常见的远程方案及安全风险
远程方案一:使用VPN网络直连内网
具体的实现方式:私人电脑使用VPN直连公司内网,访问内网资源。
远程方案二:使用远程桌面连接内网
具体的实现方式:
1、使用私人电脑连接到公司的终端服务器或个人电脑,再访问内网资源;
2、使用私人电脑连接终端服务器,再使用远程桌面连接公司的个人电脑,再访问内网资源。
这两种常见的远程方案都容易发生机密信息被外泄的风险,包括机密文档下载到私人电脑泄密,截屏或录屏导致文档内容泄露等等。
私人电脑直连内网,风险及安全措施
该接入方案容易存在以下安全风险:
1、机密文档下载到私人电脑的风险;
2、打印机密文档导致信息泄露风险;
3、截屏或录屏导致文档内容泄露;
4、随意传输机密文档而无法追溯;
5、随意访问核心服务器导致的风险。
具体应对措施有:
1、私人电脑尝试通过VPN接入内网,VPN客户端将检测私人电脑是否安装IP-guard客户端。如果已经安装客户端程序,则允许其接入内网,否则拒绝接入。
2、VPN成功接入后,IP-guard服务器将自动给这台私人电脑下发预设的加密、管控、审计安全策略。
加密策略:对从内网下载到计算机的文档自动加密保护;
管控策略:限制访问指定的服务器;禁止接入存储设备;禁止使用打印机;启用屏幕水印等防范各类泄密风险;
审计策略:审计记录个人电脑文档操作及文档流通的记录,使远程办公的私人电脑更安全可控。
远程桌面直接访问,风险及安全措施
可以使用私人电脑,通过VPN或互联网连入终端服务器或公司的个人电脑,访问企业内网资源进行远程办公。
该接入方案容易存在以下安全风险:
1、机密文档通过远程桌面直接传输到个人电脑;
2、机密文档通过网络渠道传输到个人电脑;
3、员工可能通过截屏或录屏获取数据。
具体应对措施有:
1、对远程桌面设置Windows安全策略,禁止剪切板、驱动器、COM/LPT端口、打印机等等的重定向,防止数据传输;
2、在终端服务器或公司的个人电脑上部署IP-guard客户端,禁止通过网络发送文档的行为,防止文档泄露出去,同时详细审计文档流通情况;
3、启用屏幕水印,震慑通过拍照或截屏泄密的行为。
远程桌面间接访问,风险及安全措施
使用私人电脑,通过VPN或互联网连入公司的终端服务器,在终端服务器上再使用远程桌面连接公司的个人电脑实现远程办公;
这种模式适用于特别机密的部门和员工远程办公的场景。
该接入方案容易存在以下安全风险:
因为有终端服务器作为跳板,所以这种远程模式安全性比较高,但是它依然存在以下风险:
1、公司个人电脑的机密文档传输到终端服务器,再传输到私人电脑;
2、公司个人电脑上的机密文档通过网络传输到私人电脑;
3、员工通过截屏或录屏获取数据。
具体应对措施有:
1、对远程桌面设置Windows安全策略,禁止剪切板、驱动器、COM/LPT端口、打印机等等的重定向,防止数据传输;
2、在公司个人电脑上部署IP-guard客户端,禁止通过网络传输文件的行为。对确实需要传输文件的业务场景,可允许其传输文档,同时详细审计文档流通情况;
3、在公司个人电脑上启用屏幕水印,震慑通过拍照或截屏泄密的行为。