安全远程办公快速指南 - 好

安全远程办公快速指南

内容:

  1. 组织方面
  2. 工作团队
  3. 互联网连接和远程访问
  4. 备份
  5. 密码和身份验证
  6. 安全上网
  7. 安全的视频会议
  8. 網絡釣魚
  9. 在工作结束时
  10. 更多信息

由于冠状病毒引起的警报状态,许多行政部门和公共机构正在促进远程办公,以确保其功能和服务的连续性。 但是,如果不及时规划、对员工进行适当培训以及安全配置设备和连接,远程办公可能会带来网络安全风险。 鉴于目前的情况,在许多情况下,所有这些都可能是不可能的; 为此,我们为您提供一个 选择要考虑的主要基本保护措施 这可以通过最大程度地减少组织信息处理过程中的安全风险来帮助您进行远程办公。

请记住,当前的情况对于网络犯罪分子来说非常有吸引力,可以窃取密码和劫持机密信息以换取赎金。 近几个月来,公共行政部门发生了此类案件,造成严重的经济和声誉损失。

做出此选择的目的是为了方便 实用和执行指南,针对没有资源的中小型公共行政部门的非专家用户 实施完整、先进的安全计划。 我们希望避免信息过多,并在我们所处的环境中提出不可行的建议。 对于有兴趣深入研究该主题的用户,我们在指南末尾提供了其他链接。

这些建议具有一般性。 如果您的组织有自己的网络安全指南,请注意它。
 

1. 组织方面

您的组织很可能已经拥有协议和网络安全管理器。 与他核对我们在下面为您提供的要点。

遵守安全说明 您组织的技术经理.

利用 您的组织授权的工具和应用程序. 如果您需要使用其他解决方案,请小心并仅使用受信任的应用程序。

并且…

它验证备份是由您将在家工作的公司文档制成的。

找出报告事件和解决疑虑的渠道是什么。

立即将任何网络安全事件通知您组织的技术经理。

2. 工作团队

从您的家庭工作团队,您将可以访问您组织的机密信息。 无论您使用的是公司计算机还是个人计算机,都必须考虑一套保护和预防措施。 如果您使用公司工作团队,最常见的情况是您已经通过管理员强制执行的安全策略遵守了大部分或所有建议。

确保 系统和应用程序更新为最新版本 并且启用了自动版本更新。

检查您的计算机是否有系统主动防病毒和反恶意软件.

应用 自动锁屏 十分钟后。

并且…

在您的操作系统上创建一个单独的家庭和远程办公帐户。 必须避免对机密信息的任何未经授权的访问。

在您的计算机上启用防火墙。

3. 互联网连接和远程访问

家庭 WiFi 网络通常没有在公司办公室实施的相同安全控制,例如防火墙。 因此,在远程工作时,您必须特别注意您所连接的网络的特性,无论是上网冲浪还是访问组织的系统和数据。

避免使用陌生且受信任的公共 WiFi 网络远程访问您组织的服务。

并且…

根据需要,使用组织推荐的 VPN(虚拟专用网络)拨号服务访问公司信息系统。

确认 Internet 路由器未使用出厂默认密码。 您可以在 Internet 和 YouTube 上找到许多教程。 您可以使用 消费者和用户组织推荐的程序.

使用安全加密系统配置路由器密码:WPA3(最好)或 WPA2。

4. 备份

您在用于远程办公的私人计算机上生成且未存储在组织服务器上的所有办公文档可能没有自动备份系统。 因此,建议您采取备份的预防措施。

通过以下机制之一备份本地生成的文档:

  • U 盘:您应该事先清洁或格式化它们以确保您的安全
  • 外置硬盘
  • 机构授权的云存储服务

5. 密码和认证

当您远程办公时,您在系统和应用程序中进行身份验证的方式尤其重要,因为使用被盗密码,您可以访问机密信息和/或控制您组织中的服务。 以下是一些建议,可以更安全地验证自己的身份,以及定义和使用更可靠的密码。

尽可能使用经过数字认证的信息系统(最好是 T-CAT P)或双因素身份验证系统,以防止您的密码被盗。 (双因素系统基于通过短信或 APP 发送的一次性代码)

使用复杂密码:特殊字符、大小写数字和字母的组合。

不要在任何地方记下您的公司密码。

Si 在您的个人计算机上的软件中安装数字证书 (TCAT-P, idCAT Certificate) 使用“Enter Password for Private Key”选项:这样数字证书只有在知道密码的情况下才能使用。

并且…

如果您必须使用具有不同用户和密码的多个帐户,请使用应用程序来安全地管理不同的密码。 有多种解决方案提供免费版本(Lastpass、Dashlane 等)。 Apple - iOS 设备具有与操作系统集成的密码管理器。

并且…

必须使用最新版本和软件补丁更新和配置计算机的 Web 浏览器。

定期删除浏览历史记录、cookies、记住的密码和其他临时文件。 这样您就可以避免潜在的间谍软件。

7. 安全的视频会议

确保对话的安全性和隐私性 期间es 视频会议es 与您的工作或项目团队, 石灰 考虑以下几个方面:

安全召开会议。 仅允许知道会议数据的用户加入视频会议会话. 这样做:

  1. CREa 一个会议 只有人可以加入 客人。
  2. 环保并应邀 通过私人电子邮件 部分地 参与者 o 通过 平台或渠道 se治愈。
    • 让我是它所拥有的人GIS 客人 通过电子邮件 哈金德登录 通过 d'这米吃过的地址 或者,
    • 使用 s双因素认证系统, 例如 生成 会议链接(或会议 ID, 在 Zoom 的情况下) 并要求nt 一个 c 联合.
    • 候车室 也是 一个非常有用的功能,主持人可以控制谁进入和谁离开会议。
  3. 不要通过社交媒体或其他公共论坛分享加入会议的链接。 任何知道链接的人都可以加入 会议.

管理参与者。

  • 提前设置谁可以在会议期间通过聊天共享屏幕或发送文件。
  • 在大型会议的情况下,请记住主持人可以 沉默个别参与者MENT 或一次全部, 以避免回声、背景噪音和平行干扰或谈话。
  • 必要时进行评估 b洛克哈r 会议时已经 所有参与者都在场,这样新参与者就不能加入 不需要的。

并且…

结识 之前 通过视频会议工具的设置和功能, 用途知道 如何保护将举行会议的虚拟空间。

在会议结束时,确保会议所在的虚拟空间 它已关闭 o 无障碍 只为 会议参与者,因为可能有注释, 私人文件和信息.

8。 网络钓鱼

网络钓鱼是一种网络犯罪,涉及发送欺诈性电子邮件,目的是窃取您的密码或其他个人信息。 它是网络犯罪分子最常用的骗局之一。 网络钓鱼的操作很简单:您会收到一封电子邮件,外观合法,要求通过链接更新、验证或确认信息。 单击它后,您将被重定向到一个伪造的网页,其中的密码或其他数据被盗。

不要点击链接,或从可疑电子邮件中下载任何附件。 怀疑要求采取不寻常操作来更新密码的电子邮件。 检查发件人的地址(不是别名)是否有看似合法的电子邮件。

并且…

通过网络连接时,请在浏览器栏中检查目标网址是否正确。 网络犯罪分子可以完全复制网站并窃取您的密码。

9. 工作结束

从您的家庭工作团队,您将可以访问您组织的机密信息。

关闭与信息系统和公司网站的所有连接。

备份公司备份未涵盖的本地文档。

并且…

删除浏览历史记录、cookie、记住的密码和其他临时文件。

10. 更多信息

希望扩展本指南中信息的用户建议您访问以下包含专门内容的网页:

致谢

这组建议是根据 AOC 自己的资源、加泰罗尼亚网络安全局、加泰罗尼亚电信工程师协会 (Telecos.cat)、顾问 Genís Margarit Contel 和 Cristina Ribas Casademont 的指令制定的,以及“更多信息”部分中的文档。

从 AOC 那里,我们要感谢我们收到的所有无私和积极的贡献,这些贡献对于确保公共部门信息系统的安全非常有用和宝贵。

  1. 本指南对建议、改进建议和更正开放。 欢迎您提出意见:您可以将它们发送至 innovacio@aoc.cat.
  2. 我们要求两个免费软件社区实体和四个用户向我们提供重要反馈,以帮助我们完成本指南,并为基于 Linux 的操作系统提供具体建议。 到目前为止,我们还没有收到任何回应。