遠程辦公中�����,信息安全問題無疑是最令人關注的�,此前我們就有專門推出IP-guard遠程辦公安全解決方案為企業遠程辦公保駕護航����,目前很多企業已經應用IP-guard安全方案保護遠程辦公安全�,IP-guard管控方案的全面性和有效性都得到了企業的一致認可�。
此次我們將對制造業���,金融業�����,設計院�,軟件開發類等等不同行業的遠程辦公安全管理典型場景應用進行總結和分享��,讓更多人了解IP-guard遠程辦公安全加固方案的使用與效果�。
場景一
某股份制商業銀行, 通過VPN直連內網遠程辦公
安全風險
商業銀行除了很多行內人員需在疫情期間需遠程辦公以外�����,還存在第三方公司需要遠程連入開發網絡���,繼續完成一些開發項目的情況����,如果不對各種遠程接入者做嚴格的安全管理����,容易存在服務器訪問不規范����,機密文檔被隨意外傳����,機密內容通過打印��、拍照�、截屏�、錄屏泄密等等眾多安全方面的風險��。
IP-guard安全方案
1��、VPN接入檢測
-
只有安裝了IP-guard客戶端和殺毒軟件的計算機才能接入公司內網���,確保接入安全
2����、下載的文檔加密
-
對下載的文檔進行加密保護�����,確保在查看文檔內容時�,無法將內容復制�、截屏或打印出去
3����、啟用屏幕水印
-
IP-guard屏幕水印可以幫助企業震懾用戶通過拍照�、錄屏泄露文檔內容的行為
4�����、禁止寫入U盤
5���、審計文檔的流通
-
詳細記錄遠程終端上文檔的操作及流通的全過程����,方便管理員有效審計����,降低安全風險
6��、服務器訪問限制
對于無業務需求的用戶�,禁止其訪問核心服務器���,避免出現風險
方案效果
可以有效防止公司文件泄露出去��,保護核心服務器訪問安全�,對遠程操作行為進行審計可以實現透明化的管理�,水印管理的應用不僅可以威攝截屏�����、拍照泄密����,也可以及時追溯泄密的全過程��。
場景二
某大型電商企業��,通過私人電腦接入公司個人電腦遠程辦公
先連接終端服務器�、再連接公司個人電腦��,或者先連接堡壘機��,再連接公司個人電腦�����。
安全風險
該接入方式容易存在機密文件通過網絡�����、遠程桌面外傳���,及拍照���、截屏和錄屏泄露機密內容等風險��。
IP-guard安全方案
1���、堡壘機審計
-
借助堡壘機的審計功能����,記錄用戶的操作�,減少安全風險
2�����、設置Windows安全策略
-
禁止剪切板����、驅動器�����、COM/LPT端口�、打印機等等的重定向�,防止數據外泄
3�、部署IP-guard客戶端
-
在終端服務器部署客戶端�����,增加審計功能
-
在公司個人電腦部署客戶端��,管控發送文檔的行為���,審計文檔的流通情況
4����、啟用屏幕水印
震懾通過拍照�����、截屏泄密的行為
方案效果
通過IP-guard的安全加固管控��,確保遠程工具無泄密風險�,減少非必要的文件外發����,知曉文檔流通的詳細情況���,水印不僅可以威攝截屏拍照泄密�,發生泄密時還可以追溯泄密來源�。
場景三
某大型房地產企業�����,通過私人電腦登錄云桌面訪問內網遠程辦公
安全風險
員工可以通過云桌面把機密文檔發送出去�,也可以通過拍照����、截屏��、錄屏泄露文檔的內容�����。
IP-guard安全方案
云桌面/終端服務器 部署IP-guard客戶端
-
如無訪問外網需求�,文件只能進不能出
-
如有訪問外網需求�����,有對外發送文檔需求�����,進行詳細的審計
-
啟用屏幕水印����,震懾拍照�、截屏等行為
方案效果
IP-guard可以幫助對不同用戶實現差異化管控��,無外發需求的禁止外發���,對外發文檔的行為進行詳細審計�����,減少泄密風險�����,此外水印的管理可以很好地威懾截屏拍照泄密��,發生泄密時也可以追溯泄密的來源��。
場景四
某大型制造企業���,統一給員工配發全新一體機�����,登錄云桌面遠程辦公
方案要求
該企業要求落實非常嚴格的安全策略�����,在無法要求私人電腦接受嚴格的管理的情況下����,統一給員工配發全新的一體機��,短時間內完成部署�。
IP-guard安全方案
1�����、控制與審計
-
禁止全部應用����,只開放VPN客戶端���、桌面云客戶端
-
禁止打開C盤以外的盤�,禁止打印及USB����、設備接入�����,只允許訪問指定網頁
-
對各類操作進行記錄和審計
-
屏幕上添加水印����,震懾拍照泄密行為
-
外發文檔(云桌面)管控以及協助實現人臉識別登錄
2���、運維管理
-
遠程安裝���、卸載軟件���,記錄軟件�、硬件變更�,開啟遠程桌面維護網絡安全
方案效果
IP-guard可以幫助一體機實現權限最小化管理�����,禁止截屏錄屏程序運行�,禁止打印泄露機密文檔內容�,協助人臉識別驗證用戶身份���,防止感染惡意軟件�����,并及時運維確保業務不中斷�����。
場景五
某圖像設計公司�,搬公司電腦回家辦公�����,通過網絡連接公司服務器
對企業而言�����,這不是最理想的方式�,但可能是最好的選擇���,公司的電腦已經具備基本的信息防泄漏能力����,無需再搭建�。
IP-guard安全方案
調整連接策略和容災策略
-
帶公司電腦回家之前���,把公網IP下發給客戶端����,把IP-guard服務器和web審批服務器映射到外網
-
設置長期離線策略和容災時間�����,保證網絡異常時加密也能正常使用
調整加密策略
-
設置更嚴格文件的透明加解密策略
-
員工依然可以提交申請解密��、申請外發外發給領導審批
審計文檔流通
方案效果
無需再搭建工作環境����,可以很好記錄文檔流通的情況�,文檔依然處于加密保護狀態����,申請審批也正常運轉����。
場景六
武漢某軟件開發公司����,管制措施導致無法進入公司開啟遠程辦公
無法進入公司�,缺乏項目相關的代碼�����,為讓項目能夠及時推進�,該企業將領導電腦上的項目源代碼發送給員工�����,在云端臨時搭建代碼管理服務器進行遠程辦公�����。
安全風險
重要的代碼是否會被泄露出去�?阿里云上的代碼服務器會不會被非法訪問并下載�?
IP-guard的安全方案
阿里云+IP-guard
第一步:在阿里云部署IP-guard服務器���,再對電腦啟用加密策略
第二步:領導把代碼加密后發給員工���,并限制復制�、截屏和打印權限��,啟用屏幕水印
第三步:在代碼管理服務器上部署軟網關����,非法計算機無法訪問代碼服務器
方案效果
阿里云+IP-guard�,云端的便利性與終端的安全性可同時兼顧�,文件加密保證了客戶的數據安全���,安全網關則提高了代碼服務器的安全性��。
場景七
武漢某設計院�����,多種遠程辦公方式相結合
員工的電腦都留在公司�����;部分員工離公司非常近�����,當時的管制強度�����,還可以回公司開機�,設置遠程辦公�。
方案一:VPN + “遠程桌面連接”
方案二:向日葵 / TeamViewer
方案三:遠程辦公畫圖卡頓�����,必須使用私人電腦遠程辦公
安全風險
公司個人電腦的文件是否會被發送出去泄密��?文檔內容是否會被拷貝出去��?
IP-guard安全方案
-
2019年����,所有公司個人電腦都已經部署IP-guard系統�����,并啟用了加密和審計
-
對公司電腦上大于50kb的文件進行加密保護���,禁止復制內容�,工作需要允許截屏
-
對使用私人電腦辦公的�����,一律要求安裝加密客戶端��,公司圖紙必須加密
-
從公司OA��、EPC和智慧水務檢出的文檔���,統一進行加密保護
-
審計員工對文檔執行的操作�、發送等行為
方案效果
IP-guard加密措施不僅可以幫助加密保護公司個人電腦的文檔���,還可以保護私人電腦上的設計圖紙安全�����,從應用系統下載的文檔會進行自動加密保護�����,對文檔流通情況進行審計也可以方便后期審查��。
在遠程辦公中��,保證業務持續的同時�����,信息安全的保護也非常重要���。IP-guard終端安全管理方案可以幫助企業在遠程辦公中部署相應安全管控���,通過加密保護核心文件��,落實權限最小化�,控制資料外傳操作�,震懾拍照截屏行為等����,幫助企業守護重要數據安全����。
