新冠肺炎疫情开启了数字时代最大规模的一次远程办公迁徙。突然性的大规模远程办公会带来一系列严重的安全问题,尤其是大量隐私和数据安全问题。
3月13日,全国信息安全标准化技术委员会发布《网络安全标准实践指南—远程办公安全防护》,给出了远程办公的典型应用场景,分析了远程办公可能面临的办公系统自身安全、数据安全、设备安全和个人信息保护等风险,给出了安全控制措施建议,包括健全远程办公管理制度,加强运维管理,强化安全措施。用户应提高自身安全意识,重点针对设备、数据、环境等方面的安全风险进行防护。
正在远程办公,应如何做到有效防护?
远程办公系统应满足 GB/T 22239 《信息安全技术 网络安全等级保护基本要求》、GB/T 31168 《信息安全技术 云计算服务安全能力要求》、GB/T 35273《信息安全技术 个人信息安全规范》的相关要求。
访问控制
1、应建立适用于远程办公的访问控制机制,包括审核用户权限申请、定期审核用户权限、及时清除过期权限等;
2、应对用户开放远程办公所需的最小权限,禁止用户账号共享。
业务系统安全
1、应划分业务安全域,对不同业务安全域进行隔离;
2、应统一配置远程办公业务,最小化开放业务所需的服务和端口;
3、应维护业务系统安全基线,确保相关安全补丁及时更新;
4、宜持续对访问行为进行监控和分析,识别并及时阻断恶意用户和行为。
数据安全
1、应对数据进行分类分级;
2、宜设置数据防泄漏策略;
3、宜限制向用户自有设备传输使用方敏感数据;
4、宜提供数据销毁方案。
个人信息保护
按照 GB/T 35273《信息安全技术 个人信息安全规范》 要求保护个人信息。
通信安全
1、应使用安全协议,例如,传输层安全协议(TLS)、因特网安全协议(IPSec)等,保护业务系统传输的保密性和完整性;
2、宜在通信过程中对设备的安全性进行持续验证。
安全审计
定期对办公系统进行安全审计,审计内容包括但不限于对敏感数据的操作、访问控制权限变更等。
2020-03-16 09:06:10
