遠程訪問策略是一份書面文件,其中包含從辦公室外部連接到組織網絡的指南。它是在遠程工作持續流行的情況下幫助保護公司數據和網絡的一種方法,對于用戶在地理位置分散的大型組織從不安全的位置(例如他們的家庭網絡)登錄時特別有用。IT 管理層和員工共同負責確保政策合規性。
什么是遠程訪問策略?
在過去十年中,快速的技術進步促進了遠程工作的增加。例如,銷售人員現在可以在接到客戶電話時使用平板電腦和其他移動設備遠程連接到他們的辦公室網絡,并提供可能對完成交易很重要的數據。最近的事件進一步增加了遠程工作者的數量,估計占美國勞動力的 42%。
遠程工作帶來了一些挑戰,包括潛在的計算機和網絡安全風險。確實需要有關遠程訪問的指導方針以及其他政策。遠程訪問策略作為遠程用戶連接到網絡的指南。它擴展了管理辦公室網絡和計算機使用的策略,例如密碼策略。它有助于確保只有那些需要它的用戶才能獲得網絡訪問權限,只要他們的設備也符合準則。如果實施得當,它有助于保護網絡免受潛在的安全威脅。
遠程訪問策略應該涵蓋所有方面——從可以從辦公室外部獲得網絡訪問權限的用戶類型,到連接到網絡時可以使用的設備類型。一旦寫好,員工必須簽署一份遠程訪問政策接受表。政策中引用的其他文件也應附在其中。必須嚴格執行,并且可以通過結合自動和手動技術來強制執行。
為什么遠程訪問策略很重要?
雖然研究表明組織可以從遠程工作中獲益匪淺,但這一趨勢也確實給 IT 部門帶來了一些嚴重的安全挑戰。一些用戶,尤其是那些不懂技術的用戶,可能認為從辦公室外安全連接到內部網絡的需求是理所當然的,從而使網絡面臨潛在有害行為的風險。如果沒有適當的遠程訪問策略,這種危險行為可能會繼續存在,直到發生違規行為后組織才會發現。
通過全面的遠程訪問策略,員工會意識到使用最佳實踐保護網絡的必要性。再加上有效的執法,幾乎可以消除員工不安全行為帶來的威脅。授權用戶必須遵守遠程訪問政策,犯錯的員工將面臨制裁。
您應該在遠程訪問策略中解決什么問題?
為了有效,遠程訪問策略應涵蓋與遠程工作者網絡訪問相關的所有內容。組織必須確定哪些用戶應該被授予訪問權限,因為并不是每個人都可以從擁有特權中受益。例如,為有權訪問敏感數據的用戶或面向客戶的零售人員提供遠程訪問權限可能不是一個好主意。這同樣適用于不滿足組織遠程訪問最低要求的設備,例如,沒有安裝操作系統的最新更新。在應用更新之前,不應允許這些機器登錄到網絡。
遠程訪問策略還應規定誰可以將遠程訪問分配給用戶,以及什么是遠程訪問連接的可接受使用。建議將分配用戶的任務留給直接經理。可接受的使用準則可確保用戶將他們的瑣碎任務遠離網絡。
就其本身而言,IT 部門應實施數據訪問的集中管理,以確保只有授權用戶才能訪問網絡。還建議采用全面的審計機制來確保政策的一致性。如果在審計期間檢測到異常,IT 部門應建議采取補救措施以防止將來再次發生。
制定遠程訪問策略時的其他注意事項包括但不限于以下內容:
- 標準化的硬件和軟件,包括防火墻和防病毒/反惡意軟件程序。
- 數據和網絡加密標準。
- 信息安全和保密。
- 電子郵件的使用。
- 物理和虛擬設備安全。
- 網絡連接,例如 VPN 訪問。
- 訪問和身份驗證機制,包括密碼規則。
- 可接受的使用。
- 可信來源與非可信來源以及第三方供應商訪問。
- 合規、治理和執法。
- 訪問和設備所有權指南。
如何更新遠程訪問策略?
與許多其他 IT 政策一樣,遠程訪問政策是一份動態文件;它可以在需要時不斷更新。當您的業務狀況發生變化并且政策不再滿足您的要求時,可能是時候更新政策了。
為確保您在更新遠程訪問策略時不會遺漏任何內容,請在編制策略要求列表時考慮您的組織、法律、合同和監管義務。之后,確定執行政策所需的程序和技術控制措施,確保加強或取代現有的無效控制措施。
請注意,每個組織的遠程訪問條件可能不同。始終確保您的遠程訪問策略不是另一個組織模板的精確副本;相反,您應該根據您的要求對其進行自定義。否則,它可能對您的組織沒有那么有用。
