移动计算及云计算时代的安全问题探讨

您所在的工作机构是否允许员工使用私人平板电脑或智能手机工作,以便其可以随时随地与办公室保持联系呢?如果答案是确定的,则说明是在顺应大势,紧随潮流。当然,如果答案是否定的,必定是对安全、保密及合规有深深的顾虑,也是可以获得理解和认可的。

私人设备允许员工在家中或路上灵活工作,从而使工作单位受益。虽然一些企业通过发放用于工作的移动设备来实现这一目标,但我相信这种做法将会减弱。千禧一代的年轻人对携带两台移动设备的概念不太能够接受或容忍,并且在使用单个设备进行个人和商业通信时更加舒适和高效。对此,昆明亭长朗然科技有限公司网络安全观察员董志军表示:移动计算与云计算的替代性越来越完善,当计算终端越来越普及,直到无处不在,随时随地可以连接到云服务之时,组织机构已经没有必要分发终端计算设备了,这些计算设备资产本身不值钱。因此,精明的公司将满足员工使用自己私有设备工作的愿望,包括允许他们使用安卓、iOS、Windows或其他任何移动平台或操作系统。

不过,世事都有两面,毫无疑问,从各种私人设备访问工作单位的数据,都会增加安全漏洞的风险,无论是来自黑客攻击,还是员工在不知不觉中下载的恶意软件和病毒。该如何兴利除弊呢?制定关于正当使用移动设备的政策,并向员工强调说明该如何保护驻留在员工的平板电脑或智能手机上的工作信息。

总之,允许员工在世界任何地方工作,可以带来很多好处,也有一些安全泄密隐患。通过一些安全管控方面的作为,可以使远程工作的体验变得既高效又安全。当然,所有的作为,都需要获得员工们的理解和支持。毕竟,员工们是移动工作的主体,移动计算设备是移动工具,端点安全是组织中普遍关心的问题,安全团队应该更广泛地考虑如何保护好终端的信息数据。

诚然,私有计算设备属于员工的资产,如果不关注终端设备保护,终端设备可能成为黑客或病毒等网络威胁进入企业网络、窃取关键信息的跳板;如果只关注设备保护而不是信息数据保护,那么工作单位就面临着巨大的人为因素造成信息失窃的风险。

当下,随着越来越多的设备上线,企业及其信息面临的风险不断增加。估计每年有百亿台配备微控制器的设备被部署在电器、设备和玩具中,这个数字还会不断增长,“高度安全”的物联网设备需要许多设备不具备的属性:基于证书的身份验证、自动安全更新、硬件信任根、防止代码错误的计算基础等等。

同时,云计算正在加速公司收集、处理、存储和使用信息的方式。随着公司过渡到混合基础架构,公司的数据在基于云的系统和本地系统中移动,无疑应该评估他们的端点安全策略,以确保数据在其所在的位置受到保护。身份保护是防范威胁的关键组成部分,企业级组织应通过启用双因素身份验证以减少攻击面、监控和处理安全警报以及使用基于风险的条件访问等解决方案自动修复威胁来增强用户的身份核验。

企业级组织机构必须保护数据在使用、传输和存储等多个生命周期状态下的安全,必须在敏感数据进入环境时对其进行发现和分类,根据策略应用保护,监控和修复威胁,并在数据在整个组织中传输时保持合规性,然后再报废和删除。这些安全控制过程有的可能由信息安全部门独自完成,然而,亦有很大部分需要得到终端用户的理解和支持。毕竟,员工们是信息系统的使用者,是信息数据的创建者和使用者。也就是说,组织机构应通过跨身份、设备、应用程序和数据以及基础设施的可见性、控制和指导来建立其安全态势,以管理其整个组织的安全策略并随着时间的推移改进安全实践。职工们有责任正当使用移动设备,无论是单位派发的,还是私人所有的。这就需要组织机构加强与职员们之间的安全沟通与培训。

昆明亭长朗然科技有限公司推出了大量的网络安全、信息保密及合规意识宣传教育内容,包括动画视频、平面图片和电子课件等各种形式的内容资源,其中也包含网络安全小游戏,以及互动式、场景式、案例式的教程模块,以及稳定可靠的在线培训平台(学习管理系统),欢迎有兴趣的客户及行业合作伙伴联系我们,预览作品、体验平台的功能以及洽谈采购合作。

  • 电话:0871-67122372
  • 手机、微信:18206751343
  • 邮件:info@securemymind.com

远程工作安全策略参考样本

背景

远程工作在许多企业中变得司空见惯,特别是近年来高速网络、云计算及移动设备的普及,让远程工作成为可能。同时,全球性的病毒大流行等意外灾难事件的发生,推动了在家远程工作的普及。对此,昆明亭长朗然科技有限公司网络安全研究员董志军表示:远程工作为人员和业务提供了灵活性,使员工可以在家中或旅途中工作。但是,不能忽视的是,远程工作管理不当的话,会使业务网络、企业数据或设备遭受未经授权的访问或恶意软件的攻击。近年来,通过家庭远程工作电脑,让整个企业关键信息系统感染勒索软件,进而让业务系统崩溃、令业务数据遭加密或损毁的事件很多。同时,通过远程工作人员的计算设备或存储设备,让重要业务数据,甚至商业机密丢失或泄露的情况也很普遍。这些惨案给我们深刻的教训,一定要管好远程工作的安全。

通过相关的安全政策、技术和人员管控措施,可以强化远程工作的安全,如下我们分享一份通用的远程工作安全策略,供安全管理人员参考。

1.策略概述

远程工作安全策略制定了有关远程工作的规则和准则,可帮助工作人员在远离办公场所的情况下保护其设备、数据和业务网络。

2.策略目的

此远程工作安全策略的目的是帮助人员在远离办公场所时安全地工作,并保护业务网络、设备和数据免受未经授权的访问和恶意软件的侵害。

3.策略范围

该政策涵盖了在远离企业办公场所时使用企业设备或连接到企业网络的全部员工、顾问、承包商和其他关联人员。

4.策略条款

  • 所有访问公司信息资源的计算设备,无论是否归公司所有,在连接到公司信息系统之前,都必须经过IT团队的批准。
  • 远程工作人员必须采取必要的合理措施,以防止设备丢失、被盗和未经授权的使用。
  • 所有包含敏感或机密公司数据的移动计算或存储设备都必须使用加密和密码措施来保护该数据。
  • 对于在移动计算或存储设备上不再必要使用的公司数据,必须及时将这些数据从这些设备上删除。
  • 未经数据资源经理和首席信息安全官的书面许可,不得将驻留在公司网络或公司计算机上的数据库和其他公司数据下载到移动计算或存储设备。
  • 如果遭遇移动计算或存储设备的丢失或被盗,必须立即报告给IT团队和直线经理。
  • 如果移动计算或存储设备或其中包含的数据遭遇未经授权的访问,必须立即报告给IT团队和直线经理。
  • 应尽可能避免连接到公共WiFi服务,如果不得不使用公共WiFi,应依照IT部门的要求,使用VPN和其他安全措施,以帮助保护业务数据免遭不安全网络的攻击。
  • 所有访问企业网络或数据的设备都必须使用企业IT部门批准的防病毒软件进行保护。
  • 所有访问业务网络或数据的设备都必须启用闲置时间超过5分钟后自动退出功能。
  • 远程工作人员应确保仅在没有他人可能看到或拍摄公司数据屏幕图像的地方访问业务网络和数据。

政策执行

检查手段,信息团队将通过适当的方法来验证远程工作人员是否遵守了此策略,包括但不限于:使用安全检测工具、执行内部和外部审核。

例外情况,此政策的任何例外情况都必须事先获得信息团队的批准,并有书面记录。

违规处罚,所有被发现违反本政策的远程工作人员,将受到纪律处分,情节严重者会受到包括解雇的惩罚。

最后,董志军补充称:以上远程工作安全策略仅供参考借鉴,由于各家企业都有独特的文化以及IT环境,因此策略的贴合方面,有些变更是正常而必要的。当然,我们还要谦虚地说一声,我们的水平毕竟有限,如果有不当的地方,欢迎读者批评指正。

昆明亭长朗然科技有限公司设计创作了一些远程工作安全相关的通用型宣教内容,以帮助各类型的组织机构进行选择,并用于对远程工作人员进行安全知识的培训。欢迎有兴趣和有需要的客户及行业伙伴联系我们,洽谈业务合作。

  • 电话:0871-67122372
  • 手机:18206751343
  • 微信:18206751343
  • 邮箱:info@securemymind.com
  • QQ:1767022898