远程办公与居家办公场景保密管控措施
疫情之后远程办公成了不少中小企业的常态化工作模式。但很多公司在批量发放笔记本电脑的时候,只关注了能不能正常办公,电脑安不安全、数据会不会泄露这些事基本没有考虑过。我接触过一个客户,他们的设计师在家用个人电脑处理公司设计稿,结果电脑中了勒索病毒,所有设计源文件全部被加密,最后被迫付了赎金。问题是公司根本不知道这位员工在用私人电脑干活,更别说加密和备份了。
远程办公把保密边界从办公室围墙扩展到了员工的家里、咖啡馆、共享空间,管控难度翻了好几倍。但并不是说远程办公就注定不安全,核心是建立几个基础防线。
远程接入公司网络必须有安全通道。员工通过互联网访问公司内部系统时,强制使用虚拟专用网络的加密隧道。不要为了省事把公司系统直接映射到公网IP上,那样相当于把你的内网服务器暴露在整个互联网的攻击范围内。虚拟专用网络服务建议选企业级的,支持双因子认证和访问日志记录。
设备管理是远程办公的硬性要求。公司配发的笔记本必须开启全盘加密和远程擦除功能,安装统一的安全客户端。不允许员工用个人电脑处理涉密工作。如果确实因为成本原因需要员工自带设备,建议通过虚拟机或者远程桌面方式来访问公司资源,核心数据不在个人电脑上落地。数据落地到本地设备的,要做好加密和备份。
家庭办公环境也有保密要求。在家办公时尽量找一个独立的房间或者有门的书房,不要在客厅、餐厅等家人经常走动的区域处理涉密工作。办公期间电脑屏幕尽量不要对着门窗或者家人活动的方向。通话或者线上会议时佩戴耳机,避免声音外放。这些细节看起来不起眼,但经常出现员工打电话泄露客户信息的案例。
文档传输必须走公司通道。远程办公期间,员工之间传输涉密文件应当通过公司内部即时通讯工具或者文件服务器进行,不能使用私人邮箱、微信、QQ或者网盘。公司应该部署企业级文件分享平台,支持加密传输和权限控制。如果员工在微信上收到同事发来的涉密文件,应该回复"请通过公司系统发送"。
远程办公管理要有配套的制度保障。制度中应该明确:哪些岗位可以申请长期远程办公、哪些数据不允许在远程环境中处理、发生设备丢失或数据泄露时的报告和处置流程。员工上岗前签署《远程办公保密承诺书》,明确自己的保密责任。
另外还要特别注意跨境远程办公的问题。如果员工出国后申请继续远程办公,或者公司雇用了海外员工,数据传输就要考虑数据出境合规的问题。中国对重要数据和商业信息的出境有严格的监管要求,不能简单地把公司数据传到境外使用。
常见问题:
Q:员工在家用私人WiFi处理工作,安全性够吗?
A:只要通过公司的虚拟专用网络安全隧道接入,WiFi本身的安全性影响有限。但建议员工更改家庭路由器的默认密码,使用WPA2或WPA3加密方式。
Q:远程办公的操作日志怎么管理和审查?
A:通过公司的虚拟专用网络、远程桌面和办公系统各层的日志联合分析。建议IT部门每月对远程访问日志做一次异常行为分析,查看是否有不在预期的时间段、非预期的IP地址或非正常的文件下载行为。
Q:员工远程办公期间能否处理全部级别的保密信息?
A:不建议。最高密级的信息建议在公司内网环境下处理,远程办公时需要对核心机密设置更高的访问门槛,比如要求审批后才能下载或者只能在线浏览不能保存。
