藍盟企業it外包服務

我剛參加工作的時候，做了5年多的外包，而且都是面向銀行的軟件外包。

對於軟件外包到底安不安全，我覺得還是分情況來說吧。

外包人頭

首先我們說一說買人月這種情況，也就是某公司給你們公司提供一些員工，完全聽從你們公司的安排，費用就按照一個人一個月多少錢來算。這種方式一般在那些本身具備較強的軟件開發實力的公司而短時間內人手不足時比較常見。

這種購買人月的方式一般外來的員工是不能接觸到公司的核心代碼以及核心數據的，所以相對來說是比較安全的方式。

外包項目

我們再來說一說外包項目這種情況，也就是按照項目需求的工作評估來算費用，至於外包公司派多少人來、派什麼樣的人來一般不做硬性要求，只是對項目團隊的基本能力和項目工期有一定的框架性的要求。

這種項目外包的方式，可能會在項目投產後的運營維護期間存在生產數據洩露的問題，按照金融行業對生產環境的操作要求，是必須要雙人操作才行的，也就是一名本公司技術人員加一名外包項目人員一起才能夠進入機房或者是操作生產數據。從一定層度上來說也能夠避免業務數據的洩露。

IT外包

最後來說一說題主提到的這種IT外包的方式，這種方式太危險，對於老闆來講，不想在IT方面有所投入，又想當翹腳老闆，結果是把自己的命脈交到別人手上，別人想怎樣就怎樣。

綜上所述，強烈不建議採取IT整體外包的方式，作為一個信息化時代的企業，最好還是培養一個自己的IT團隊，人不在多而在精，能夠把握企業自身的核心，帶領外包團隊或外包人員進行項目實施即可。另外，無論是選擇何種外包方式，保密協議必須要籤，至少從道德上規避風險，萬一發生了洩露事件，從法律層面上也有理有據。

程序員愛編程

本人從事金融軟件工作，就結合自己的工作來談談樓主對it外包的數據洩密風險問題。就拿我們公司的系統來說，以前幾乎90%都是通過外包公司開發的，這幾年隨著金融科技的高速發展，科技人才隊伍不斷壯大，系統自主可控率才逐步提升。但仍有相當多的系統仍然依賴外包公司來開發，今天就從以下幾個方面來談談外包對信息安全的影響：

1、人力外包模式，俗稱的“賣人頭”。這種模式基本外包公司就是提供人頭，結算以人力投入為依據，說白了就是外包公司一個月在甲方投入多少人力，就拿多少錢，具體外包人員幹什麼活，完全由甲方安排。這種模式的外包合作，個人認為對信息數據的保護還是存在比較大的風險的，因為外包公司無法直接管控到每個外包人力的工作內容，而甲方大部分也僅僅是分配任務，對外包人力的管理存在侷限性，也僅僅只能靠規章制度來約束外包人力。

2、項目外包模式。這種模式一般就是將整個項目打包給外包公司完成，外包公司一般都有成熟的產品，在現有產品基礎上結合客戶需求進行改造，同時項目會配備完善的項目管理，組建項目組，項目經理對整個項目負責，能有效的降低數據洩密的風險。

3、不管是人力外包還是項目外包，當前軟件開發的模式大部分都要求進駐甲方的辦公場所，而且一般甲方會提供辦公設備或開發終端，在安全部門的嚴格監督下，數據一般都是隻進不出，從技術上提供了防止數據洩露的保障。

4、生產環境的信息數據才有利用價值，而外包人員一般很難能直接從生產環境提取到信息數據，哪怕要提取也要經過一道道的程序，很容易被發現。

5、如果擔心外包引起信息數據洩露，那在與外包合作的合同上明確權責，這樣出現了洩露事件，可以第一時間對外包公司進行追責，外包公司也就會更加重視信息安全。

信息安全關乎每個人的切身利益，大家務必重視！！！

IT漫話

不安全，就算不是外包，完全自主掌控的話，也不安全。

我認為 IT 的安全可以分成這麼幾個部分：

• 數據洩露：比如公司有一些敏感數據的話，是萬萬不能洩露出去的，比如客戶信息，包括客戶的姓名、證件號、手機號、家庭住址等等；再比如一些訂單信息，甚至每天的訂單量，這些都是公司的商業機密。

• 數據丟失：這裡的丟失不是被拷走的意思，而是數據被刪除，不能恢復的意思。

• 代碼洩露：有些人可能認為代碼洩不洩露也沒啥影響，覺得咱們寫的大部分項目都是增刪查改，沒有什麼可保密的；拋開一些值得進行保護的代碼，一般項目的代碼洩露，可能會導致數據庫配置的洩露，同樣會威脅到數據的安全；已經發生過很多次，開發人員直接將單位的代碼上傳到網上公開的代碼託管平臺，導致數據庫配置洩露，被不法分子利用。

那麼回到題目，想將 IT 外包出去，又擔心公司信息洩露，我建議可以這樣做：

外包和自主掌控相結合

如果公司有一定 IT 能力的話，建議採用外包和自主掌控相結合的方式推動；一些關鍵性的內容，還是掌握在自己手裡比較好。

比如數據庫的維護，就不要輕易讓外包有生產環境的權限了，這樣至少可以排除一定的風險。

加強權限管控和故障恢復機制

對於內部員工，也需要加強權限管控，不同的崗位，應該有不同的操作權限：比如 DBA 的權限最大，開發人員只需要有對錶中的數據有讀取和操作權限即可，測試人員的話只需要只讀權限等等；

故障恢復機制也很重要，如果生產上的數據只有一份的話，萬一被刪除就是致命的。

操作必留痕

對於數據庫的操作，甚至是系統的操作，是必須留下操作軌跡的；對於一些敏感操作，應該要做預警的；比如數據庫中的用戶信息表發生數據的導出、下載。

必要的數據脫敏

有些心懷不軌的人，雖然沒有操作數據庫的權限，但是可以通過頁面查詢到敏感數據，手動複製粘貼，這時候就需要對頁面進行脫敏處理展示了；

數據脫敏的意思就是有一些數據不能完整展示，需要遮住一部分字段，比如手機號只展示前三位+後四位，中間四位打成星號。

加強宣導

在技術層面減少數據洩露的風險，同時也需要從管理入手，加強對數據洩露危害的宣導，讓員工提高重視；公司敏感數據的洩露，會觸犯法律的，嚴重會被判刑坐牢。

我將持續分享Java開發、架構設計、程序員職業發展等方面的見解，希望能得到你的關注。

會點代碼的大叔

我不做外包，但從一個長期合作伙伴以及自己公司的使用外包的情況，說一下吧

IT外包在我們公司很正常，我們公司是外企，全球的IT都外包。他們有駐場的，也有遠端集中的服務中心。我們公司也會有人銜接外包公司，包括所有IT外包期間的項目和運維。員工信息外洩，覺得好像沒有什麼防範。不過公司內部的客戶信息，項目信息，商務上的文件和數據倒是有很嚴格的規範，權限管理還是很嚴的。就算員工也只能找到和自己相關的信息的授權，其他依賴系統。就連郵件系統都是使用微軟的雲端的outlook。

我覺得我們公司是極度相信大企業提供的IT服務。

我們的一個長期合作的夥伴是一家國企，他的IT是使用人力外包的方式從外包公司僱人駐場服務，少量自己公司的員工，大量的外包人員。感覺上還是很多漏洞，部分敏感的信息的歸自己員工負責，其他都交給外包的人。外包公司的人員流動雖說不頻繁，但工資待遇和正式員工還是有差距，活又多又累，人還是浮躁的。對於這家企業，也習慣了，活只要有人幹，流動就流動吧。

信息外洩也是他們頭等大事，現在也在出臺很多規範補漏。隨機突擊檢查，定期掃描，CCTV監控，完善門禁登記等。搞到最後，總要在效率和嚴防之間有一個取捨？

gzluke

服務外包是一個很成熟、很普通的模式，從私營企業到國家部位，從電子商務到銀行業，IT業務外包隨處可見。因為外包能提高效率降低成本，好處顯而易見。

數據安全並非外包就會洩露，更多的案例是內部的員工所為，比如眾所周知的通訊公司員工倒賣用戶信息。為什麼外包IT是安全的呢？

1.外包公司是公司行為，風險由外包機構承擔；內部員工屬於個體，就算無意搞出問題，個體承擔風險的能力也遠遠不能跟公司相提並論。

2.外包公司為了在競爭中生存下去，一般會愛惜自己的羽毛，到目前為止，還沒聽說哪個外包公司竊取倒賣用戶信息(金融業基本上都是服務外包:包括系統服務、軟件開發、日常維護、故障處理等)。同理，律所與會計師事務所知曉服務對象的商業機密，也從沒聽聞洩露過什麼機密。到時前段時間，微盟自己的運維，把自家的數據庫刪得精光，哈哈！

3.外包公司不掌握業務邏輯，看到的只是磚頭，而運營人員才是真正看見整個建築物的人員。比如一個計費系統，系統管理員(sa)看到的是文件，數據庫(dba)看到的是記錄，後天運營人員，登錄管理後臺後，根據設定權限不同，獲得的是可以清晰理解的完整數據，比如一天的營業額、新增用戶…，你現在覺得誰更要防備呢？

3.法律及制度。公司是組織機構，以盈利為目的，以發展更多的客戶為目標，不太可能花精力來做代價高且違法的事情。

基於以上原因，外包還是可行的，化解風險在於制度及法律。管理制度制度的好，可落地執行，並且根據實際情況簽訂邊界，遠比自己僱員要有效。

西都月季

我就在外包公司，前不久我們公司發生了一起嚴重的洩露客戶代碼事件，客戶一查到底，追究我們公司責任，導致公司利益受損，洩露者本人被司法機關控制

我想說的是永遠不要相信人的自覺，不管是外包還是你們自己的員工，一定要用制度和技術去管理，比如網絡和代碼的權限控制，比如要求所有人使用公司電腦，關閉usb，關閉文件外發，禁止訪問網盤雲盤，監控所有電腦，等等，再配合嚴格的追責制度，多加強調宣貫，讓所有人員知道洩露的後果，這樣才能減少發生信息洩露事件的概率

OcelotConsul

從事軟件開發多年，對於軟件這塊還是不太建議外包的方式，外包雖然是一種非常快速的讓那個企業擁有產品的一種方式，但是外包隱患還是非常巨大，特別是一些規模不是很大的外包公司，本身裡面人員就不太穩定，如果出現一個問題很可能當初的代碼和相關的技術場景都很難還原，但是外包行業還是存在很大的市場，外包是能夠解決這麼一種場景需要一種定製化的產品，但本身在資金或者人員配置不夠，為了業務的需要還要去做，於是找到外包公司給完成，本來是一種雙贏的工作，但因為軟件技術開發的特殊性還是會遺留很多問題。

外包裡面到底有多深的水

如果條件允許的情況下，還是建議找正規外包公司，雖然費用貴點起碼品質能夠保證。像華為很多項目都是外包來完成，品質也是能夠保證，主要原因華為公司平臺比較強，能夠源源不斷拿到大的訂單，所以配套的外包公司重視程度也會不一般，所以在質量以及售後的保障上都能跟得上，哪個外包公司敢得罪華為這個金主，到了這種性質的外包質量還是非常可靠的，而且很多給華為做外包的企業員工，在做完這個項目之後就加入華為公司了，外包公司屬於弱勢一方。

如果真的需要項目的外包還是建議找正規一點的外包企業，這樣在後期維護方面還能跟得上，小的外包公司風險相對會比較大。

小的外包公司風險較大。小的外包公司相對來講價位會便宜一些，功能的修改也會更加隨意一點，但是由於人員的配備問題，在初期功能完善的非常快，關鍵是後期需要增加新的功能時候，售後很可能跟不上，而且經常遇見之前主要的開發者已經離職的情況，新的技術人員又不瞭解情況，畢竟軟件類的產品，需要更新修改的地方還是相當多，不是簡單的一錘子買賣。有些外包公司為了補加額外的功能費用，還會對服務器上做一些手腳，讓一些基本的功能不能正常的運轉，這種情況在實際開發過程中遇見過，所以外包軟件開發如果不是必須不建議去做。

當然不能簡單的認為所有的外包公司都不好，很多外包還是服務非常到位，主要這個行業參差不齊很容易就被各種渾水給攪和了，裡面欺生的現象太嚴重，仗著對方不明白在裡面做了很多不光彩的事情，甚至還出現極限的刪庫問題，只要是外包很多數據肯定是暴露出來了，這種是無法避免的，所以很多企業在外包公司完成之後就開始修改服務器的密碼。

如果真是到了必須請外包的地步，建議選擇公司大點的企業，而且在合同條款要明確清楚，畢竟軟件外包產品後期維護的可能性非常大，不要覺得做完了萬事大吉了。很多做外包的程序員做不了幾年就轉行找個有自己產品的公司，開始新的征程了畢竟外包公司給人的感覺還是沒有成就感，希望能夠幫到你。

大學生編程指南

要分清楚哪些it業務是公司的核心業務，哪些是it當中的外圍業務，然後自己公司要有維護管理核心數據及應用層面的it業務的能力，把一部分勞動密集型重複性強的分離出來，做為外包業務支持，這樣可以解決公司相關部門人員名額問題，同時提高自己核心團隊服務於公司主營業務的能力，比如一家公司的help desk業務，日常反覆的電腦安裝，網絡連接端口排查，it廠商硬件保修，可以做適當外包，比如遠程支持分支機構的基礎運維，都能考慮通過外包方式解決，公司的核心數據庫，核心分析平臺，核心自用平臺，二次開發的ERP軟件，這種業務本來就具有獨特性和公司數據保密性，一旦流失或被競爭對手公司獲得，會造成嚴重損失，哪還是要公司自己管理比較妥當。

money-maker154823023

事先聲明，我並不從事IT相關業務，也沒有打廣告的企圖。

可以的。既然你們要外包公司IT，那我就假設你們公司並不是互聯網行業，IT業務是輔助作用，而不是你們公司的主業。

一般這種公司要求外包，能降低企業運營成本，減少公司支出費用。通過電話，郵件等提交IT申請，然後外包公司就會通過VPN網絡在後臺給你解決軟件問題，通過外派技術代表到公司解決硬件問題。也有一些公司乾脆連電腦，打印機等設備都是租用的，直接輕資產上陣運營。

但是，公司運營不能緊緊看成本降低多少。而是看實際效果。9102年代，離開電腦基本就不用辦公了，就算能工作，效率也是極低的。因此還是有以下幾個缺點：

1. 通過電話，郵件等溝通的外包公司，只能解決小問題，大問題的時候基本沒用。

2. 現代企業還是有不少地方需要自己開發小軟件提高工作效率的。例如製作一個適合自己公司業務流程的小型數據庫(ACCESS就好，看書都能零基礎自己動手做)什麼的，簡單，實用。自己公司的IT人員也能更好的理解公司業務流程，開發維護軟件。外包公司是不會管這些的，你要開發任何軟件都要重新報價付費，而這還是不涉及後期維護或者軟件修改的費用。

總之，外包可能會降低自己公司生產成本，但基本不可能再提高生產效率。如果只是小型公司就還好，中大型企業基本可以告別效率了。

哦，對了，還有數據安全這一塊。一般來說還是安全的，外包公司只負責你的防火牆外圍，但不能解決內部密碼。例如說，你有一個加密文件，它要得到你的文件並解密跟外部黑客獲取你的文件方式是一樣的，非法破解密碼也是一樣的。並無更容易的方法，反而外包公司還要維護你的網絡安全，這樣也是跟自己IT部門基本一樣。只是自己IT部門解決不了的網絡安全問題時，他可以選擇拔網線，而外包公司無法遠程拔掉物理網線。

綜上所述，是否外包公司IT其實也是利弊摻半的事情，但我個人覺得對於中大型企業來說，弊大於利。

的士通勤王

作者實在不必過於擔憂數據洩露問題

原因：1.在開發過程中，產品未上線之前，不存在數據洩露一說

2.產品上線後，服務和數據庫是部署在自己公司的。外包後續對你產品的維護，操作也是可控的。

3.公司間的保密協議和一個程序猿的職業素養

關鍵字: 軟件 職場 人生第一份工作