上周,全国信息安全标准化技术委员会(简称“信安标委”)针对远程办公安全问题发布了《网络安全标准实践指南—远程办公安全防护》(以下简称《实践指南》),具体通知内容如下:
《实践指南》旨在围绕网络安全法律法规政策、标准、网络安全热点和事件等主题,宣传网络安全相关标准及知识,提供标准化实践指引。
《实践指南》分析了远程办公的主要安全风险,针对远程办公系统使用方和用户分别提出了安全控制措施建议。
远程办公典型场景
远程办公安全风险
《实践指南》列举了远程办公的主要安全风险,其中包括:
供应方安全风险
远程办公系统自身安全风险
数据安全风险
设备风险
个人信息保护风险
网络通信风险
环境风险
业务连续性风险
人员风险
使用方应充分评估远程办公系统的安全性
《实践指南》为远程办公的使用方和用户提供安全指导。远程办公使用方指的是使用远程办公系统的组织,包括政府部门、科研机构、企事业单位等。
《实践指南》提出使用方在供应方和远程办公系统选择上“应充分评估远程办公系统的安全性”。
在管理制度上,“应制定远程办公安全操作细则,定期开展远程办公安全教育和培训,提升用户安全意识”。
此外,《实践指南》对远程办公系统安全作了详细分类和论述,比如服务端安全,包括在线会议安全、即时通信安全、文档协作安全、接入安全等;客户端安全,包括应用程序安全和浏览器应用安全。
用户应加强安全意识,使用强口令
用户即使用远程办公系统的使用方工作人员,或与使用方存在工作关系的人员。
《实践指南》指出,用户在设备使用上,“应确保用户自有设备采用了安全配置,例如,关闭共享文件、禁用不使用的账号等”。在环境安全上,“在环境无法满足远程办公安全性要求时,应停止远程办公”。
而更为重要的是应加强安全意识,比如“不应将存储使用方敏感数据的设备接入公用网络”、“不应将设备、账号信息等提供给他人使用”。
《实践指南》具体内容可进一步参考全文,下载地址如下:
https://www.tc260.org.cn/upload/2020-03-13/1584090952093076364.pdf
*本文作者:Sandra1432,转载请注明来自FreeBuf.COM