系统上线找外包、设备维保让厂商远程上来、临时项目拉个兼职……中小企业几乎天天都要把”外人”放进公司内网。可这些第三方人员该给什么权限、给多久、走了之后通道还开不开着,很多公司根本没人管。今天讲清楚外包和第三方人员访问内网的真实风险、为什么”给个 VPN 账号就完事”最危险、以及怎么做到”按需开、到期自动关、全程有记录”。
先说结论
第三方访问内网最大的风险,不是”对方是坏人”,而是权限给得太大、开得太久、还没人盯着——一个共享的 VPN 账号、一条长期敞开的远程通道,就可能成为外部攻击打进内网的跳板。正确做法是把第三方当成”临时、受限、可审计”的访问者:只开放他这次要碰的那一两个系统、限定时间、用完就关、全程留痕,而不是丢给他一个能进整个内网的万能账号。
外包/第三方进内网,会出哪些事
- 一个账号进整个内网:只想让厂商修台服务器,结果给的账号能横着访问全网,财务、OA、文件服务器全在射程内。
- 通道长期不关:项目早结束了,当初开的远程账号还留着,几个月后没人记得,成了”僵尸入口”。
- 账号被共享、被复用:外包团队几个人共用一个账号,出了事根本查不清是谁干的。
- 对方安全水平不可控:第三方的电脑可能带毒、密码可能很弱,他的账号一旦泄露,等于把你内网的钥匙交了出去。
- 出事查不到证据:数据被导走、配置被改乱,却没有任何访问记录,合规审计和事后追责都没法做。
第三方访问要管住的五件事
把下面这几条做成一张第三方访问审批/回收清单,每次放人进来逐项过一遍:
| 要管的 | 怎么做 |
|---|---|
| 访问范围 | 只开放本次要碰的那台机器/那个系统,其余一律不可见、连不上 |
| 访问时长 | 设定有效期,到期自动失效;长期维保也按月/按季复核续期 |
| 账号归属 | 一人一号,禁止外包团队共用一个账号,谁操作的查得到 |
| 身份验证 | 登录要验证身份,尽量加一层手机/动态码,别只靠一个密码 |
| 操作留痕 | 谁、什么时候、访问了什么、做了什么,都要有日志可查 |
为什么”给个 VPN 账号”最不该用
- 进来就是全网通:传统远程访问往往”连上就在内网里”,很难限定只能碰某一台机器。
- 开关全靠手工:开账号、关账号都得管理员手动操作,一忙就忘,通道越攒越多。
- 看不见、查不到:对方在里面访问了什么、动过什么,基本没有记录。
- 共享账号天然甩锅:一个账号多人用,出了问题谁都不认,责任无法落实。
正确做法:按需授权 + 到期自动收
核心思路是把第三方访问从”给个万能入口”变成”按这一次的需要,精准开一道小门“:
- 统一身份入口:第三方也要先过一道身份验证,账号和权限集中在一个后台管理,不散落在各系统。
- 最小权限:只授权他这次要访问的那一两个资源,其他内网系统对他完全”隐身”,看不见也连不上。
- 限时访问:授权带有效期,项目结束或时间一到自动失效,不依赖管理员记得去关。
- 一人一号 + 可审计:每个第三方人员独立账号,访问记录完整留存,出事查得到、合规拿得出证据。
对中小企业,最省心的是用 SaaS 化的零信任方案。以 sTrust 为例:外包和厂商人员要访问内网,都先在统一入口验证身份,业务系统对公网”隐身”;后台按账号、按资源精细授权,只开放他这次要碰的系统、设好有效期,用完在后台禁用即可一键收回,访问全程有日志。控制面在国内、已备案、可配合等保 2.0,软件方式开通不用买硬件,国内直连连得稳。北京企业要本地落地实施,也可以让 思文力得 把第三方账号管理、网络和远程接入一起打包做掉,给自家 IT 团队搭把手。
立刻可以做的三件事
- 盘点僵尸通道:把现在所有给外包/厂商开过的远程账号列出来,项目已结束的立刻关掉。
- 改成一人一号:停掉共享账号,给每个第三方人员单独账号,出事能追到人。
- 设有效期:以后凡是放第三方进来,都带上到期时间,别再开”永久通道”。
常见问题
Q:就让厂商远程修个东西,有必要搞这么麻烦吗?
A:有。最常见的内网入侵就是从一条”临时开、忘了关”的第三方通道进来的。麻烦的是一次配置,省掉的是一次可能的数据泄露。
Q:外包团队好几个人,共用一个账号方便,不行吗?
A:不建议。共享账号一旦出事根本查不清是谁,责任无法落实;一人一号才能做到可追溯。
Q:怎么保证项目结束后通道一定关掉?
A:靠人记容易漏,最好用能”设有效期、到期自动失效”的方案,或在统一入口禁用账号即全部收回,不依赖手工逐个删。
Q:中小企业没有专职安全,怎么落地?
A:用 SaaS 化的零信任方案(如 sTrust),软件开通、不用买硬件,授权和回收都在后台点几下;也可以交给 IT 运维服务方帮忙配置和维护,当自家 IT 的外援。
还在用一个 VPN 账号把外包”放”进整个内网?
sTrust 零信任远程访问:第三方先验证身份、按资源精细授权、限时访问到期自动失效、一人一号全程可审计,业务系统对公网隐身、可配合等保 2.0,软件开通不用买硬件、国内直连连得稳。访问 strust.siwenlide.com 免费试用;北京企业本地落地可拨 400-686-2011 或访问 siwenlide.com。