远程办公中,信息安全问题无疑是最令人关注的,此前我们就有专门推出IP-guard远程办公安全解决方案为企业远程办公保驾护航,目前很多企业已经应用IP-guard安全方案保护远程办公安全,IP-guard管控方案的全面性和有效性都得到了企业的一致认可。
此次我们将对制造业,金融业,设计院,软件开发类等等不同行业的远程办公安全管理典型场景应用进行总结和分享,让更多人了解IP-guard远程办公安全加固方案的使用与效果。
场景一
某股份制商业银行, 通过VPN直连内网远程办公
安全风险
商业银行除了很多行内人员需在疫情期间需远程办公以外,还存在第三方公司需要远程连入开发网络,继续完成一些开发项目的情况,如果不对各种远程接入者做严格的安全管理,容易存在服务器访问不规范,机密文档被随意外传,机密内容通过打印、拍照、截屏、录屏泄密等等众多安全方面的风险。
IP-guard安全方案
1、VPN接入检测
只有安装了IP-guard客户端和杀毒软件的计算机才能接入公司内网,确保接入安全
2、下载的文档加密
对下载的文档进行加密保护,确保在查看文档内容时,无法将内容复制、截屏或打印出去
3、启用屏幕水印
IP-guard屏幕水印可以帮助企业震慑用户通过拍照、录屏泄露文档内容的行为
4、禁止写入U盘
对U盘设备的写入进行禁止,防止用户将机密文件拷贝到移动存储导致泄密
5、审计文档的流通
详细记录远程终端上文档的操作及流通的全过程,方便管理员有效审计,降低安全风险
6、服务器访问限制
对于无业务需求的用户,禁止其访问核心服务器,避免出现风险
方案效果
可以有效防止公司文件泄露出去,保护核心服务器访问安全,对远程操作行为进行审计可以实现透明化的管理,水印管理的应用不仅可以威摄截屏、拍照泄密,也可以及时追溯泄密的全过程。
场景二
某大型电商企业,通过私人电脑接入公司个人电脑远程办公
先连接终端服务器、再连接公司个人电脑,或者先连接堡垒机,再连接公司个人电脑。
安全风险
该接入方式容易存在机密文件通过网络、远程桌面外传,及拍照、截屏和录屏泄露机密内容等风险。
IP-guard安全方案
1、堡垒机审计
借助堡垒机的审计功能,记录用户的操作,减少安全风险
2、设置Windows安全策略
禁止剪切板、驱动器、COM/LPT端口、打印机等等的重定向,防止数据外泄
3、部署IP-guard客户端
在终端服务器部署客户端,增加审计功能
在公司个人电脑部署客户端,管控发送文档的行为,审计文档的流通情况
4、启用屏幕水印
震慑通过拍照、截屏泄密的行为
方案效果
通过IP-guard的安全加固管控,确保远程工具无泄密风险,减少非必要的文件外发,知晓文档流通的详细情况,水印不仅可以威摄截屏拍照泄密,发生泄密时还可以追溯泄密来源。
场景三
某大型房地产企业,通过私人电脑登录云桌面访问内网远程办公
安全风险
员工可以通过云桌面把机密文档发送出去,也可以通过拍照、截屏、录屏泄露文档的内容。
IP-guard安全方案
云桌面/终端服务器 部署IP-guard客户端
如无访问外网需求,文件只能进不能出
如有访问外网需求,有对外发送文档需求,进行详细的审计
启用屏幕水印,震慑拍照、截屏等行为
方案效果
IP-guard可以帮助对不同用户实现差异化管控,无外发需求的禁止外发,对外发文档的行为进行详细审计,减少泄密风险,此外水印的管理可以很好地威慑截屏拍照泄密,发生泄密时也可以追溯泄密的来源。
场景四
某大型制造企业,统一给员工配发全新一体机,登录云桌面远程办公
方案要求
该企业要求落实非常严格的安全策略,在无法要求私人电脑接受严格的管理的情况下,统一给员工配发全新的一体机,短时间内完成部署。
IP-guard安全方案
1、控制与审计
禁止全部应用,只开放VPN客户端、桌面云客户端
禁止打开C盘以外的盘,禁止打印及USB、设备接入,只允许访问指定网页
对各类操作进行记录和审计
屏幕上添加水印,震慑拍照泄密行为
外发文档(云桌面)管控以及协助实现人脸识别登录
2、运维管理
远程安装、卸载软件,记录软件、硬件变更,开启远程桌面维护网络安全
方案效果
IP-guard可以帮助一体机实现权限最小化管理,禁止截屏录屏程序运行,禁止打印泄露机密文档内容,协助人脸识别验证用户身份,防止感染恶意软件,并及时运维确保业务不中断。
场景五
某图像设计公司,搬公司电脑回家办公,通过网络连接公司服务器
对企业而言,这不是最理想的方式,但可能是最好的选择,公司的电脑已经具备基本的信息防泄漏能力,无需再搭建。
IP-guard安全方案
调整连接策略和容灾策略
带公司电脑回家之前,把公网IP下发给客户端,把IP-guard服务器和web审批服务器映射到外网
设置长期离线策略和容灾时间,保证网络异常时加密也能正常使用
调整加密策略
设置更严格文件的透明加解密策略
员工依然可以提交申请解密、申请外发外发给领导审批
审计文档流通
记录电脑的文档流通情况,以备进行合规审查
方案效果
无需再搭建工作环境,可以很好记录文档流通的情况,文档依然处于加密保护状态,申请审批也正常运转。
场景六
武汉某软件开发公司,管制措施导致无法进入公司开启远程办公
无法进入公司,缺乏项目相关的代码,为让项目能够及时推进,该企业将领导电脑上的项目源代码发送给员工,在云端临时搭建代码管理服务器进行远程办公。
安全风险
重要的代码是否会被泄露出去?阿里云上的代码服务器会不会被非法访问并下载?
IP-guard的安全方案
阿里云+IP-guard
第一步:在阿里云部署IP-guard服务器,再对电脑启用加密策略
第二步:领导把代码加密后发给员工,并限制复制、截屏和打印权限,启用屏幕水印
第三步:在代码管理服务器上部署软网关,非法计算机无法访问代码服务器
方案效果
阿里云+IP-guard,云端的便利性与终端的安全性可同时兼顾,文件加密保证了客户的数据安全,安全网关则提高了代码服务器的安全性。
场景七
武汉某设计院,多种远程办公方式相结合
员工的电脑都留在公司;部分员工离公司非常近,当时的管制强度,还可以回公司开机,设置远程办公。
方案一:VPN + “远程桌面连接”
方案二:向日葵 / TeamViewer
方案三:远程办公画图卡顿,必须使用私人电脑远程办公
安全风险
公司个人电脑的文件是否会被发送出去泄密?文档内容是否会被拷贝出去?
IP-guard安全方案
2019年,所有公司个人电脑都已经部署IP-guard系统,并启用了加密和审计
对公司电脑上大于50kb的文件进行加密保护,禁止复制内容,工作需要允许截屏
对使用私人电脑办公的,一律要求安装加密客户端,公司图纸必须加密
从公司OA、EPC和智慧水务检出的文档,统一进行加密保护
审计员工对文档执行的操作、发送等行为
方案效果
IP-guard加密措施不仅可以帮助加密保护公司个人电脑的文档,还可以保护私人电脑上的设计图纸安全,从应用系统下载的文档会进行自动加密保护,对文档流通情况进行审计也可以方便后期审查。
在远程办公中,保证业务持续的同时,信息安全的保护也非常重要。IP-guard终端安全管理方案可以帮助企业在远程办公中部署相应安全管控,通过加密保护核心文件,落实权限最小化,控制资料外传操作,震慑拍照截屏行为等,帮助企业守护重要数据安全。