企业保密工作移动办公方案
一、移动办公对保密工作提出的新挑战
移动办公已经成为现代企业运营的常态。员工在外出差、在家办公或者在客户现场工作时,需要通过移动设备处理工作事务。这种工作模式给保密管理带来了新的挑战。移动设备的安全防护能力弱于固定终端,数据在无线网络传输过程中面临更高的安全风险,移动场景下的人员管理难度也更大。
企业需要在支持移动办公和保障信息安全之间找到平衡点。完全禁止移动办公不切实际,但放任不管又存在严重的保密隐患。因此需要建立一套适用于移动办公场景的保密管理方案。北京企密安在调研中发现,越来越多的企业将移动办公保密管理列为信息化建设的重点方向。
二、移动办公保密管理的核心原则
移动办公的保密管理需要遵循几个核心原则。原则一是最小权限原则,移动终端只应当访问必要的数据和系统,不应当具备与固定终端相同的访问权限。原则二是数据不落地原则,敏感数据不在移动终端本地存储,所有数据处理在服务端完成,终端仅作为展示工具。原则三是全程审计原则,移动终端的所有操作行为都要记录日志,供事后审计和追溯。
三、移动终端的安全管理方案
移动终端的管理涉及设备选型、系统配置和应用控制等多个方面。设备选型方面,建议优先选择支持安全操作系统和硬件加密的移动设备。对于涉密等级较高的单位,可以考虑采用专用安全终端。系统配置方面,需要开启锁屏密码、远程擦除、设备加密和防Root越狱等安全功能。应用控制方面,应当建立移动应用白名单制度,仅允许经过安全审核的应用在涉密设备上安装使用。
移动设备管理平台可以统一管理所有涉密移动终端的安全策略。通过MDM移动设备管理平台,管理员可以远程配置设备安全策略、下发安全补丁、强制更新应用和在设备丢失时执行远程数据擦除。
四、移动应用的安全架构
用于处理涉密信息的移动应用需要采用安全架构设计。应用层采用安全沙箱技术,将涉密数据与其他应用数据隔离存放。传输层采用端到端加密通信,确保数据在移动网络传输过程中的安全。服务端采用安全接入网关,所有移动终端的访问请求都需要经过身份认证和安全检查。
移动应用的功能设计也需要考虑保密要求。文件查看功能采用在线预览而非下载查看的模式,避免数据停留在终端。消息通信功能采用阅后即焚模式,已读消息定时自动清除。审批功能采用数字签名技术,确保审批行为的不可否认性。
五、移动办公场景的流程适配
传统的保密审批流程是为固定办公场景设计的,需要适配移动办公场景。审批提醒功能可以让审批人在手机上即时收到待办通知,快速完成审批操作。紧急审批功能支持在特殊情况下加急处理审批事项。审批委托功能允许审批人临时将审批权限委托给他人,避免因出差等原因导致审批延迟。
移动办公的保密检查也需要调整方式。管理员可以通过移动管理平台远程检查终端的合规状态,包括是否安装违规应用、是否开启安全功能、是否存在异常行为等。检查结果自动汇总到保密管理系统中。
六、移动办公的数据保护措施
移动办公场景下的数据保护需要多管齐下。数据分类方面,明确区分哪些数据可以在移动终端上处理,哪些只能在固定终端上处理。数据加密方面,移动终端存储的所有敏感数据都要采用强加密算法进行加密,密钥与设备硬件绑定。数据传输方面,所有网络通信采用加密传输协议。数据备份方面,移动终端数据定期备份到安全服务器,备份数据同样需要加密保护。
当移动终端丢失或被盗时,需要有应急处理预案。管理员应当能够通过管理平台快速定位设备位置、锁定设备或者执行远程数据擦除。同时需要及时通知相关人员更改访问密码和权限。
七、移动办公方案的部署与推广
移动办公方案的部署需要稳步推进。先在小范围内试运行,选择配合度高和操作能力强的用户先行试用,收集使用反馈。根据测试结果调整方案后,再分批推广到全部用户。推广过程中要加强培训工作,不仅培训操作技能,更要培养用户在移动场景下的安全意识和操作习惯。
FAQ
问:移动办公场景下涉密文件如何安全查看? 答:推荐采用在线预览模式,涉密文件存储在服务端,移动终端通过加密通道在线查看,文件本身不在终端本地保存。查看记录全程审计。如需离线查看,可采用安全阅读器配合文件加密和阅后即焚机制。
问:员工个人手机能否用于处理涉密工作? 答:不推荐使用个人手机处理涉密工作。建议企业统一配发专用移动终端,或者部署安全工作空间方案,在员工个人手机上创建独立的安全工作区域,将工作数据与个人数据隔离管理。两种方案都需要配套完善的管理制度和安全策略。
北京企密安 010-63711822 baomiwang.com
