受新冠肺炎疫情影響，很多認證機構的管理與審核人員需要進行遠程辦公與審核。為防范遠程辦公與審核過程中存在的信息安全風險，有必要考慮這樣的工作模式帶來的巨大風險以及應對的措施。

對于認證機構而言，規(guī)劃、實現(xiàn)、控制、評價遠程辦公與審核的信息安全管理要求，并不斷加以提高、完善和改進，顯得極為重要。筆者認為，應至少在以下7個方面加以考慮并采取對策措施：一是應確定并提供建立、實現(xiàn)、維護和持續(xù)改進遠程辦公與審核所需的資源，包括人員（含IT維護人員）、硬件、軟件、數(shù)據(jù)、文件化信息以及其他有價值的資產(chǎn)；二是應識別這些信息資產(chǎn)在其全生命周期內的脆弱性、威脅以及可能面臨的風險；三是應確定為滿足信息安全要求以及實現(xiàn)應對這些風險的控制措施；四是應對在認證機構控制下從事會影響組織信息安全績效的管理與審核人員進行相關知識的培訓，以不斷提升他們防范和化解信息安全的意識和能力；五是應制定遠程辦公與審核業(yè)務連續(xù)性計劃，進行演練并對演練效果進行評價；六是應評價這些參與遠程辦公與審核人員風險控制的績效，以評價其與認證機構在信息安全輸出結果方面的符合性、有效性；七是當發(fā)現(xiàn)不符合時，應及時采取有效措施予以糾偏，以防止類似不符合再次重復發(fā)生，或在其他地方發(fā)生。

為確保工作人員在家使用電腦或手機，認證機構首先應對安全性進行檢查。其次應提供軟件正版化服務，并進行正確安裝調試，包括但不限于正版的windows操作系統(tǒng)和office辦公軟件。對于辦公電腦，應盡量使用正版Windows10操作系統(tǒng)，其中自帶Windows defender所提供的安全防護已經(jīng)足夠。如有需要，可以選擇第三方防護軟件替代。與此同時，應開啟系統(tǒng)自動更新，及時安裝補丁，提升系統(tǒng)安全系數(shù)。對于所使用的手機，應注重系統(tǒng)維護以及軟件升級。

如果是居家辦公使用無線路由器，可檢查路由器中的mac地址是否有異常設備的接入。為了防止蹭網(wǎng)及Wi-Fi被暴力破解，可以設置允許連接設備的白名單；也可以通過路由器關聯(lián)的手機App實時監(jiān)控新接入設備情況，發(fā)現(xiàn)陌生設備及時拉黑；可以關閉ssid廣播；提高路由登錄和接入口令的強度。

假如存在外出移動辦公與審核的情況，盡量避免連接公共場合Wi-Fi，可以共享手機熱點來滿足網(wǎng)絡需求。

瀏覽器推薦使用Chrome、Firefox或Chromium內核的新版Microsoft Edge，兼容性較好。如使用IE瀏覽器，應注意升級，近期的高危漏洞可被攻擊者利用誘使用戶訪問惡意網(wǎng)頁觸發(fā)漏洞獲得所有權限。

遠程辦公與審核會用到一些必備的軟件和工具，包括遠程溝通所需的聊天工具、解壓縮、文檔處理等，盡量確保在各大軟件官網(wǎng)下載的安裝包，避免為了省事直接在第三方應用市場進行下載。

通過頁面訪問時，建議勾選“全程SSL”，防止明文收發(fā)。通過客戶端訪問，建議勾選“安全連接”，防止明文收發(fā)。

筆者認為，近期尤其需注意黑客通過郵件進行的攻擊，此類郵件主要以“新型冠狀病毒”“新冠肺炎疫情”等熱門字眼作為附件名稱，針對多個行業(yè)與多個領域或對此次疫情關心的人群，誘導郵箱用戶下載查看附件，其附件類型包括可執(zhí)行程序（.exe）、文檔（.xlsm、.pdf）等。一旦下載運行該類附件程序、執(zhí)行附件文檔中宏命令，可能會導致電腦文件被竊取、個人隱私遭到泄露、計算機無法啟動及用戶重要數(shù)據(jù)丟失。為防止釣魚郵件，一是加強安全防范意識，妥善保管好賬號密碼，切勿輕信近期熱門主題相關的郵件及未經(jīng)核實來源的郵件；二是不在未經(jīng)核實的郵件中輸入相關郵件賬號、密碼等信息，不回復未經(jīng)核實的郵件；三是不輕易訪問未經(jīng)核實的郵件鏈接，不輕易下載查看、執(zhí)行此類郵件附件，若需打開則關閉Office宏。

通常，認證機構向工作人員提供了WebVPN服務用于訪問僅限機構內提供訪問的網(wǎng)站/信息系統(tǒng)。通過WebVPN系統(tǒng)，工作人員可以在機構外訪問機構內的資源。這一系統(tǒng)通常與信息門戶對接，賬號為信息門戶登錄賬號，密碼與信息門戶登錄密碼一致，無須申請開通。

同時，認證機構還部署了認證服務器，與CNCA、CNAS以及CCAA等平臺實現(xiàn)對接。通過這些IT服務平臺，相關工作人員可在機構外訪問這些資源。認證機構應為這些工作人員設置相應權限，以防信息安全事件發(fā)生。

無論遠程辦公還是遠程審核，往往會采用視頻會議形式通過網(wǎng)絡傳輸相關數(shù)據(jù)，會給黑客帶來非法獲取利益的便利，這就要求提供視頻會議的認證機構以及相關工作人員加強對系統(tǒng)的安全性、保密性的控制。目前，我國的多數(shù)視頻會議都采用單一的加密技術，無法確保系統(tǒng)的安全。因此，筆者認為，認證機構應高度重視，并采取切實有效的控制措施，包括但不限于在系統(tǒng)中采用多重加密機制，真正實現(xiàn)高保密性，在保護機構自身信息資產(chǎn)安全的同時，更好地保護好客戶等利益相關方的信息資產(chǎn)。

傳統(tǒng)視頻會議系統(tǒng)的網(wǎng)絡傳輸主要依靠專線技術，基于嵌入式架構的視頻會議通信方式，主要采取H.323協(xié)議標準，通過DSP+嵌入式軟件等實現(xiàn)視音頻處理、網(wǎng)絡通信和各項會議功能，并且依托專用的硬件設備終端來實現(xiàn)遠程視頻會議。

傳統(tǒng)視頻會議系統(tǒng)具備較高的安全性和穩(wěn)定性，嵌入式架構將絕大部分網(wǎng)絡流傳的病毒擋在門外；基于DSP處理器的設計讓視頻會議硬件設備具有很低的功耗和良好的穩(wěn)定性；有些視頻會議硬件設備還具備關鍵處理單元備份、冗余散熱、硬件AES加密、防火墻等功能，進一步保障系統(tǒng)的安全性和可靠性，實時不間斷運行。

云視頻會議是通過互聯(lián)網(wǎng)傳輸，借助云計算技術，用虛擬機的方式去代替?zhèn)鹘y(tǒng)的昂貴硬件資源，依靠新一代的音視頻壓縮技術和算法，在網(wǎng)絡丟包的情況下，都能確保高品質、不卡頓、不丟聲音。

由于云會議是依托互聯(lián)網(wǎng)發(fā)揮作用，不可避免地會面臨云服務的一些共性問題，即服務的安全性、網(wǎng)絡質量以及穩(wěn)定性帶來的影響等。因此，客戶提出有保密和信號穩(wěn)定需求時，不能采用云視頻會議模式，應采用傳統(tǒng)硬件視頻會議模式來保證會議安全。

無論采用傳統(tǒng)視頻會議，還是采用云視頻會議與同事或客戶溝通，在信息安全上擬采用的對策，通常有5個方面：一是嵌入式操作系統(tǒng)，即對于網(wǎng)動MCU，采用嵌入式操作系統(tǒng)，使其具備高穩(wěn)定性與可靠性，保證設備7*24小時穩(wěn)定連續(xù)運行，同時又具備較高的安全性，無懼病毒、黑客攻擊；二是數(shù)據(jù)加密，即對于網(wǎng)動視頻會議系統(tǒng)的云平臺、視訊終端，均采取支持數(shù)據(jù)的安全通信協(xié)議，全方位保護會議安全，通過對每組會議的加密，防止會議內容的泄漏，同時也保證會議內容的機密性、可用性、完整性以及不可篡改性；三是會議密碼，即在創(chuàng)建會議時，可將會議模板、虛擬會議室設定會議密碼，終端加入會議時需要通過密碼驗證才能入會，驗證成功則正常加入會議，驗證失敗則無法加入會議，確保自助會議的安全保密性；四是保密會議，即使用網(wǎng)動視頻會議系統(tǒng)召開安全級別較高的會議時，只有受邀參加的與會人員才能獲取到會議信息入會，未被受邀的成員不感知保密會議的存在，這對于提供遠程審核服務且有保密需求的客戶尤為重要；五是分級分權，即系統(tǒng)采用多級權限架構設計，支持分級分權管理，賬號、角色、權限獨立，方便不同權限的用戶進行會議控制管理；支持超級管理員、管理員、操作員、自定義角色等多種用戶權限劃分。

認證機構需要為辦公與審核人員提供好的IT資源以供其提供遠程服務，也需要每一個從業(yè)人員具備良好、過硬的信息安全技能，才能實現(xiàn)信息資產(chǎn)保護的預期結果。

 計算機安全問題的一個根本原因就是計算機系統(tǒng)上存在漏洞，很多病毒和黑客攻擊正在肆無忌憚地利用系統(tǒng)漏洞來破壞計算機信息系統(tǒng)。因此，應定期升級系統(tǒng)補丁，可利用殺毒軟件、防護軟件的“修復漏洞”功能。

移動介質包括但不限于U盤、移動介質等。移動介質作為使用頻率較高的設備，在不同電腦之間相互拷貝數(shù)據(jù)，經(jīng)常感染病毒，如“臭名昭著”的“Autorun”病毒，就是通過偽裝成Autorun.inf文件，使得用戶的U盤在打開時，自動運行木馬程序或惡意程序，使所有的硬盤完全共享或中木馬，感染的速度之快，傳播的范圍之廣，大大超出人們的想象。為此，我們應養(yǎng)成良好的使用移動介質的習慣，一是一定要嚴格區(qū)分內外網(wǎng)U盤，切忌混用；二是借用U盤之前盡量先清空或者格式化；三是盡可能選用安全方法打開U盤，即用右鍵點擊U盤，選擇“資源管理器”打開。

遠程辦公與審核場景下，協(xié)同辦公軟件、在線共享文檔以及云盤等工具會成為多數(shù)認證機構分享文件化信息的途徑之一。在文件化信息在線共享之前需要確定文件化信息的安全性，建議對文件化信息進行壓縮加密保存，云端共享也務必設置提取碼。

在使用協(xié)同辦公工具時，注意文件的查看權限，謹防工具默認設置文件公開分享導致重要信息泄露。

使用社交軟件，與新添加的陌生號碼進行視頻通訊，即使是熟悉同事的圖像也應多種方式確認。

應用遠程辦公與審核的所有工作人員，應自覺做好個人口令的設置和保管，并養(yǎng)成良好的習慣。

良好的習慣包括但不限于：一是應及時修改各系統(tǒng)的初始口令；二是不能使用弱口令。

在設定口令的問題上，有幾個建議可供參考：一是在規(guī)則允許內，盡可能采用混合口令（字母大小寫、字符和數(shù)字混合），充分利用工具隨機生成口令；二是不同網(wǎng)站避免使用同一個口令；三是如果賬號支持雙重驗證，則務必開啟；四是可選擇使用相對可靠的口令管理工具；五是不要多人使用一個賬號，不和別人共享用戶名和口令；六是在不熟悉的地點，不要登錄非HTTPS類型的網(wǎng)站；七是定期檢查賬戶是否有可以獲得，或者定期修改重要賬戶口令。

應按照既定的備份策略，對信息、軟件和系統(tǒng)鏡像進行備份，并定期測試。對于重要的數(shù)據(jù)信息，在任何時間、任何地域，都應進行備份，防止數(shù)據(jù)丟失。

對于重要文檔、代碼數(shù)據(jù)等，應根據(jù)數(shù)據(jù)的重要性，定期或即時備份，包括但不限于通過刻錄光盤，拷貝到專門的U盤、移動硬盤上。

值得一提的是，在遠程辦公與審核結束后，家里電腦或筆記本電腦上的數(shù)據(jù)信息應進行一次較為全面的清理。

由于身處互聯(lián)網(wǎng)時代，在保存、處理、傳輸文件化信息時，很容易被黑客截獲，因此，對于在審核過程中遇到的客戶某產(chǎn)品參數(shù)、工藝以及其他重要數(shù)據(jù)，在備份保存的同時就應進行加密管理。

很多軟件均帶有加密功能，例如人們經(jīng)常用到的Office就能對文檔進行自身加密，還可以充分利用Winrar對整個文件夾進行加密。