和自主掌控相结合

如果公司有一定 IT 能力的话，建议采用外包和自主掌控相结合的方式推动；一些关键性的内容，还是掌握在自己手里比较好。

比如数据库的维护，就不要轻易让外包有生产环境的权限了，这样至少可以排除一定的风险。

加强权限管控和故障恢复机制

对于内部员工，也需要加强权限管控，不同的岗位，应该有不同的操作权限：比如 DBA 的权限最大，开发人员只需要有对表中的数据有读取和操作权限即可，测试人员的话只需要只读权限等等；

故障恢复机制也很重要，如果生产上的数据只有一份的话，万一被删除就是致命的。

操作必留痕

对于数据库的操作，甚至是系统的操作，是必须留下操作轨迹的；对于一些敏感操作，应该要做预警的；比如数据库中的用户信息表发生数据的导出、下载。

必要的数据脱敏

有些心怀不轨的人，虽然没有操作数据库的权限，但是可以通过页面查询到敏感数据，手动复制粘贴，这时候就需要对页面进行脱敏处理展示了；

数据脱敏的意思就是有一些数据不能完整展示，需要遮住一部分字段，比如手机号只展示前三位+后四位，中间四位打成星号。

加强宣导

在技术层面减少数据泄露的风险，同时也需要从管理入手，加强对数据泄露危害的宣导，让员工提高重视；公司敏感数据的泄露，会触犯法律的，严重会被判刑坐牢。