受新冠肺炎疫情影响,很多认证机构的管理与审核人员需要进行远程办公与审核。为防范远程办公与审核过程中存在的信息安全风险,有必要考虑这样的工作模式带来的巨大风险以及应对的措施。
远程办公与审核的信息安全管理要求
对于认证机构而言,规划、实现、控制、评价远程办公与审核的信息安全管理要求,并不断加以提高、完善和改进,显得极为重要。笔者认为,应至少在以下7个方面加以考虑并采取对策措施:一是应确定并提供建立、实现、维护和持续改进远程办公与审核所需的资源,包括人员(含IT维护人员)、硬件、软件、数据、文件化信息以及其他有价值的资产;二是应识别这些信息资产在其全生命周期内的脆弱性、威胁以及可能面临的风险;三是应确定为满足信息安全要求以及实现应对这些风险的控制措施;四是应对在认证机构控制下从事会影响组织信息安全绩效的管理与审核人员进行相关知识的培训,以不断提升他们防范和化解信息安全的意识和能力;五是应制定远程办公与审核业务连续性计划,进行演练并对演练效果进行评价;六是应评价这些参与远程办公与审核人员风险控制的绩效,以评价其与认证机构在信息安全输出结果方面的符合性、有效性;七是当发现不符合时,应及时采取有效措施予以纠偏,以防止类似不符合再次重复发生,或在其他地方发生。
远程办公与审核信息安全的关注点
个人办公终端安全
为确保工作人员在家使用电脑或手机,认证机构首先应对安全性进行检查。其次应提供软件正版化服务,并进行正确安装调试,包括但不限于正版的windows操作系统和office办公软件。对于办公电脑,应尽量使用正版Windows10操作系统,其中自带Windows defender所提供的安全防护已经足够。如有需要,可以选择第三方防护软件替代。与此同时,应开启系统自动更新,及时安装补丁,提升系统安全系数。对于所使用的手机,应注重系统维护以及软件升级。
上网安全防范
如果是居家办公使用无线路由器,可检查路由器中的mac地址是否有异常设备的接入。为了防止蹭网及Wi-Fi被暴力破解,可以设置允许连接设备的白名单;也可以通过路由器关联的手机App实时监控新接入设备情况,发现陌生设备及时拉黑;可以关闭ssid广播;提高路由登录和接入口令的强度。假如存在外出移动办公与审核的情况,尽量避免连接公共场合Wi-Fi,可以共享手机热点来满足网络需求。
个人办公软件安全性
通用软件浏览器推荐使用Chrome、Firefox或Chromium内核的新版Microsoft Edge,兼容性较好。如使用IE浏览器,应注意升级,近期的高危漏洞可被攻击者利用诱使用户访问恶意网页触发漏洞获得所有权限。远程办公与审核会用到一些必备的软件和工具,包括远程沟通所需的聊天工具、解压缩、文档处理等,尽量确保在各大软件官网下载的安装包,避免为了省事直接在第三方应用市场进行下载。邮箱的安全防范通过页面访问时,建议勾选“全程SSL”,防止明文收发。通过客户端访问,建议勾选“安全连接”,防止明文收发。笔者认为,近期尤其需注意黑客通过邮件进行的攻击,此类邮件主要以“新型冠状病毒”“新冠肺炎疫情”等热门字眼作为附件名称,针对多个行业与多个领域或对此次疫情关心的人群,诱导邮箱用户下载查看附件,其附件类型包括可执行程序(.exe)、文档(.xlsm、.pdf)等。一旦下载运行该类附件程序、执行附件文档中宏命令,可能会导致电脑文件被窃取、个人隐私遭到泄露、计算机无法启动及用户重要数据丢失。为防止钓鱼邮件,一是加强安全防范意识,妥善保管好账号密码,切勿轻信近期热门主题相关的邮件及未经核实来源的邮件;二是不在未经核实的邮件中输入相关邮件账号、密码等信息,不回复未经核实的邮件;三是不轻易访问未经核实的邮件链接,不轻易下载查看、执行此类邮件附件,若需打开则关闭Office宏。访问本机构资源,尽量使用本机构提供的IT服务通常,认证机构向工作人员提供了WebVPN服务用于访问仅限机构内提供访问的网站/信息系统。通过WebVPN系统,工作人员可以在机构外访问机构内的资源。这一系统通常与信息门户对接,账号为信息门户登录账号,密码与信息门户登录密码一致,无须申请开通。同时,认证机构还部署了认证服务器,与CNCA、CNAS以及CCAA等平台实现对接。通过这些IT服务平台,相关工作人员可在机构外访问这些资源。认证机构应为这些工作人员设置相应权限,以防信息安全事件发生。
视频会议
无论远程办公还是远程审核,往往会采用视频会议形式通过网络传输相关数据,会给黑客带来非法获取利益的便利,这就要求提供视频会议的认证机构以及相关工作人员加强对系统的安全性、保密性的控制。目前,我国的多数视频会议都采用单一的加密技术,无法确保系统的安全。因此,笔者认为,认证机构应高度重视,并采取切实有效的控制措施,包括但不限于在系统中采用多重加密机制,真正实现高保密性,在保护机构自身信息资产安全的同时,更好地保护好客户等利益相关方的信息资产。传统视频会议传统视频会议系统的网络传输主要依靠专线技术,基于嵌入式架构的视频会议通信方式,主要采取H.323协议标准,通过DSP+嵌入式软件等实现视音频处理、网络通信和各项会议功能,并且依托专用的硬件设备终端来实现远程视频会议。传统视频会议系统具备较高的安全性和稳定性,嵌入式架构将绝大部分网络流传的病毒挡在门外;基于DSP处理器的设计让视频会议硬件设备具有很低的功耗和良好的稳定性;有些视频会议硬件设备还具备关键处理单元备份、冗余散热、硬件AES加密、防火墙等功能,进一步保障系统的安全性和可靠性,实时不间断运行。
云视频会议云视频会议是通过互联网传输,借助云计算技术,用虚拟机的方式去代替传统的昂贵硬件资源,依靠新一代的音视频压缩技术和算法,在网络丢包的情况下,都能确保高品质、不卡顿、不丢声音。由于云会议是依托互联网发挥作用,不可避免地会面临云服务的一些共性问题,即服务的安全性、网络质量以及稳定性带来的影响等。因此,客户提出有保密和信号稳定需求时,不能采用云视频会议模式,应采用传统硬件视频会议模式来保证会议安全。无论采用传统视频会议,还是采用云视频会议与同事或客户沟通,在信息安全上拟采用的对策,通常有5个方面:一是嵌入式操作系统,即对于网动MCU,采用嵌入式操作系统,使其具备高稳定性与可靠性,保证设备7*24小时稳定连续运行,同时又具备较高的安全性,无惧病毒、黑客攻击;二是数据加密,即对于网动视频会议系统的云平台、视讯终端,均采取支持数据的安全通信协议,全方位保护会议安全,通过对每组会议的加密,防止会议内容的泄漏,同时也保证会议内容的机密性、可用性、完整性以及不可篡改性;三是会议密码,即在创建会议时,可将会议模板、虚拟会议室设定会议密码,终端加入会议时需要通过密码验证才能入会,验证成功则正常加入会议,验证失败则无法加入会议,确保自助会议的安全保密性;四是保密会议,即使用网动视频会议系统召开安全级别较高的会议时,只有受邀参加的与会人员才能获取到会议信息入会,未被受邀的成员不感知保密会议的存在,这对于提供远程审核服务且有保密需求的客户尤为重要;五是分级分权,即系统采用多级权限架构设计,支持分级分权管理,账号、角色、权限独立,方便不同权限的用户进行会议控制管理;支持超级管理员、管理员、操作员、自定义角色等多种用户权限划分。
远程办公与审核个人习惯的养成
认证机构需要为办公与审核人员提供好的IT资源以供其提供远程服务,也需要每一个从业人员具备良好、过硬的信息安全技能,才能实现信息资产保护的预期结果。
定期升级系统补丁
计算机安全问题的一个根本原因就是计算机系统上存在漏洞,很多病毒和黑客攻击正在肆无忌惮地利用系统漏洞来破坏计算机信息系统。因此,应定期升级系统补丁,可利用杀毒软件、防护软件的“修复漏洞”功能。
正确使用移动介质
移动介质包括但不限于U盘、移动介质等。移动介质作为使用频率较高的设备,在不同电脑之间相互拷贝数据,经常感染病毒,如“臭名昭著”的“Autorun”病毒,就是通过伪装成Autorun.inf文件,使得用户的U盘在打开时,自动运行木马程序或恶意程序,使所有的硬盘完全共享或中木马,感染的速度之快,传播的范围之广,大大超出人们的想象。为此,我们应养成良好的使用移动介质的习惯,一是一定要严格区分内外网U盘,切忌混用;二是借用U盘之前尽量先清空或者格式化;三是尽可能选用安全方法打开U盘,即用右键点击U盘,选择“资源管理器”打开。
文件化信息控制
远程办公与审核场景下,协同办公软件、在线共享文档以及云盘等工具会成为多数认证机构分享文件化信息的途径之一。在文件化信息在线共享之前需要确定文件化信息的安全性,建议对文件化信息进行压缩加密保存,云端共享也务必设置提取码。在使用协同办公工具时,注意文件的查看权限,谨防工具默认设置文件公开分享导致重要信息泄露。使用社交软件,与新添加的陌生号码进行视频通讯,即使是熟悉同事的图像也应多种方式确认。
口令设置与管理
应用远程办公与审核的所有工作人员,应自觉做好个人口令的设置和保管,并养成良好的习惯。良好的习惯包括但不限于:一是应及时修改各系统的初始口令;二是不能使用弱口令。在设定口令的问题上,有几个建议可供参考:一是在规则允许内,尽可能采用混合口令(字母大小写、字符和数字混合),充分利用工具随机生成口令;二是不同网站避免使用同一个口令;三是如果账号支持双重验证,则务必开启;四是可选择使用相对可靠的口令管理工具;五是不要多人使用一个账号,不和别人共享用户名和口令;六是在不熟悉的地点,不要登录非HTTPS类型的网站;七是定期检查账户是否有可以获得,或者定期修改重要账户口令。
数据备份与加密管理
应按照既定的备份策略,对信息、软件和系统镜像进行备份,并定期测试。对于重要的数据信息,在任何时间、任何地域,都应进行备份,防止数据丢失。对于重要文档、代码数据等,应根据数据的重要性,定期或即时备份,包括但不限于通过刻录光盘,拷贝到专门的U盘、移动硬盘上。值得一提的是,在远程办公与审核结束后,家里电脑或笔记本电脑上的数据信息应进行一次较为全面的清理。由于身处互联网时代,在保存、处理、传输文件化信息时,很容易被黑客截获,因此,对于在审核过程中遇到的客户某产品参数、工艺以及其他重要数据,在备份保存的同时就应进行加密管理。很多软件均带有加密功能,例如人们经常用到的Office就能对文档进行自身加密,还可以充分利用Winrar对整个文件夹进行加密。