供应商网络安全评估框架的搭建与执行 - 保密网

很多企业对供应商的保密管理停留在纸质协议层面，对供应商的网络安全水平了解得不够。但实际情况是，供应商的网络安全能力直接决定着企业数据在供应商端的风险状况。供应商的防火墙配置不当、服务器补丁更新不及时、员工密码管理松散，任何一个环节都会成为数据泄露的突破口。

搭建一个实用的供应商网络安全评估框架，可以帮助企业在选择供应商和日常管理中对网络安全风险有更清晰的把握。

评估框架可以围绕六个核心维度展开。

首要个维度是网络架构的安全性。供应商的网络是否做了分区隔离，企业数据和供应商的其他数据是否在网络上做了隔离。供应商是否有防火墙、入侵检测等基础安全设备，这些设备是否有专业人员管理。供应商的对外网络接口是否合理，是否有不必要开放的端口和服务。

评估时可以要求供应商提供网络拓扑图和安全设备清单，通过远程或现场方式验证网络隔离措施的有效性。如果供应商使用的是公共云服务，还可以要求提供云服务商的安全配置证明。

第二个维度是身份认证和访问管理。供应商内部员工的账号管理是否规范，是否采用了强密码策略，是否有定期的密码更换要求。供应商对管理员账号的管理是否严格，是否存在共用账号的情况。供应商是否有多因素认证的机制，至少对拥有特权的管理员账号是否有该机制。

评估的方法可以是随机抽查供应商员工的账号权限设置情况。看账号的生命周期管理是否到位，新员工入职后是否及时开通合适权限，离职员工是否在规定时间内注销账号。

第三个维度是数据加密能力。供应商在传输和存储企业数据时使用了什么样的加密措施。数据传输是否使用了TLS等标准加密协议，传输中的敏感数据是否经过了加密。数据在存储设备上是否做了加密处理，加密密钥是如何管理和存储的。

评估时可以要求供应商提供加密策略的技术说明和加密算法的相关信息。对于云环境中的供应商，核实数据的加密是否由供应商掌控密钥，还是客户可以持有自己的加密密钥。

第四个维度是漏洞管理和补丁更新。供应商是否建立了系统漏洞的发现和修复机制，关键系统和应用能否及时得到安全补丁更新。供应商对已知漏洞的处理时效是否合理，是否有漏洞跟踪和修复记录。

评估的方法是检查供应商近一年的补丁更新记录和安全日志，了解供应商对公开披露的高危漏洞有没有及时响应。一个几个月不打补丁的供应商，安全水平显然需要关注。

第五个维度是员工安全意识水平。供应商的网络安全培训是否常态化，员工是否能识别基本的网络钓鱼和社工攻击。供应商是否有书面的安全政策和操作规范，员工是否知晓自己的安全职责。

评估的方法包括审查培训记录、抽查员工对安全政策的了解程度，以及在获得授权的情况下做一次模拟钓鱼测试。如果大部分员工对测试邮件毫无警觉，说明供应商的安全培训还有很大提升空间。

第六个维度是应急响应能力。供应商是否有书面的信息安全事件应急响应计划，计划是否经过定期演练。供应商是否建立了信息安全事件的报告流程，事件发生后是否需要通知到受影响的客户。

评估时可以要求供应商提供应急响应计划的文档和最近的演练记录，询问供应商过去一年是否发生过安全事件以及处理的方式。

这个评估框架可以根据企业的情况调整打分权重。对A级供应商，六大维度全部覆盖，分值做到定量评价。对B级供应商，核心维度覆盖并做定性评价。对C级供应商做基础性的问卷评估即可。

供应商的网络安全评估不是做一次就结束的工作。供应商的网络安全状态会随着时间推移而变化，每年的评估结果是供应商管理决策的重要参考。