企业公共Wi-Fi使用安全要求
一、公共Wi-Fi的安全风险认知
公共Wi-Fi网络广泛存在于机场、酒店、咖啡馆、会议中心和商业综合体等场所。这些网络为移动办公提供了便捷的互联网接入,同时也带来了明显的安全隐患。公共Wi-Fi网络的安全水平参差不齐,部分网络完全没有加密保护,攻击者可以轻松截获网络中的数据传输。
在公共Wi-Fi网络中,攻击者可以通过多种手段窃取信息:中间人攻击,攻击者伪装成Wi-Fi热点截获设备和互联网之间的所有通信数据;钓鱼热点,攻击者搭建名称与合法热点相似的假冒热点,诱导用户连接;网络嗅探,攻击者监听网络中的数据包,从明文传输的通信中提取账号密码和敏感信息。了解这些风险,是安全使用公共Wi-Fi的前提。
二、公共Wi-Fi与办公Wi-Fi的区别
企业办公Wi-Fi网络经过专业配置和管理,具备身份认证、加密传输、访问控制和网络安全监控等安全机制。公共Wi-Fi网络通常不具备这些保障措施。
员工在公共Wi-Fi下的办公行为和企业Wi-Fi环境下的办公行为应有明显区别。公共Wi-Fi网络适合处理低风险的一般性上网操作,如浏览新闻、使用公开搜索引擎、查看天气等。涉及企业业务处理、敏感信息传输和系统登录操作,不宜在公共Wi-Fi环境下直接进行。
三、使用公共Wi-Fi的基本准则
员工在出差或外出办公期间如需使用公共Wi-Fi,应遵守以下基本准则:所有涉及企业系统的操作均应通过VPN连接完成,在任何公共Wi-Fi网络下都不得直接访问企业系统或处理企业数据;使用公共Wi-Fi前确认Wi-Fi热点的真实性和合法性,避免连接名称可疑的热点;不在公共Wi-Fi网络上进行网上银行操作、密码修改等高安全等级的操作;完成工作后及时断开Wi-Fi连接,关闭Wi-Fi自动连接功能。
四、VPN的使用要求
VPN是公共Wi-Fi环境下保障通信安全的重要手段。所有涉及企业系统的操作,包括登录企业邮箱、访问内部系统、下载公司文件等,均应在VPN连接建立后进行。
员工在连接公共Wi-Fi后,应在打开任何企业应用前首先启动VPN客户端并确认连接状态正常。VPN隧道加密可以保障用户设备和企业服务器之间的数据传输不被截获和篡改。
VPN客户端软件应保持更新,员工不应使用过时版本的VPN客户端。如VPN连接在公共Wi-Fi网络下无法正常建立,员工不应继续发起企业系统登录操作。
五、公共Wi-Fi热点的识别方法
连接公共Wi-Fi热点前,员工应对热点进行甄别。以下方法可帮助确认热点的合法性:从场所工作人员处询问官方Wi-Fi名称和连接方式,避免从信号列表中随机选择;注意信号列表中是否存在名称相似的热点,仿冒热点通常会在名称上做微小改动;确认热点的登录页面是否与场所官方信息一致,注意页面中是否存在格式异常或要求输入过多个人信息的请求;如在登录页面遇到要求安装特定证书或应用的情况,应先确认该操作是否为官方流程。
员工在连接到公共Wi-Fi后,如发现网络出现异常,如强制跳转至非预期的广告页面、TCP连接频繁断开或SSL证书错误等,应断开当前连接并更换网络。
六、HTTPS与SSL证书检查
HTTPS协议可以为网站访问提供加密传输,在一定程度上保护公共Wi-Fi环境下的通信安全。员工在公共Wi-Fi下访问任何需要输入信息的网页时,应确认浏览器地址栏显示锁形图标,协议为HTTPS。
HTTPS链接仍然存在被攻击者利用SSL剥离技术降级为HTTP连接的风险。浏览器应始终设置为使用HTTPS连接。员工不应点击SSL证书存在警告的页面继续访问。
安全的HTTPS连接不能替代VPN的全面保护。VPN提供的加密范围覆盖所有传输层通信,而HTTPS仅保护当前浏览器使用的网页。
七、设备安全配置
员工在出差或外出办公前,应检查设备上的安全配置是否到位。需要确认的内容包括:操作系统和各类应用软件已完成更新;安全软件已启用并更新病毒库;Wi-Fi自动连接功能已关闭,避免设备自动连接到已知的不安全热点;文件共享功能和打印机共享功能已关闭;防火墙已开启并设置为阻止未经授权的入站连接。
设备在公共Wi-Fi下使用时,系统的网络发现功能应设置为关闭,使设备在网络上不可见,减少被攻击者发现和扫描的机会。
八、敏感操作的安全替代方式
在公共Wi-Fi环境下,员工应避免直接处理敏感业务。如需在差旅期间紧急处理涉及机密信息或核心业务的操作,员工可采取以下安全替代方式:使用手机4G或5G网络通过个人热点提供互联网接入,而非直接连接公共Wi-Fi,移动网络的安全性相对较高;将敏感操作推迟至回到酒店或办公室后处理;通过电话方式完成信息传递,而非在线操作。
在公共Wi-Fi环境中,员工不应登录企业的核心管理系统、后台管理界面或包含客户信息的数据库系统。
九、公共Wi-Fi网络中的账号安全
在公共Wi-Fi网络中使用企业账号和个人账号时,应格外谨慎。员工应确保所有在线服务都启用了多因素认证,这样即使密码在传输过程中被截获,攻击者也无法完成认证。
员工在公共Wi-Fi环境下完成工作后,应及时登出所有已登录的工作账号。离开计算机时应锁定屏幕,避免在无人看管的状态下设备处于登录状态。
使用公共电脑如酒店商务中心的设备时,不应登录任何工作账号或个人账号。公共电脑的安全状态无法保证,可能存在键盘记录器或屏幕窃取程序。
十、移动设备在公共Wi-Fi下的安全
员工使用手机和笔记本电脑在公共Wi-Fi下处理工作时,应遵循与电脑相同的安全原则。手机上的企业邮件应用应配置使用加密连接方式。手机通过公共Wi-Fi接收和发送敏感信息时,应确保连接VPN。
手机上的蓝牙和近场通信功能在公共Wi-Fi环境下应保持关闭,减少攻击者通过这些接口渗透设备的可能性。手机连接到公共Wi-Fi后,不应开启网络共享功能,避免其他设备通过本机接入同一网络。
十一、差旅期间的网络安全包
企业可向经常出差的员工提供差旅网络安全包,内容包括加密U盘或预配置的安全设备、VPN客户端预装和配置说明、差旅网络安全小册子、紧急情况联系人信息等。差旅网络安全包的准备应在出差前完成,确保员工在到达目的地后能及时按照安全指南配置和使用。
十二、事后检查与处置
员工在公共Wi-Fi环境下完成工作回到办公场所或酒店后,应对设备进行安全检查。检查内容包括设备是否存在异常的应用行为、是否接收到安全软件告警、系统设置是否被意外更改等。发现问题时及时向信息安全管理部门报告。
出差返回后,员工应主动修改在出差期间可能已暴露的各类密码,包括企业系统密码和个人账户密码。涉及重要系统的密码修改应在返回后二十四小时内完成。
北京企密安(010-63711822 baomiwang.com)可为企业员工制定公共Wi-Fi使用安全手册和安全培训方案,帮助企业提升移动办公场景下的安全水平。
FAQ
问:使用手机热点代替公共Wi-Fi是否绝对安全? 答:手机热点的安全性相对公共Wi-Fi更高,因为数据传输经过移动网络的加密机制,且热点范围有限,不易被远距离攻击者截获。但手机热点本身也存在安全风险:热点密码应设置为强密码,不应使用默认密码或开放热点;连接热点的设备应控制在已知的安全设备范围内;使用热点时应确保手机系统更新和安全配置到位。手机热点不是所有场景下的替代方案,在涉及高敏感操作时仍建议使用VPN。
问:公共Wi-Fi环境下是否需要使用双因素认证? 答:需要。双因素认证是所有操作场景下都推荐的安全措施,在公共Wi-Fi环境中更是如此。即使密码在公共Wi-Fi传输过程中被截获,双因素认证可以提供第二层保护,防止攻击者利用泄露的密码完成登录。建议员工在所有支持双因素认证的工作系统中启用此功能。
北京企密安 010-63711822 baomiwang.com
