aviwu提到：

1. 開發平台不是應由廠商自行建置，開發至某種程度後才上傳至公司內測試平台?
2. 如何說服資安稽核員長期開放防火牆予廠商之必要性?

1.是的，那是開發初期，這樣就近測試才快，但是，依照您的開發進度，要求廠商提供您這邊連線過去看。(此階段，資安是他擔心，除非沒有說要讓你們連線過去看開發進度)

但是，開發後期，就必須轉為企業內部，以確實符合用戶環境

2.想法不是很正確
開發後期、上線前，還有二個階段：獨立測試、上線前測試

獨立測試，就是個獨立環境，完全讓廠商掌控，卻是與企業內部完全分開的
上線前測試，才是轉為跟企業內部連接，做最後測試，這時候，通常採取管控方式為：
1.開放遠端遙控給開發廠商，限定時間
2.另外開啟一個一般用戶、一個最高權限帳號給廠商測試，最高權限那個，開放時間一樣綁定遠端遙控時間
3.開啟電腦稽核，以瞭解對方做了什麼，或是人工監控

因此，防火牆資安問題？應該是說，整體管控問題。

1.要求開發廠商，應該是負責此案的承辦人應該要求的吧。
2.是否一個好的理由就可以說服 ？

可以把問題描述的具體一點嗎，多提供一些資訊，包括是何種系統？用什麼開發工具？目前廠商是如何由外部連進來開發？

另外，純粹建議，在公司內部幫廠商準備一台開發用的電腦，在公司內部進行開發，不知道是否可行？以前我曾經是在配合公司內部開發程式，因為測試環境還有開發環境，那裡最方便。

[quote=aviwu]最近與主管有不同的意見，主管認為委外開發的系統應將開發平台設於公司內，讓廠商由外部連入公司內部進行系統開發以保障公司內部資料的安全性。但此廠商又要求公司開放防火牆port 22供其連線因透過vpn速度過於緩慢?
我的問題是

1. 開發平台不是應由廠商自行建置，開發至某種程度後...(恕刪)[/quote

我們是 OpenSource 技術轉移顧問 Skype: Adempiere/Compiere

一般來說我們就是你所說的[委外廠商]

[委外廠商]分[技術委外廠商]與[人力委外廠商]

[技術委外廠商]就是傳統產業的樣品試做

[人力委外廠商]就是大量複製成功的樣品

我們是不可以[碰觸客戶的主機]

我們有一個交接的 SVN Server

客戶自己取用

你怎可以讓客戶登錄你家的內部系統

安全控管怎會通過

在公司內部準備一台電腦
讓委外的廠商連進來測試或開發
這樣是可行的 ...... 提供給您做參考。

1. 給廠商快一點的VPN, 拉新的也值得!
2. 22 一般是 SSH 的PORT , SSH 傳輸資料是有加密的,
   所以很安全,
   但 SSH 有個漏洞, 所以不開 22 改開別的PORT, 讓駭客猜不到!
   設定 SSH 開啟時間 & PORT 定時換!
   以上給您參考!