安全远程办公快速指南
由于冠状病毒引起的警报状态,许多行政部门和公共机构正在促进远程办公,以确保其功能和服务的连续性。 但是,如果不及时规划、对员工进行适当培训以及安全配置设备和连接,远程办公可能会带来网络安全风险。 鉴于目前的情况,在许多情况下,所有这些都可能是不可能的; 为此,我们为您提供一个 选择要考虑的主要基本保护措施 这可以通过最大程度地减少组织信息处理过程中的安全风险来帮助您进行远程办公。
请记住,当前的情况对于网络犯罪分子来说非常有吸引力,可以窃取密码和劫持机密信息以换取赎金。 近几个月来,公共行政部门发生了此类案件,造成严重的经济和声誉损失。
做出此选择的目的是为了方便 实用和执行指南,针对没有资源的中小型公共行政部门的非专家用户 实施完整、先进的安全计划。 我们希望避免信息过多,并在我们所处的环境中提出不可行的建议。 对于有兴趣深入研究该主题的用户,我们在指南末尾提供了其他链接。
这些建议具有一般性。 如果您的组织有自己的网络安全指南,请注意它。
1. 组织方面
遵守安全说明 您组织的技术经理.
利用 您的组织授权的工具和应用程序. 如果您需要使用其他解决方案,请小心并仅使用受信任的应用程序。
并且…
它验证备份是由您将在家工作的公司文档制成的。
找出报告事件和解决疑虑的渠道是什么。
立即将任何网络安全事件通知您组织的技术经理。
2. 工作团队
确保 系统和应用程序更新为最新版本 并且启用了自动版本更新。
检查您的计算机是否有系统主动防病毒和反恶意软件.
- 对于 Windows:活动 Microsoft Defender 反恶意软件
- 对于 MAC:安装免费版本的市场解决方案:Kaspersky、Avast、AVG、Bitdefender 等。
应用 自动锁屏 十分钟后。
并且…
在您的操作系统上创建一个单独的家庭和远程办公帐户。 必须避免对机密信息的任何未经授权的访问。
在您的计算机上启用防火墙。
3. 互联网连接和远程访问
避免使用陌生且受信任的公共 WiFi 网络远程访问您组织的服务。
并且…
根据需要,使用组织推荐的 VPN(虚拟专用网络)拨号服务访问公司信息系统。
确认 Internet 路由器未使用出厂默认密码。 您可以在 Internet 和 YouTube 上找到许多教程。 您可以使用 消费者和用户组织推荐的程序.
使用安全加密系统配置路由器密码:WPA3(最好)或 WPA2。
4. 备份
通过以下机制之一备份本地生成的文档:
- U 盘:您应该事先清洁或格式化它们以确保您的安全
- 外置硬盘
- 机构授权的云存储服务
5. 密码和认证
尽可能使用经过数字认证的信息系统(最好是 T-CAT P)或双因素身份验证系统,以防止您的密码被盗。 (双因素系统基于通过短信或 APP 发送的一次性代码)
使用复杂密码:特殊字符、大小写数字和字母的组合。
不要在任何地方记下您的公司密码。
Si 在您的个人计算机上的软件中安装数字证书 (TCAT-P, idCAT Certificate) 使用“Enter Password for Private Key”选项:这样数字证书只有在知道密码的情况下才能使用。
并且…
如果您必须使用具有不同用户和密码的多个帐户,请使用应用程序来安全地管理不同的密码。 有多种解决方案提供免费版本(Lastpass、Dashlane 等)。 Apple - iOS 设备具有与操作系统集成的密码管理器。
并且…
必须使用最新版本和软件补丁更新和配置计算机的 Web 浏览器。
定期删除浏览历史记录、cookies、记住的密码和其他临时文件。 这样您就可以避免潜在的间谍软件。
7. 安全的视频会议
安全召开会议。 仅允许知道会议数据的用户加入视频会议会话. 为 这样做:
- CREa 一个会议 只有人可以加入 客人。
- 环保并应邀 通过私人电子邮件 部分地 参与者 o 是 通过 的 平台或渠道 se治愈。
- 让我是它所拥有的人GIS 客人 通过电子邮件 哈金德登录 通过 d'这米吃过的地址 或者,
- 使用 s双因素认证系统, 例如 生成 会议链接(或会议 ID, 在 Zoom 的情况下) 并要求nt 一个 c鎏 联合.
- 候车室 也是 一个非常有用的功能,主持人可以控制谁进入和谁离开会议。
- 不要通过社交媒体或其他公共论坛分享加入会议的链接。 任何知道链接的人都可以加入 会议.
管理参与者。
- 提前设置谁可以在会议期间通过聊天共享屏幕或发送文件。
- 在大型会议的情况下,请记住主持人可以 沉默个别参与者MENT 或一次全部, 以避免回声、背景噪音和平行干扰或谈话。
- 必要时进行评估 b洛克哈r 会议时已经 所有参与者都在场,这样新参与者就不能加入 不需要的。
并且…
结识 之前 通过视频会议工具的设置和功能, 用途缎 为 知道 如何保护将举行会议的虚拟空间。
在会议结束时,确保会议所在的虚拟空间 它已关闭 o 无障碍 只为 会议参与者,因为可能有注释, 私人文件和信息.
8。 网络钓鱼
不要点击链接,或从可疑电子邮件中下载任何附件。 怀疑要求采取不寻常操作来更新密码的电子邮件。 检查发件人的地址(不是别名)是否有看似合法的电子邮件。
并且…
通过网络连接时,请在浏览器栏中检查目标网址是否正确。 网络犯罪分子可以完全复制网站并窃取您的密码。
9. 工作结束
关闭与信息系统和公司网站的所有连接。
备份公司备份未涵盖的本地文档。
并且…
删除浏览历史记录、cookie、记住的密码和其他临时文件。
10. 更多信息
- 地方议会和实体的网络安全指南
加泰罗尼亚市政协会 - 以远程办公模式提供服务的网络安全规则
加泰罗尼亚网络安全局 - “网络安全和数据保护”药丸
加泰罗尼亚公共管理学院 - 远程办公安全指南
瓦伦西亚社区的 ICT 安全中心 - 在移动和远程办公情况下保护个人数据的建议
西班牙数据保护局 - 如何在不使用户和组织面临风险的情况下安全地远程办公
国家密码中心 - 远程办公指南:最佳实践、示例政策和网络安全
北卡罗来纳大学政府学院 - 远程办公快速参考指南
加州网络安全集成中心 - CCN-CERT BP / 18 条针对远程办公和加固监视情况的安全建议
国家密码学中心(高级内容) - 如何实施安全远程访问策略
国家密码学中心(高级内容) - 企业远程办公和远程访问安全指南
美国国家标准与技术研究院(高级内容)
致谢
这组建议是根据 AOC 自己的资源、加泰罗尼亚网络安全局、加泰罗尼亚电信工程师协会 (Telecos.cat)、顾问 Genís Margarit Contel 和 Cristina Ribas Casademont 的指令制定的,以及“更多信息”部分中的文档。
从 AOC 那里,我们要感谢我们收到的所有无私和积极的贡献,这些贡献对于确保公共部门信息系统的安全非常有用和宝贵。
-
本指南对建议、改进建议和更正开放。 欢迎您提出意见:您可以将它们发送至 innovacio@aoc.cat.
-
我们要求两个免费软件社区实体和四个用户向我们提供重要反馈,以帮助我们完成本指南,并为基于 Linux 的操作系统提供具体建议。 到目前为止,我们还没有收到任何回应。