新冠肺炎疫情開啟了數字時代最大規模的一次遠程辦公遷徙。突然性的大規模遠程辦公會帶來一系列嚴重的安全問題,尤其是大量隱私和數據安全問題。
3月13日,全國信息安全標準化技術委員會發布《網絡安全標準實踐指南—遠程辦公安全防護》,給出了遠程辦公的典型應用場景,分析了遠程辦公可能面臨的辦公系統自身安全、數據安全、設備安全和個人信息保護等風險,給出了安全控制措施建議,包括健全遠程辦公管理制度,加強運維管理,強化安全措施。用戶應提高自身安全意識,重點針對設備、數據、環境等方面的安全風險進行防護。
正在遠程辦公,應如何做到有效防護?
遠程辦公系統應滿足 GB/T 22239 《信息安全技術 網絡安全等級保護基本要求》、GB/T 31168 《信息安全技術 雲計算服務安全能力要求》、GB/T 35273《信息安全技術 個人信息安全規範》的相關要求。
訪問控制
1、應建立適用於遠程辦公的訪問控制機制,包括審核用戶權限申請、定期審核用戶權限、及時清除過期權限等;
2、應對用戶開放遠程辦公所需的最小權限,禁止用戶賬號共享。
業務系統安全
1、應劃分業務安全域,對不同業務安全域進行隔離;
2、應統一配置遠程辦公業務,最小化開放業務所需的服務和端口;
3、應維護業務系統安全基線,確保相關安全補丁及時更新;
4、宜持續對訪問行為進行監控和分析,識別並及時阻斷惡意用戶和行為。
數據安全
1、應對數據進行分類分級;
2、宜設置數據防洩漏策略;
3、宜限制向用戶自有設備傳輸使用方敏感數據;
4、宜提供數據銷燬方案。
個人信息保護
按照 GB/T 35273《信息安全技術 個人信息安全規範》 要求保護個人信息。
通信安全
1、應使用安全協議,例如,傳輸層安全協議(TLS)、因特網安全協議(IPSec)等,保護業務系統傳輸的保密性和完整性;
2、宜在通信過程中對設備的安全性進行持續驗證。
安全審計
定期對辦公系統進行安全審計,審計內容包括但不限於對敏感數據的操作、訪問控制權限變更等。
閱讀更多 優炫軟件 的文章
