受新冠肺炎疫情影響,很多認證機構的管理與審核人員需要進行遠程辦公與審核。為防范遠程辦公與審核過程中存在的信息安全風險,有必要考慮這樣的工作模式帶來的巨大風險以及應對的措施。
遠程辦公與審核的信息安全管理要求
對于認證機構而言,規劃、實現、控制、評價遠程辦公與審核的信息安全管理要求,并不斷加以提高、完善和改進,顯得極為重要。筆者認為,應至少在以下7個方面加以考慮并采取對策措施:一是應確定并提供建立、實現、維護和持續改進遠程辦公與審核所需的資源,包括人員(含IT維護人員)、硬件、軟件、數據、文件化信息以及其他有價值的資產;二是應識別這些信息資產在其全生命周期內的脆弱性、威脅以及可能面臨的風險;三是應確定為滿足信息安全要求以及實現應對這些風險的控制措施;四是應對在認證機構控制下從事會影響組織信息安全績效的管理與審核人員進行相關知識的培訓,以不斷提升他們防范和化解信息安全的意識和能力;五是應制定遠程辦公與審核業務連續性計劃,進行演練并對演練效果進行評價;六是應評價這些參與遠程辦公與審核人員風險控制的績效,以評價其與認證機構在信息安全輸出結果方面的符合性、有效性;七是當發現不符合時,應及時采取有效措施予以糾偏,以防止類似不符合再次重復發生,或在其他地方發生。
遠程辦公與審核信息安全的關注點
個人辦公終端安全
為確保工作人員在家使用電腦或手機,認證機構首先應對安全性進行檢查。其次應提供軟件正版化服務,并進行正確安裝調試,包括但不限于正版的windows操作系統和office辦公軟件。對于辦公電腦,應盡量使用正版Windows10操作系統,其中自帶Windows defender所提供的安全防護已經足夠。如有需要,可以選擇第三方防護軟件替代。與此同時,應開啟系統自動更新,及時安裝補丁,提升系統安全系數。對于所使用的手機,應注重系統維護以及軟件升級。
上網安全防范
如果是居家辦公使用無線路由器,可檢查路由器中的mac地址是否有異常設備的接入。為了防止蹭網及Wi-Fi被暴力破解,可以設置允許連接設備的白名單;也可以通過路由器關聯的手機App實時監控新接入設備情況,發現陌生設備及時拉黑;可以關閉ssid廣播;提高路由登錄和接入口令的強度。
假如存在外出移動辦公與審核的情況,盡量避免連接公共場合Wi-Fi,可以共享手機熱點來滿足網絡需求。
個人辦公軟件安全性
通用軟件
瀏覽器推薦使用Chrome、Firefox或Chromium內核的新版Microsoft Edge,兼容性較好。如使用IE瀏覽器,應注意升級,近期的高危漏洞可被攻擊者利用誘使用戶訪問惡意網頁觸發漏洞獲得所有權限。
遠程辦公與審核會用到一些必備的軟件和工具,包括遠程溝通所需的聊天工具、解壓縮、文檔處理等,盡量確保在各大軟件官網下載的安裝包,避免為了省事直接在第三方應用市場進行下載。
郵箱的安全防范
通過頁面訪問時,建議勾選“全程SSL”,防止明文收發。通過客戶端訪問,建議勾選“安全連接”,防止明文收發。
筆者認為,近期尤其需注意黑客通過郵件進行的攻擊,此類郵件主要以“新型冠狀病毒”“新冠肺炎疫情”等熱門字眼作為附件名稱,針對多個行業與多個領域或對此次疫情關心的人群,誘導郵箱用戶下載查看附件,其附件類型包括可執行程序(.exe)、文檔(.xlsm、.pdf)等。一旦下載運行該類附件程序、執行附件文檔中宏命令,可能會導致電腦文件被竊取、個人隱私遭到泄露、計算機無法啟動及用戶重要數據丟失。為防止釣魚郵件,一是加強安全防范意識,妥善保管好賬號密碼,切勿輕信近期熱門主題相關的郵件及未經核實來源的郵件;二是不在未經核實的郵件中輸入相關郵件賬號、密碼等信息,不回復未經核實的郵件;三是不輕易訪問未經核實的郵件鏈接,不輕易下載查看、執行此類郵件附件,若需打開則關閉Office宏。
訪問本機構資源,盡量使用本機構提供的IT服務
通常,認證機構向工作人員提供了WebVPN服務用于訪問僅限機構內提供訪問的網站/信息系統。通過WebVPN系統,工作人員可以在機構外訪問機構內的資源。這一系統通常與信息門戶對接,賬號為信息門戶登錄賬號,密碼與信息門戶登錄密碼一致,無須申請開通。
同時,認證機構還部署了認證服務器,與CNCA、CNAS以及CCAA等平臺實現對接。通過這些IT服務平臺,相關工作人員可在機構外訪問這些資源。認證機構應為這些工作人員設置相應權限,以防信息安全事件發生。
視頻會議
無論遠程辦公還是遠程審核,往往會采用視頻會議形式通過網絡傳輸相關數據,會給黑客帶來非法獲取利益的便利,這就要求提供視頻會議的認證機構以及相關工作人員加強對系統的安全性、保密性的控制。目前,我國的多數視頻會議都采用單一的加密技術,無法確保系統的安全。因此,筆者認為,認證機構應高度重視,并采取切實有效的控制措施,包括但不限于在系統中采用多重加密機制,真正實現高保密性,在保護機構自身信息資產安全的同時,更好地保護好客戶等利益相關方的信息資產。
傳統視頻會議
傳統視頻會議系統的網絡傳輸主要依靠專線技術,基于嵌入式架構的視頻會議通信方式,主要采取H.323協議標準,通過DSP+嵌入式軟件等實現視音頻處理、網絡通信和各項會議功能,并且依托專用的硬件設備終端來實現遠程視頻會議。
傳統視頻會議系統具備較高的安全性和穩定性,嵌入式架構將絕大部分網絡流傳的病毒擋在門外;基于DSP處理器的設計讓視頻會議硬件設備具有很低的功耗和良好的穩定性;有些視頻會議硬件設備還具備關鍵處理單元備份、冗余散熱、硬件AES加密、防火墻等功能,進一步保障系統的安全性和可靠性,實時不間斷運行。
云視頻會議
云視頻會議是通過互聯網傳輸,借助云計算技術,用虛擬機的方式去代替傳統的昂貴硬件資源,依靠新一代的音視頻壓縮技術和算法,在網絡丟包的情況下,都能確保高品質、不卡頓、不丟聲音。
由于云會議是依托互聯網發揮作用,不可避免地會面臨云服務的一些共性問題,即服務的安全性、網絡質量以及穩定性帶來的影響等。因此,客戶提出有保密和信號穩定需求時,不能采用云視頻會議模式,應采用傳統硬件視頻會議模式來保證會議安全。
無論采用傳統視頻會議,還是采用云視頻會議與同事或客戶溝通,在信息安全上擬采用的對策,通常有5個方面:一是嵌入式操作系統,即對于網動MCU,采用嵌入式操作系統,使其具備高穩定性與可靠性,保證設備7*24小時穩定連續運行,同時又具備較高的安全性,無懼病毒、黑客攻擊;二是數據加密,即對于網動視頻會議系統的云平臺、視訊終端,均采取支持數據的安全通信協議,全方位保護會議安全,通過對每組會議的加密,防止會議內容的泄漏,同時也保證會議內容的機密性、可用性、完整性以及不可篡改性;三是會議密碼,即在創建會議時,可將會議模板、虛擬會議室設定會議密碼,終端加入會議時需要通過密碼驗證才能入會,驗證成功則正常加入會議,驗證失敗則無法加入會議,確保自助會議的安全保密性;四是保密會議,即使用網動視頻會議系統召開安全級別較高的會議時,只有受邀參加的與會人員才能獲取到會議信息入會,未被受邀的成員不感知保密會議的存在,這對于提供遠程審核服務且有保密需求的客戶尤為重要;五是分級分權,即系統采用多級權限架構設計,支持分級分權管理,賬號、角色、權限獨立,方便不同權限的用戶進行會議控制管理;支持超級管理員、管理員、操作員、自定義角色等多種用戶權限劃分。
遠程辦公與審核個人習慣的養成
認證機構需要為辦公與審核人員提供好的IT資源以供其提供遠程服務,也需要每一個從業人員具備良好、過硬的信息安全技能,才能實現信息資產保護的預期結果。
定期升級系統補丁
計算機安全問題的一個根本原因就是計算機系統上存在漏洞,很多病毒和黑客攻擊正在肆無忌憚地利用系統漏洞來破壞計算機信息系統。因此,應定期升級系統補丁,可利用殺毒軟件、防護軟件的“修復漏洞”功能。
正確使用移動介質
移動介質包括但不限于U盤、移動介質等。移動介質作為使用頻率較高的設備,在不同電腦之間相互拷貝數據,經常感染病毒,如“臭名昭著”的“Autorun”病毒,就是通過偽裝成Autorun.inf文件,使得用戶的U盤在打開時,自動運行木馬程序或惡意程序,使所有的硬盤完全共享或中木馬,感染的速度之快,傳播的范圍之廣,大大超出人們的想象。為此,我們應養成良好的使用移動介質的習慣,一是一定要嚴格區分內外網U盤,切忌混用;二是借用U盤之前盡量先清空或者格式化;三是盡可能選用安全方法打開U盤,即用右鍵點擊U盤,選擇“資源管理器”打開。
文件化信息控制
遠程辦公與審核場景下,協同辦公軟件、在線共享文檔以及云盤等工具會成為多數認證機構分享文件化信息的途徑之一。在文件化信息在線共享之前需要確定文件化信息的安全性,建議對文件化信息進行壓縮加密保存,云端共享也務必設置提取碼。
在使用協同辦公工具時,注意文件的查看權限,謹防工具默認設置文件公開分享導致重要信息泄露。
使用社交軟件,與新添加的陌生號碼進行視頻通訊,即使是熟悉同事的圖像也應多種方式確認。
口令設置與管理
應用遠程辦公與審核的所有工作人員,應自覺做好個人口令的設置和保管,并養成良好的習慣。
良好的習慣包括但不限于:一是應及時修改各系統的初始口令;二是不能使用弱口令。
在設定口令的問題上,有幾個建議可供參考:一是在規則允許內,盡可能采用混合口令(字母大小寫、字符和數字混合),充分利用工具隨機生成口令;二是不同網站避免使用同一個口令;三是如果賬號支持雙重驗證,則務必開啟;四是可選擇使用相對可靠的口令管理工具;五是不要多人使用一個賬號,不和別人共享用戶名和口令;六是在不熟悉的地點,不要登錄非HTTPS類型的網站;七是定期檢查賬戶是否有可以獲得,或者定期修改重要賬戶口令。
數據備份與加密管理
應按照既定的備份策略,對信息、軟件和系統鏡像進行備份,并定期測試。對于重要的數據信息,在任何時間、任何地域,都應進行備份,防止數據丟失。
對于重要文檔、代碼數據等,應根據數據的重要性,定期或即時備份,包括但不限于通過刻錄光盤,拷貝到專門的U盤、移動硬盤上。
值得一提的是,在遠程辦公與審核結束后,家里電腦或筆記本電腦上的數據信息應進行一次較為全面的清理。
由于身處互聯網時代,在保存、處理、傳輸文件化信息時,很容易被黑客截獲,因此,對于在審核過程中遇到的客戶某產品參數、工藝以及其他重要數據,在備份保存的同時就應進行加密管理。
很多軟件均帶有加密功能,例如人們經常用到的Office就能對文檔進行自身加密,還可以充分利用Winrar對整個文件夾進行加密。
來源:《中國認證認可》雜志 2023年第8期
中企檢測認證網提供iso體系認證機構查詢,檢驗檢測、認證認可、資質資格、計量校準、知識產權貫標一站式行業企業服務平臺。中企檢測認證網為檢測行業相關檢驗、檢測、認證、計量、校準機構,儀器設備、耗材、配件、試劑、標準品供應商,法規咨詢、標準服務、實驗室軟件提供商提供包括品牌宣傳、產品展示、技術交流、新品推薦等全方位推廣服務。這個問題就給大家解答到這里了,如還需要了解更多專業性問題可以撥打中企檢測認證網在線客服13550333441。為您提供全面檢測、認證、商標、專利、知識產權、版權法律法規知識資訊,包括商標注冊、食品檢測、第三方檢測機構、網絡信息技術檢測、環境檢測、管理體系認證、服務體系認證、產品認證、版權登記、專利申請、知識產權、檢測法、認證標準等信息,中企檢測認證網為檢測認證商標專利從業者提供多種檢測、認證、知識產權、版權、商標、專利的轉讓代理查詢法律法規,咨詢輔導等知識。
本文內容整合網站:百度百科、搜狗百科、360百科、知乎、市場監督總局 、國家認證認可監督管理委員會、質量認證中心
免責聲明:本文部分內容根據網絡信息整理,文章版權歸原作者所有。向原作者致敬!發布旨在積善利他,如涉及作品內容、版權和其它問題,請跟我們聯系刪除并致歉!
