病毒肆掠,疫情严峻。为了共同抵抗疫情,众多企事业单位开始SOHO办公(也叫线上办公),员工尽量在家远程办公,通过钉钉、手机和邮箱等方式完成业务沟通,以有效降低人员接触导致的交叉感染风险,这是互联网时代给予疫情防御战线的一份礼物。
与此同时,这类新型的办公方式也给企事业单位的数据安全保护带来了更多挑战,主要体现在以下几个方面:
- 需要将部分前期仅在内网可访问的数据权限开放到互联网;
- 员工使用缺乏安全管控的家庭终端接入到公司内部系统中(特别是日常使用固定终端的办公人员);
- 数据访问源分布广泛(白名单访问控制方式极易失效);
- 截屏、拍照、录像等数据窃取方式缺乏监管。
云上企业如何在SOHO办公场景下有效实现敏感数据的保护呢?
阿里云数据安全专家建议从以下五个方面着手,提升企业数据安全保护能力:
01 控制接入
SOHO办公方式无可避免的需要将前期仅在内网可访问的数据权限开放到互联网,此时首先需要建立安全的网络通信方式,诸如使用VPN等措施,将远程连接进行加密,保证数据在传输过程中不被第三方窃取;
同时建议对SOHO办公场景下员工能够接触到的数据进行分类分级,针对敏感程度高、泄漏影响大的数据,如非业务需要,配置访问策略加以限制,并根据需要使用堡垒机等安全终端,对敏感程度高的数据进行访问记录,同时关闭下载权限,让敏感数据在非本地终端上的使用可查可控。
02管理权限
在远程办公过程中,一定会涉及云端用户账号的认证和授权。对于云平台层面的访问控制,应使用RAM来进行账号权限管理,划分不同的管理权限。搭配多因子认证(MFA)来增强账号的安全性。特别是对于账号AK的保护,需要额外关注;对于资源的访问能够和堡垒机结合,基于最小权限原则进行授权,同时尽量避免多人共享账号,降低数据泄漏的风险。
03加固终端
有效控制员工家庭自有终端的接入,尽量使用公司配置的电脑办公,同时通过安装终端防泄漏(DLP)、杀毒、移动设备管理(MDM)等安全管理软件降低终端数据泄漏风险,同时此类软件的防截屏、防粘贴拷贝等特性也能一定程度上防止数据外泄。在SOHO办公期间,基于终端、基于邮件网关、基于应用网关的DLP技术都能发挥一定的作用。
阿里云客户可以使用阿里云提供的DLP数据防泄漏能力,有效提升终端侧的敏感数据保护与控制能力。
04保护数据
增强云端数据的保护能力。例如,通过将脱敏后的数据存储到测试环境供相关人员使用,能有效降低因远程办公的开发人员直接访问生产数据而造成泄漏的风险,同时通过保留部分数据内容和结构的算法,有效支撑远程数据使用和分析的场景。通过对高敏感信息,例如个人身份、医疗信息等数据实现脱敏或加密,进一步保护云端信息在远程终端侧的可用和保密。
阿里云建议云上用户通过开启相关数据安全服务,如敏感数据保护(SDDP),密钥管理(KMS)等服务,实现针对重要数据的保护功能。
05检测异常
SOHO办公场景下,数据访问源对应的终端、IP等分布广、变化快,常规的告警配置很难灵活应对,只有通过自学习的检测手段,动态生成员工终端的访问和行为模式,才能实现对访问终端行为和操作的及时、有效的告警。同时结合大数据计算提供的海量数据分析能力,进一步提升异常告警的准确率,为远程办公中发生的异常事件,提供更快速的应急响应能力。
对于阿里云上的用户,我们建议通过配置诸如敏感数据保护(SDDP)、数据库审计等服务,实现远程访问云上数据行为的实时监测和有效审计。
在这个特殊的时期,如果您对SOHO办公场景下有任何数据安全相关问题,都可以随时联系我们,我们提供免费咨询服务。
