各公司注意!普华永道:企业远程办公风险场景与应对提示
- 2020-02-20 06:05:00
- 普华永道中国 转贴
- 2482
在远程办公操作安全保障的基础上,针对企业的数据安全,尤其是涉及企业核心商业价值的重要数据,还应围绕数据进行进一步的安全防护。在这里我们用一句话总结远程办公中数据安全的保护要点:控源头、限接触、勤监控、早阻断。
远程数据产生和存储风险
⭕ 风险场景:远程办公环境下,企业重要数据的产生和存储更加分散,同时数据访问和接入途径更加多样,由于办公需要,数据访问权限需要进步一扩展等,这些均导致数据在生产和存储过程中泄露风险极大提升。
⭕ 应对提示:控源头,数据分级管理,严控数据源头。
在远程办公场景下,需重点管控两个数据源头。
一是企业云端或服务器端,需要对数据进行分类分级管控,对于高级别的重要数据,应严格限制远程访问的账户、访问权限及远程接入方式。对于访问账户,建议在进行远程办公同时,整理和排查当前账户的合法性,及时清除非法或失效账户。同时关注系统授权的合理性,对需要临时授权的账户,进行严格的授权审批,并在工作完成后及时收回权限。对于远程接入方式,应采用企业VPN接入办公。如不具备VPN接入条件,应采用HTTPS对访问通道进行加密,同时采用双因素授权的方式进行远程登陆。有条件的企业,我们建议对于重要数据采取数据不离线的工作方式保障数据安全,远程办公所有的操作的数据均在云端和服务端存储,禁止数据传下载至移动办公终端。
二是移动办公终端,应严格限制移动终端的使用,禁止使用未经企业注册或登记的个人移动设备办公。同时,对移动办公终端所产生的数据进行加密存储,并在数据传输时,将加密数据和加密密码采用不同方式分别传输。
远程复杂网络环境风险
⭕ 风险场景:远程办公不同于集中办公,其所处的网络环境更加复杂,4G/5G网络热点、家用WIFI、公用WIFI等,接入网络变得不可信任,可能导致利用钓鱼网路的中间人窃取数据。终端接入种类多样,应用软件的使用更加灵活,企业软件、个人软件、通用即时通信软件、网络邮箱、网盘和云盘等应用程序的使用,使得数据更多的暴露在不可信的环境中,导致数据泄露风险。
⭕ 应对提示:限接触,保障环境可信,限制用户接触。
在控制数据产生存储源头的基础上,还需要对数据传输和使用进行进一步管控。对于云端和移动终端,以及移动终端之间的数据交互,应对数据通信全链路进行HTTPS加密,防止数据在传输中泄露或被窃取。另外需要特别注意的是,对于传输数据的邮件或及时通信工具,需要严格加以限制,应使用企业邮箱和专用通讯工具进行数据传输,禁用公共邮箱和通用及时通信工具传输企业数据。对于移动终端而言,还需要注意接入的网络热点和WIFI安全,不要接入未知的网络热点和WIFI处理办公数据,尤其是无需密码就可直接登陆的网络,谨防非法网络窃取数据。
远程用户访问和操作风险
⭕ 风险场景:在远程办公场景下,用户需要远程访问系统并处理或下载数据,用户身份和访问行为都变得更加不可信,假冒合法用户访问,用户越权访问,批量数据下载、高敏感数据的修改和删除等异常访问和操作等攻击行为,可能导致重要数据的大批量泄露或不可用。
⭕ 应对提示:勤监控,丰富监控手段,提升监控频率。
企业应考虑对数据生命周期进行全面监控。在云端和服务端,重点监控访问系统的用户行为,包括用户身份、授权范围、访问时间、访问方式、访问内容、访问频次、操作行为和数据传输内容等信息,尤其需要关注短时内的异地登陆,多次的用户登陆失败后的登陆成功,用户登陆后短时间的系统各页面间的高频访问,用户登录后的数据批量下载或修改等行为;另外还需重点监控系统接口的数据传输情况,包括数据类型、数据传输量、传输频次等。在移动办公终端,重点监控用户对重要数据的操作行为,包括数据存储位置,通讯工具传输行为,数据U盘拷贝等。另外还需提升对用户密码强度和修订次数的监控,建议在远程办公期间,加密用户密码复杂度的要求,同时增加更换密码频率,进一步缩短密码有效期。通过对数据生命周期重点场景的监控,及时发现和纠正违规行为,提升数据保护能力。
数据泄漏的应急管理
⭕ 风险场景:无论如何防护,远程办公环境下的数据的生产、存储、传输和使用,都会相比于集中式办公环境进一步增大数据安全风险。因此企业需要未雨绸缪,提前考虑体系化的预防和应急管理,避免应对不当导致损失的进一步扩大。
⭕ 应对提示:早阻断,及时修复漏洞,提前部署预案。
一旦发现可能的数据安全风险问题,需要及时阻断以降低企业损失。具体措施建议重点关注三个领域。一是系统安全漏洞的加固和修复。在远程办公环境下,需要加强对服务器操作系统、中间件、数据库和相关开源组件等安全漏洞的扫描频次,对于服务端和移动终端出现的安全漏洞,需要及时进行修复和加固,避免黑客利用漏洞远程窃取数据;二是异常操作行为的阻断,针对上一小节中的异常行为,从管理和技术层面加强建设,针对发现的风险及时告警和阻断;三是数据泄露后的应急处置,企业需要提前制定应急预案,尤其是远程办公环境下,数据泄露、数据窃取、数据误操作等风险的场景化预案,对问题进行及时响应和处置。
数据安全保护如同疫情防控,需要企业和员工充分重视并积极行动,“控源头、限接触、勤监控、早阻断”发现问题及时处置,必要时寻求第三方专业机构或监管机构的帮助。
- 【最新】中/高级审计师 / CIA 考试培训课程
- 2024实务课程计划:审计/内控/财税/金融(全年计划·收藏)
- 基于公司治理、战略与风险管理的内部审计-培训通知
- “内部审计负责人与后备人才岗位能力”高级研修班培训通知
- 谭老师领衔:新时期内审专业能力提升-实务培训通知(可继续报名)
- 风险管理、内部控制与合规管理-2024研修班-培训通知
- “采购全流程风险管理与审计实务”培训通知
- “工程项目审计与典型案例分析”(线上+线下)培训通知
- “新监管要求下内部审计发展与实践创新高级研修班”暨“2024内部审计高质量论坛” 通知
- “全面预算编制与管理实务” (线上+线下)研修班-培训通知
- “战略视角下的成本管控实务” (线上+线下)研修班-培训通知
- “财务BP核心能力建设” 研修班-培训通知
- “业财融合实务与案例” (线上+线下)2024研修班-培训通知
- 关于举办“新形势下内部审计专业能力提升研修班 暨2024内部审计高质量发展论坛”(线上+线下)的通知
- “高风险业务循环中的内控实务” (线下+线上)培训通知
- 8511 【课件】内部审计实务+案例·精讲
- 8121 【2024高级/初级/中级审计师考试,高审评审培训课程】
- 5200 【课件】审计方案+报告+证据+审计能力建设+经济责任审计培训课程
- 5065 【课件】国有企业审计与内部控制
- 4621 【经济责任审计·准则解读】课程
- 4303 【绩效审计与内部控制审计】培训课程
- 3892 【建设工程全过程审计】培训课件
- 3822 【课件】注册制IPO审计全流程实务详解
- 3791 【EPC工程总承包项目管理与审计实务】培训课程
- 3376 【工程项目招投标风险管理与审计】培训课程
- 3167 【建设项目竣工决算审计】培训课程
- 2811 【CIA 国际注册内部审计师】培训课程+题库+模拟考试
- 5987 《企业内部审计全流程指南》
- 5393 《数字化审计实务指南》高效审计工具书
- 4775 《内控总监工作笔记》 企业内部控制工作法及案例解析
- 4468 《行政单位经济责任审计实务指南》
- 4450 《内审人员进阶之道 内部审计操作实务与案例解析》
- 4396 《内部审计工作法》
- 4369 《企业内部控制流程手册》- 第3版
- 4154 《金融机构审计实务指南》
- 4149 《舞弊审计实务指南》
- 4106 《企业内部控制全流程实操指南》
- 4020 《财务审计实务指南》
- 3982 《企业内控精细化管理全案》第三版
- 3939 《房地产企业审计从入门到精通》模块分解+操作流程+案例解析
- 3924 《企业内部控制基本规范操作指南 图解版》
- 3831 《业内部控制架构设计实操手册》
- 3560 《企业内部审计实务详解》审计程序+实战技法+案例解析