远程访问策略是一份书面文件,其中包含从办公室外部连接到组织网络的指南。它是在远程工作持续流行的情况下帮助保护公司数据和网络的一种方法,对于用户在地理位置分散的大型组织从不安全的位置(例如他们的家庭网络)登录时特别有用。IT 管理层和员工共同负责确保政策合规性。
什么是远程访问策略?
在过去十年中,快速的技术进步促进了远程工作的增加。例如,销售人员现在可以在接到客户电话时使用平板电脑和其他移动设备远程连接到他们的办公室网络,并提供可能对完成交易很重要的数据。最近的事件进一步增加了远程工作者的数量,估计占美国劳动力的 42%。
远程工作带来了一些挑战,包括潜在的计算机和网络安全风险。确实需要有关远程访问的指导方针以及其他政策。远程访问策略作为远程用户连接到网络的指南。它扩展了管理办公室网络和计算机使用的策略,例如密码策略。它有助于确保只有那些需要它的用户才能获得网络访问权限,只要他们的设备也符合准则。如果实施得当,它有助于保护网络免受潜在的安全威胁。
远程访问策略应该涵盖所有方面——从可以从办公室外部获得网络访问权限的用户类型,到连接到网络时可以使用的设备类型。一旦写好,员工必须签署一份远程访问政策接受表。政策中引用的其他文件也应附在其中。必须严格执行,并且可以通过结合自动和手动技术来强制执行。
为什么远程访问策略很重要?
虽然研究表明组织可以从远程工作中获益匪浅,但这一趋势也确实给 IT 部门带来了一些严重的安全挑战。一些用户,尤其是那些不懂技术的用户,可能认为从办公室外安全连接到内部网络的需求是理所当然的,从而使网络面临潜在有害行为的风险。如果没有适当的远程访问策略,这种危险行为可能会继续存在,直到发生违规行为后组织才会发现。
通过全面的远程访问策略,员工会意识到使用最佳实践保护网络的必要性。再加上有效的执法,几乎可以消除员工不安全行为带来的威胁。授权用户必须遵守远程访问政策,犯错的员工将面临制裁。
您应该在远程访问策略中解决什么问题?
为了有效,远程访问策略应涵盖与远程工作者网络访问相关的所有内容。组织必须确定哪些用户应该被授予访问权限,因为并不是每个人都可以从拥有特权中受益。例如,为有权访问敏感数据的用户或面向客户的零售人员提供远程访问权限可能不是一个好主意。这同样适用于不满足组织远程访问最低要求的设备,例如,没有安装操作系统的最新更新。在应用更新之前,不应允许这些机器登录到网络。
远程访问策略还应规定谁可以将远程访问分配给用户,以及什么是远程访问连接的可接受使用。建议将分配用户的任务留给直接经理。可接受的使用准则可确保用户将他们的琐碎任务远离网络。
就其本身而言,IT 部门应实施数据访问的集中管理,以确保只有授权用户才能访问网络。还建议采用全面的审计机制来确保政策的一致性。如果在审计期间检测到异常,IT 部门应建议采取补救措施以防止将来再次发生。
制定远程访问策略时的其他注意事项包括但不限于以下内容:
- 标准化的硬件和软件,包括防火墙和防病毒/反恶意软件程序。
- 数据和网络加密标准。
- 信息安全和保密。
- 电子邮件的使用。
- 物理和虚拟设备安全。
- 网络连接,例如 VPN 访问。
- 访问和身份验证机制,包括密码规则。
- 可接受的使用。
- 可信来源与非可信来源以及第三方供应商访问。
- 合规、治理和执法。
- 访问和设备所有权指南。
如何更新远程访问策略?
与许多其他 IT 政策一样,远程访问政策是一份动态文件;它可以在需要时不断更新。当您的业务状况发生变化并且政策不再满足您的要求时,可能是时候更新政策了。
为确保您在更新远程访问策略时不会遗漏任何内容,请在编制策略要求列表时考虑您的组织、法律、合同和监管义务。之后,确定执行政策所需的程序和技术控制措施,确保加强或取代现有的无效控制措施。
请注意,每个组织的远程访问条件可能不同。始终确保您的远程访问策略不是另一个组织模板的精确副本;相反,您应该根据您的要求对其进行自定义。否则,它可能对您的组织没有那么有用。