供应商远程办公场景下的数据安全管控要点 - 保密网

远程办公早已不是新鲜事，但在供应商管理领域，供应商员工远程办公带来的数据安全问题还远远没有得到足够的重视。供应商的工程师在家里、咖啡厅、甚至是在出差路上访问企业的数据系统，设备和网络环境都在企业的管控范围之外，风险自然随之增加。

一家软件外包公司曾跟我分享过一个案例。他们的一名开发人员在公司VPN上操作企业项目时，因为家里的路由器被入侵，导致VPN会话被截获，项目的部分源代码泄露了出去。虽然泄露的范围不大，但这件事让他们意识到，供应商远程办公的安全管理是一个需要深入管控的领域。

供应商远程办公场景下，数据安全管控的重点可以从几个方面入手。

远程接入的通道管理是首要的事情。供应商员工要远程访问企业的系统，就不能让他们随便用哪种方式接入。统一使用企业指定的加密VPN通道是基本要求。VPN的认证方式建议采用多因素认证，密码加手机动态码或者硬件令牌。供应商的员工不得使用未经授权的第三方远程桌面软件或者远程控制工具来访问企业的系统。

对于VPN连接的设备端点，也需要有一定的安全基线。可以考虑要求供应商员工在接入VPN的设备上安装企业的MDM或者至少安全合规检查工具，确保设备的操作系统和杀毒软件处于近期状态。如果供应商员工使用个人设备办公，则需要在安全和便利之间做一个平衡。可以要求个人设备至少配置磁盘加密和屏幕锁，企业内部敏感数据不保存在本地设备上。

远程办公环境下的数据存储方式是另一个关注点。供应商员工在远程办公时，文件应当保存在企业的受控系统中，而不是下载到本地个人电脑上。遇到确实需要离线处理的情况，文件要经过加密处理，处理完成后及时将加密文件回传至受控系统，本地副本彻底删除。

实际操作中很难保证每个人都能严格遵守数据不落地的要求。比较现实的做法是在供应商的合同中约定远程办公场景下的数据存储规范，并且在远程办公设备上启用数据防泄漏功能。比如设置USB端口禁止写入，限制文件打印权限，管控截屏行为。这些措施可以有效降低本地数据外泄的风险。

远程办公沟通工具的使用也需要有管理。供应商员工在远程工作中使用即时通讯工具、视频会议、电子邮件等渠道来交流项目信息。这些沟通工具的使用如果不加管理，很容易造成信息的无意泄露。

建议的做法是建立远程沟通的规范指南。与供应商约定哪些信息可以通过即时通讯工具发送，哪些必须通过加密邮件或受控平台传输。视频会议时需要注意不要让保密信息暴露在摄像头可拍摄的范围内。远程会议的录屏和记录材料需要妥善保管，非必要不录制。

对于高敏感项目的远程协作，还可以考虑使用虚拟桌面或者远程沙箱技术。供应商员工通过虚拟桌面来操作企业系统，所有操作都在云端完成，数据不出虚拟桌面环境。供应商员工的本地电脑上不留存任何企业数据。即使本地电脑被入侵，企业数据也不会受到影响。

远程办公的安全管理还涉及到工作时间的边界的模糊。供应商员工在非工作时间远程访问企业系统的情况比较常见。这本身不是问题，但如果非工作时间的访问与大量数据下载行为同时发生，就需要有所警惕。

可以在系统中设置异常行为告警规则。对非工作时间的批量数据下载、异常IP地址的访问、短时间内多次失败登录尝试等情况设置自动告警。告警触发后及时与供应商确认是否为正常操作。对无法确认的操作，可以临时冻结账号再做进一步调查。

供应商远程办公是大趋势，不可能因为安全问题就禁止远程办公。企业能做的就是把远程办公场景下的安全管控措施建立完善，让供应商员工在远程工作时也能遵循与办公室场景一致或者相近的安全规范。