疫情期间,金融机构需针对各自办公人员、研发人员、运维人员及呼叫中心人员等各岗位人员制定远程办公工作方案,满足员工远程办公需求。
金融行业作为强监管行业,受国家和“一行两会”的多重监管,远程办公涉及到的移动互联网安全、互联网电子邮件安全、无线网络安全、商用密码安全、数据安全等相关方面,都出台了具体的法律和规范要求。同时,“一行两会”发文要求金融机构,应采取有效措施防范风险和利益冲突,保障远程办公信息安全,将远程办公纳入合规与风险管理体系,做好疫情期间远程办公的信息安全防护。
金融行业远程办公面临的安全风险及监管要求
1.远程办公系统分散接入,互联网暴露面大、风险高 办公系统移动化信息割据,低水平重复建设容易形成信息孤岛,接入点分散策略不规范,互联网暴露面大,安全防护水平低。
2.远程办公系统移动化,应用安全参差不齐 办公系统移动化无统一安全标准、身份认证机制单一、密码复杂度不规范、通信传输密码算法风险高、数据存储安全风险高、数据共享控制风险高等问题突出,应用底层安全机制缺失。
3.办公系统用户敏感数据易泄密 金融业敏感信息保护监管法律法规持续加强,移动终端的离散化特性加大数据监管难度,公私数据混用和办公OA邮件等办公系统漏洞频发,大量用户敏感信息泄露。
4.国家和一行两会持续加强移动安全监管 国家在移动办公安全、商用密码、数据安全等方面出台了《等保2.0》、《国家密码法》等多项法律法规,监管力度正持续加强。
远程办公场景下,如何做好信息安全防护?
深信服针对金融行业远程办公需求,提供金融行业远程办公全场景解决方案,“战疫六招”助您安全无忧!深信服建议从内部办公移动化规划出发,在全场景统一接入、统一防护、数据安全、应用管理方面进行统一规划,构建金融全场景远程办公平台。金融远程办公建设的核心目标是全场景统一接入和全场景统一防护,为实现此建设目标,应建设终端全场景、应用全场景等统一接入平台,安全准入、保护、监测、响应等安全措施,实现全场景接入和全生命周期安全防护。
在具体落地层面,建议分步骤完成终端安全、传输安全、身份认证、网络边界安全防护及业务系统安全检查和运维等内容: 1.全面接入 全场景远程接入台建设 提供从终端、安全应用、无线网络、统一接入平台&安全管理到应用&开发层面,全面的远程办公方案。支持各类客户端软件、安全应用软件,提供无线网络、统一接入平台、安全管理、应用商店、安全应用SDK。满足金融行业远程办公和移动办公、远程研发、远程运维、远程呼叫中心全场景的安全和使用要求。
2.全面合规 满足国家商用密码安全要求 根据国家和金融监管部门要求,2020年应实现国家商用密码算法在金融领域中的全面应用,SSL VPN、EMM等产品的远程接入网关建议升级到国家密码局要求的SJJ系列远程接入网关,满足国家和行业远程办公相关监管要求及时间点要求。
3.全面认证 全场景统一认证平台建设 通过全场景统一认证平台,从统一门户、统一认证、单点登录、自助门户、权限管理、行为审计六方面,实现远程办公接入平台用户的统一身份安全管理。
4.全面安全 端到端的安全能力 从风险驱动出发,启用端到端的立体防护、主动防御能力,在终端接入安全、通信传输安全、业务系统安全三方面进行统一保护。
5.全面应用 应用安全和数据安全统一 在移动应用、移动安全能力、移动安全认证、移动安全管理服务四方面,进行应用安全基线建设,统一应用安全基线;通过移动沙箱保障移动端数据安全,通过桌面云、PC沙箱、远程应用发布保障PC端数据安全,统一数据安全基线。 远程办公:在远程终端可通过远程应用发布和沙箱技术,远程移动端可通过移动容器方式,保障数据安全。 远程研发:可通过桌面云方式,配合屏幕水印、数据单向传输限制(仅允许从远程电脑拷贝到桌面云研发主机,禁止反向拷贝),保障数据安全。 远程运维:可通过桌面云+堡垒机方式,配合仅允许远程电脑单向登录运维桌面云,运维桌面云单向登录堡垒机,禁止远程电脑直接登录堡垒机,保障数据安全;采用屏幕水印、数据单向传输限制,保障数据安全。 远程呼叫中心:可通过桌面云方式,配合屏幕水印、数据单向传输限制(仅允许从远程电脑拷贝到桌面云坐席主机,禁止反向拷贝),保障数据安全。
6.全面增强 安全监测和安全响应加强 部署全场景安全审计类产品,实现用户行为审计、安全异常风险感知、远程办公业务审计功能;部署终端安全类产品,实现终端安全加固、终端病毒防护安全功能。
深信服金融行业远程办公全场景解决方案,可以实现金融远程办公场景的全方位统一接入、统一身份认证、统一数据安全、端到端安全、统一应用安全分发、统一应用安全基线、统一合规审计,助力用户建设更全面、更安全、更合规的远程办公平台。 针对金融行业不同场景需求,深信服提供相应的场景化安全实践指南,请点击获取资料,手把手助您“安全战疫”!
场景化安全实践指南内容包括:
1.员工实践指南
2.服务侧安全实践指南 (远程办公场景、远程研发场景、远程运维场景、远程呼叫中心场景)
3.攻击侧安全实践指南
4.设备侧安全实践指南
|