iT邦幫忙

0

請問系統開發平台應在客戶端或公司?

最近與主管有不同的意見,主管認為委外開發的系統應將開發平台設於公司內,讓廠商由外部連入公司內部進行系統開發以保障公司內部資料的安全性。但此廠商又要求公司開放防火牆port 22供其連線因透過vpn速度過於緩慢?
我的問題是

  1. 開發平台不是應由廠商自行建置,開發至某種程度後才上傳至公司內測試平台?
  2. 如何說服資安稽核員長期開放防火牆予廠商之必要性?
    專案已嚴重延宕,如何兼顧此兩面之考量? 想就教各位前輩~
總裁 iT邦好手 1 級 ‧ 2010-11-03 17:45:19 檢舉
先讓我搞清楚, 現在是時間問題還是資安問題??
如果系統只有開發委外, 資安問題又很重要, 那根本沒必要讓廠商可以連到公司內部, 只要規格講清楚, 廠商應該就可以開發了.
所以問題以您目前提供的資訊看起來, 只是廠商在為DELAY找藉口而已, 根本沒有資安問題.
aviwu iT邦新手 5 級 ‧ 2010-11-05 11:44:42 檢舉
您看到問題的重點,時間及資安都要兼顧,只能說遇到爛廠商真的是@#$^%$*&^%(
6
Ken(Bigcandy)
iT邦大師 1 級 ‧ 2010-11-05 21:01:17
最佳解答

aviwu提到:

  1. 開發平台不是應由廠商自行建置,開發至某種程度後才上傳至公司內測試平台?
  2. 如何說服資安稽核員長期開放防火牆予廠商之必要性?

1.是的,那是開發初期,這樣就近測試才快,但是,依照您的開發進度,要求廠商提供您這邊連線過去看。(此階段,資安是他擔心,除非沒有說要讓你們連線過去看開發進度)

但是,開發後期,就必須轉為企業內部,以確實符合用戶環境

2.想法不是很正確
開發後期、上線前,還有二個階段:獨立測試、上線前測試

獨立測試,就是個獨立環境,完全讓廠商掌控,卻是與企業內部完全分開的
上線前測試,才是轉為跟企業內部連接,做最後測試,這時候,通常採取管控方式為:
1.開放遠端遙控給開發廠商,限定時間
2.另外開啟一個一般用戶、一個最高權限帳號給廠商測試,最高權限那個,開放時間一樣綁定遠端遙控時間
3.開啟電腦稽核,以瞭解對方做了什麼,或是人工監控

因此,防火牆資安問題?應該是說,整體管控問題。

8
andyta24
iT邦新手 4 級 ‧ 2010-11-03 11:29:56

1.要求開發廠商,應該是負責此案的承辦人應該要求的吧。
2.是否一個好的理由就可以說服 ?

aviwu iT邦新手 5 級 ‧ 2010-11-03 11:34:54 檢舉

謝謝您的回覆。
1.本人是此專案承辦人的主管,同時也是資安的主管。
2.廠商提不出理由,側面得知因為是技術能力問題。

10
shunyuan
iT邦研究生 1 級 ‧ 2010-11-03 11:58:49

可以把問題描述的具體一點嗎,多提供一些資訊,包括是何種系統?用什麼開發工具?目前廠商是如何由外部連進來開發?

另外,純粹建議,在公司內部幫廠商準備一台開發用的電腦,在公司內部進行開發,不知道是否可行?以前我曾經是在配合公司內部開發程式,因為測試環境還有開發環境,那裡最方便。

aviwu iT邦新手 5 級 ‧ 2010-11-03 12:02:07 檢舉

謝謝您的回覆。
目前的難題即是不希望廠商連進公司內部進行開發,雖然這是最方便的方式,但對資安卻有重大影響。

shunyuan iT邦研究生 1 級 ‧ 2010-11-03 19:58:09 檢舉

aviwu提到:
是不希望廠商連進公司

不是連進公司,是駐點在公司特定的電腦上開發,除了開發所需的軟體外,那台電腦什麼都不裝。

kaoc iT邦新手 1 級 ‧ 2010-11-04 08:34:28 檢舉

同意shunyuan說法
簡單說, 你的主管想法是對的

10
Albert
iT邦高手 1 級 ‧ 2010-11-03 12:49:13

[quote=aviwu]最近與主管有不同的意見,主管認為委外開發的系統應將開發平台設於公司內,讓廠商由外部連入公司內部進行系統開發以保障公司內部資料的安全性。但此廠商又要求公司開放防火牆port 22供其連線因透過vpn速度過於緩慢?
我的問題是

  1. 開發平台不是應由廠商自行建置,開發至某種程度後...(恕刪)[/quote

我們是 OpenSource 技術轉移顧問 Skype: Adempiere/Compiere

一般來說我們就是你所說的[委外廠商]

[委外廠商]分[技術委外廠商]與[人力委外廠商]

[技術委外廠商]就是傳統產業的樣品試做

[人力委外廠商]就是大量複製成功的樣品

我們是不可以[碰觸客戶的主機]

我們有一個交接的 SVN Server

客戶自己取用

你怎可以讓客戶登錄你家的內部系統

安全控管怎會通過

看更多先前的回應...收起先前的回應...
aviwu iT邦新手 5 級 ‧ 2010-11-04 10:56:19 檢舉

謝謝您的回覆。另想請問貴公司的 SVN Server主要用途為?

sula3065408 iT邦研究生 1 級 ‧ 2010-11-04 15:28:37 檢舉

SVN(Subversion)當然是取走source code,都說是Open Source了。
話說...你就叫開發商架台伺服器,檔案交接你們自己去他家拿不就沒事了。

Albert iT邦高手 1 級 ‧ 2010-11-05 13:53:07 檢舉

aviwu提到:
主管認為委外開發的系統應將開發平台設於公司內,讓廠商由外部連入公司內部進行系統開發以保障公司內部資料的安全性。

你的委外開發商是屬於系統整合廠商
不是軟體開發商(軟體供應商)
軟體開發是碰不到貴公司任何主機
我們幫 : 企業/銀行/政府機關:
開發軟體時他的 Server 是什麼樣子多沒看過!!

Albert iT邦高手 1 級 ‧ 2010-11-05 13:58:13 檢舉

albertachen提到:
多沒看過

都沒看過

MS-SQL Server 開發團隊 根本不會看過你的 Server

6
twnem
iT邦好手 1 級 ‧ 2010-11-03 19:34:17

在公司內部準備一台電腦
讓委外的廠商連進來測試或開發
這樣是可行的 ...... 提供給您做參考。

4
dscwferp
iT邦好手 1 級 ‧ 2010-11-05 13:05:26
  1. 給廠商快一點的VPN, 拉新的也值得!
  2. 22 一般是 SSH 的PORT , SSH 傳輸資料是有加密的,
    所以很安全,
    但 SSH 有個漏洞, 所以不開 22 改開別的PORT, 讓駭客猜不到!
    設定 SSH 開啟時間 & PORT 定時換!
    以上給您參考!

我要發表回答

立即登入回答