2020BCS-北京網絡安全大會：遠程辦公安全風險和標準化研究.pdf

《2020BCS-北京網絡安全大會：遠程辦公安全風險和標準化研究.pdf》由會員分享，可在線閱讀，更多相關《2020BCS-北京網絡安全大會：遠程辦公安全風險和標準化研究.pdf（21頁珍藏版）》請在三個皮匠報告上搜索。

1、遠程辦公安全風險和標準化研究姚相振中國電子技術標準化研究院信息安全中心副主任#page#遠程辦公應用背景#page#應用背景遠程辦公，尤其是在線會議、即時通信、文檔協作等典型遠程辦公應用場景，在疫情期間呈現了爆發式增長。2020年2月3號復工Welink第一天，全國超過2億人參與了遠程辦公，統計表明復工30天內遠程辦公需求環比上漲663%。各類遠程辦公軟件大量涌現，包括釘釘、企業微信、飛書、WeLink、騰訊會議、Zoom、金山文檔、藍信等，為遠程辦公活動的開展提供了便利的條件#page#應用背景，遠程辦公應用的爆發式增長，在推動復工復產的同時，也帶來了一系列安全問題。Zoom安全事件。隨著用

2、戶數量的激增，Zocm視頻會議應用的安全漏洞被不斷暖出，包括私自分享用戶數據、會議信息ID可被收集導致信息泄露、虛假宣傳的加密功能微盟微商城等嚴重安全風險，導致企業紛紛禁用Zoom。微盟刪庫事件。2月24日，微盟SaaS業務服務突然巖機，線上生產環境被破壞，大面積服務集群無法響應，上百萬注冊商戶業務無法開展，核心業務停止近五天，三天內市值蒸發超過30億。#page#遠程辦公安全風險#page#口供應方安全風險。提供遠程辦公系統的供應方安全能力參差不齊，部分供應方在安全開發運維、數據保護、個人信息保護等方面能力較弱，難以滿足開展安全遠程辦公的要求?？谶h程辦公系統自身安全風險在線會議、即時通信、文

3、檔協作等辦公場景下系統安全功能不完備，系統自身的安全漏洞，不合適的安全配置等問題，將直接影響遠程辦公安全?？谠O備風險。用于遠程辦公的設備，特別是用戶自有設備，在接入遠程辦公系統時，由于未安裝或及時更新安全防護軟件，未啟用適當的安全策略，被植入惡意軟件件等原因，可能將權限用、數據泄露等風險引入機構內部網絡。#page#安全風險口數據安全風險。遠程辦公場景中，通過遠程辦公系統可訪問機構的數據，由于數據訪問權限的不合理設置、遠程辦公系統自身的安全漏洞、用戶不當操作等，可能導致機構數據泄漏。此外，由于遠程辦公系統基于云計算平臺部署，機構可能失去對數據的直接管理和控制能力，存在數據被非授權訪問和使用的風

4、險?？趥€人信息保護風險。遠程辦公系統的部分功能（例如，企業通信錄、健康情況匯總、活動軌跡填報等），可能收集、存儲用戶的個人信息（例如，姓名、電話、位置信息、身份證件號碼、生物特征識別數據等），存在被采、滋用和泄露的風險#page#安全風險口網絡通信風險。用戶和遠程辦公系統通常利用公用網絡進行通信，存在通信中斷，通信數據被改、被竊聽的風險。同時，遠程辦公系統可能遭受惡意攻擊（例如，分布式拒絕服務攻擊等），導致辦公活動難以進行?？诃h境風險。遠程辦公通常在居家環境或公共場所進行。居家環境中，由于家用網絡設備安全防護能力和網絡通信保障能力較弱，存在網絡入侵和通信中斷風險。公共場所中，由于網絡環境和人員

5、組成復雜，存在設備接入不安全網絡、數據被竊取、設備丟失或被盜等風險。#page#安全風險口業務連續性風險。遠程辦公增加了使用方關鍵業務、高風險業務的安全風險，遠程辦公系統可能由于負載能力、訪問控制措施、容災備份、應急能力等方面的不足導致業務連續性風險?？谌藛T風險。用戶可能由于安全意識缺失或未嚴格遵守使用方的管理要求，引入安全風險，例如，將設備、賬號與他人共享導致對使用方業務系統的惡意攻擊；采用弱口令造成身份仿冒等#page#遠程辦公安全標準#page#國外標準NISTSP 1800-21 （Draft） Mobile Device Security: Corporate-0wned Perso

6、nally-Enabled (COPE）針對移動設備的安全性問題，介紹了可以在組織網絡環境中綜合使用的各種移動安全技術。說明了如何通過標準的、商業化產品實現組織在移動設備安全和隱私方面的要求。SP 800-164 （Draft） Guidelines on Hardware-Rooted Security in Mobile Devices“士出中的國區健的“水出要于性應心一票全技術基線著重于通過使用基于硬件的信任根來提供設備完整性、隔離性和存儲保護的安全功能#page#國外標準遠程工長GBISO/IEC JTC1/SC27中華人民共和國國家標準線碼座情ISO/IEC 27002 Inform

7、ation指元率超理安全Securitytechnology信息安全控制實踐指南Code oftechniques理和存菌信息practico for information源的（GB/Tsecurity controls有責任能裝丹22081:2016信息技術安全公證技術信息安全控制實踐指南）#page#國外標準信安標委（編號SAC/TC260）成立于2002年4月，是國家標準化管理委員會直屬標委會業務上受中央網信辦指導。工作范圍：包括信息安全技術、機制、服務、管理、評估等領域標準化工作。（TD）工作職責：信安標委對網絡安全國家標準進行統一技術歸口，統一組織申報、送審和報全國信息安全標準化技

8、術委員會批（關于加強國家網絡安全標準化工作的若干意見中網辦發文20165號）。SAC/TC260對口國際：ISO/IECJTC1SC27（國際標準化組織國際電工委員會第一聯合技術委員會信息安全分委員會）中國電子技術標準化研究院是信安標委秘書處所在單位。#page#國家標準一網絡安全標準總體情況截至2020年7月，委員會歸口管理的已發布國家標準達313項，在研國家標準制修訂項目74項，主要涉及密碼、鑒別與授權、安全評估、數據、簽別與授權通信安全、安全管理、大數據安全等領城。這些標準為國家網絡安個人信全審查、信息安全等級保護、信息安全產品檢測與認證、信息安全風險評估、信息系統災難恢復等國家網絡安全

9、保障工作，以及網產品檢測與評估安全管理絡安全法電子簽名法密碼法的實施等提供了強有力的通信安全標準化支撐#page#相關國家標準等級保護國標號標準名稱GB/T22239-2019信息安全技術網絡安全等級保護基本要求GB/T25070-2019信息安全技術網絡安全等級保護安全設計技術要求GB/T28448-2019信息安全技術網絡安全等級保護測評要求GB/T36627-2018信息安全技術網絡安全等級保護測試評估技術指南GB/T28449-2018信息安全技術網絡安全等級保護測評過程指南GB/T36958-2018信息安全技術網絡安全等級保護安全管理中心技術要求GB/T36959-2018信息安全

10、技術網絡安全等級保護測評機構能力要求和評估規范GB/T22240-2020信息安全技術網絡安全等級保護定級指南GB/T25058-2019信息安全技術網絡安全等級保護實施指南#page#相關國家標準辦公信息系統和辦公設備國標號標準名稱GB/T37094-2018信息安全技術辦公信息系統安全管理要求GB/T37095-2018信息安全技術辦公信息系統安全基本技術要求GB/T37096-2018信息安全技術辦公信息系統安全測試規范GB/T29244-2012信息安全技術辦公設備基本安全要求GB/T38558-2020信息安全技術辦公設備安全測試方法GB/T35282-2017信息安全技術電子政務移

11、動辦公系統安全技術規范GB/T370912018信息安全技術安全辦公U盤安全技術要求#page#相關國家標準智能終端標準號標準名稱GB/T34095-2017信息安全技術用于電子支付的基于近距離無線通信的移動終端安全技術要求GB/T30284-2020移動通信智能終端操作系統安全技術要求（EAL2級）GB/T32927-2016信息安全技術移動智能終端安全架構GB/T34975-2017信息安全技術移動智能終端應用軟件安全技術要求和測試評價方法GB/T34976-2017信息安全技術移動智能終端操作系統安全技術要求和測試評價方法#page#相關國家標準云計算服務標準號標準名稱GB/T31168

12、-2014信息安全技術云計算服務安全能力要求GB/T311672014信息安全技術云計算服務安全指南GB/T34942-2017信息安全技術云計算服務安全能力評估方法GB/T37950-2019信息安全技術桌面云安全技術要求GB/T37956-2019信息安全技術網站安全云防護平臺技術要求GB/T38249-2019信息安全技術政府網站云計算服務安全指南#page#網絡安全實踐指南網絡安全標準實踐指南一遠程辦公安全防護今年3月，安標委針對遠程辦公領域面臨的安全風險，發布了網絡安全標準實踐指南一遠程辦公安全防護（+1.0-282005）實踐指南分析了在線會議、即時通信、文檔協作等典型遠程辦公應用場景中存在的主要安全風險，從安全管理、安全運維等方面，給出了具體的安全控制措施建議，為遠程辦公安全防護提供參考。#page#THANKS全球網絡安全傾聽北京聲音