我记得特别清楚的一件事情,是一家做生物识别技术的深圳公司在马来西亚设立分支机构时的一个教训。他们在当地采购了一批办公电脑,挑的都是近期款的品牌机,看起来没什么问题。但用了两个月之后,IT部门在一次例行安全扫描中发现其中几台电脑会定期向某个境外IP地址发送数据。经过分析才知道,这批电脑是当地经销商从非正规渠道进的翻新机,BIOS层被植入了后门程序。这件事让公司紧急更换了所有设备,项目进度推迟了将近一个月。
海外办公设备的采购安全,远比在国内采购要复杂得多。因为采购链条延长了,中间环节更多了,对供应商的管控能力也下降了。每一个中间环节都可能成为设备被篡改或者植入恶意硬件的机会。
办公设备采购的首要原则是建立可追溯的供应链。每台设备从出厂到交付给最终用户的整个链条上,涉及到的所有经销商和物流商都应该被记录在案。比较规范的做法是由总部统一采购设备,经过检测和安全加固之后再分发到海外办公室。如果因为物流成本和关税问题需要在当地采购,也应该选择经过总部认证的品牌授权经销商,而不是从非正规渠道购买。
电脑类设备的采购要特别关注固件安全。设备拿到之后首要时间检查固件版本是不是官方近期版本,有没有被修改过的痕迹。固件层面的后门比操作系统层面的后门更难发现和清除,因为大部分安全软件扫描的是操作系统,对固件层几乎没有检测能力。一台固件被篡改过的电脑,即使在操作系统里重新装了干净的系统,后门依然存在。
网络设备的安全标准同样需要重点关注。路由器、交换机、防火墙和无线接入点这些设备,出厂后通过固件更新来修补安全漏洞。但在海外采购时,有些经销商可能会提供旧版本的设备并谎称是近期批次。采购合同中应该明确约定设备固件必须是近期官方版本,并且要求经销商提供固件校验码供收货时验证。
有一个容易被忽略但风险很高的设备类别是打印机和多功能一体机。现代打印机内置了硬盘、操作系统和网络模块,本质上就是一台专门用途的电脑。打印机的安全漏洞可以被用来入侵整个办公室网络。在海外采购打印机时,应该选择支持安全启动、硬盘加密和固件签名验证的型号。打印机在接入办公网络之前,需要对默认密码、网络服务和访问权限做全面配置。
监控摄像头和门禁系统的采购安全也值得单独说。这些设备属于物联网设备,安全防护水平普遍低于传统IT设备。很多廉价品牌的摄像头存在已知漏洞,攻击者可以轻易接管设备并将其作为攻击跳板。海外办公室应该选择知名品牌的安防设备,并且把这些设备部署在独立的网络中,跟办公网络物理隔离。摄像头的默认管理员密码必须立即修改,固件也需要定期更新。
手机和平板设备的采购,如果是为了给外派员工使用,建议统一使用经过安全加固的企业级设备。普通的消费级手机安全功能有限,很多还无法支持企业移动设备管理系统。企业级设备在硬件层面就集成了安全芯片,支持设备加密、安全启动和远程管理。采购时要注意设备是否通过了相关地区的安全认证,比如欧盟的通用标准认证或者美国的FIPS认证。
办公设备到货后的验收检测是采购安全中不可或缺的环节。每批设备到货后都应该做随机抽检,检查硬件组件是否跟采购清单一致,内存条、硬盘、网卡等关键部件有没有被替换。企业内部有条件的话可以使用硬件检测工具对设备进行开机验证,对比硬件指纹信息。没有条件的小型企业可以委托当地的第三方检测机构来执行验收。
设备报废时的安全也需要提前规划。多数国家有电子废弃物回收法规,但法规只管环保,不管信息安全。办公设备在报废回收之前,必须确保所有存储介质上的数据被彻底销毁。如果是硬盘,要进行物理破坏或者经过多轮覆写。如果当地没有可靠的电子废弃物回收渠道,建议把旧设备的硬盘拆下来运回国内统一销毁。
海外办公设备采购的安全标准,应该写入企业的固定资产管理制度中,而不是靠采购人员个人经验来判断。不同地区的经销商水平参差不齐,只有标准化、流程化的采购安全制度,才能保证每一台进入办公环境的设备都是安全的。
