不會,正常訪問國外客人的網站是允許的,只要不違反相關法律規定,是沒有問題的,正常貿易需求,無可厚非
視界通瀏覽器完全穩定,安全;不限流,不限量
支持安卓手機,Windows等各種設備使用,隨時隨地可與客戶交流工作如果有不明白的,可以直接追問哦
企業遠程辦公的網絡安全常見問題及建議
發表時間:2020-03-06 11:46:28
作者:寧宣鳳、吳涵等
來源:金杜研究院
分享到:買粉絲新浪微博QQ空間
當前是新型冠狀病毒防控的關鍵期,舉國上下萬眾一心抗擊疫情。為增強防控,自二月初以來,北京、上海、廣州、杭州等各大城市政府公開表態或發布通告,企業通過信息技術開展遠程協作辦公、居家辦公[1]。2月19日,工信部發布《關于運用新一代信息技術支撐服務疫情防控和復工復產工作的通知》,面對疫情對中小企業復工復產的嚴重影響,支持運用云計算大力推動企業上云,重點推行遠程辦公、居家辦公、視頻會議、網上培訓、協同研發和電子商務等在線工作方式[2]。
面對國家和各地政府的呼吁,全國企業積極響應號召。南方都市報在2月中旬發起的網絡調查顯示,有47.55%的受訪者在家辦公或在線上課[3]。面對特殊時期龐大的遠程辦公需求,遠程協作平臺也積極承擔社會擔當,早在1月底,即有17家企業的21款產品宣布對全社會用戶或特定機構免費開放其遠程寫作平臺軟件[4]。
通過信息技術實現遠程辦公,無論是網絡層、系統層,還是業務數據,都將面臨更加復雜的網絡安全環境,為平穩有效地實現安全復工復產,降低疫情對企業經營和發展的影響,企業應當結合實際情況,建立或者適當調整相適應的網絡與信息安全策略。
一、遠程辦公系統的類型
隨著互聯網、云計算和物聯網等技術的深入發展,各類企業,尤其是互聯網公司、律所等專業服務公司,一直在推動實現企業內部的遠程協作辦公,尤其是遠程會議、文檔管理等基礎功能應用。從功能類型來看,遠程辦公系統可分為以下幾類:[5]
綜合協作工具,即提供一套綜合性辦公解決方案,功能包括即時通信和多方通信會議、文檔協作、任務管理、設計管理等,代表軟件企包括企業買粉絲、釘釘、飛書等。
即時通信(即InstantMessaging或IM)和多方通信會議,允許兩人或以上通過網絡實時傳遞文字、文件并進行語音、視頻通信的工具,代表軟件包括Webex、Zoom、Slack、Skype等。
文檔協作,可為多人提供文檔的云存儲和在線共享、修改或審閱功能,代表軟件包括騰訊文檔、金山文檔、印象筆記等。
任務管理,可實現任務流程、考勤管理、人事管理、項目管理、合同管理等企業辦公自動化(即OfficeAutomation或OA)功能,代表軟件包括Trello、Tower、泛微等。
設計管理,可根據使用者要求,系統地進行設計方面的研究與開發管理活動,如素材、工具、圖庫的管理,代表軟件包括創客貼、Canvas等。
二、遠程辦公不同模式下的網絡安全責任主體
《網絡安全法》(“《網安法》”)的主要規制對象是網絡運營者,即網絡的所有者、管理者和網絡服務提供者。網絡運營者應當承擔《網安法》及其配套法規下的網絡運行安全和網絡信息安全的責任。
對于遠程辦公系統而言,不同的系統運營方式下,網絡安全責任主體(即網絡運營者)存在較大的差異。按照遠程辦公系統的運營方式劃分,企業遠程辦公系統大致可以分為自有系統、云辦公系統和綜合型系統三大類。企業應明確區分其與平臺運營方的責任界限,以明確判斷自身應采取的網絡安全措施。
(1)自有系統
此類模式下,企業的遠程辦公系統部署在自有服務器上,系統由企業自主研發、外包研發或使用第三方企業級軟件架構。此類系統開發成本相對較高,但因不存在數據流向第三方服務器,安全風險則較低,常見的企業類型包括國企、銀行業等重要行業企業與機構,以及經濟能力較強且對安全與隱私有較高要求的大型企業。
無論是否為企業自研系統,由于系統架構完畢后由企業單獨所有并自主管理,因此企業構成相關辦公系統的網絡運營者,承擔相應的網絡安全責任。
(2)云辦公系統
此類辦公系統通常為SaaS系統或APP,由平臺運營方直接在其控制的服務器上向企業提供注冊即用的系統遠程協作軟件平臺或APP服務,供企業用戶與個人(員工)用戶使用。此類系統構建成本相對經濟,但往往只能解決企業的特定類型需求,企業通常沒有權限對系統進行開發或修改,而且企業數據存儲在第三方服務器。該模式的常見企業類型為相對靈活的中小企業。
由于云辦公系統(SaaS或APP)的網絡、數據庫、應用服務器都由平臺運營方運營和管理,因此,云辦公系統的運營方構成網絡運營者,通常對SaaS和APP的網絡運行安全和信息安全負有責任。
實踐中,平臺運營方會通過用戶協議等法律文本,將部分網絡安全監管義務以合同約定方式轉移給企業用戶,如要求企業用戶嚴格遵守賬號使用規則,要求企業用戶對其及其員工上傳到平臺的信息內容負責。
(3)綜合型系統
此類系統部署在企業自有服務器和第三方服務器上,綜合了自有系統和云辦公,系統的運營不完全由企業控制,多用于有多地架設本地服務器需求的跨國企業。
云辦公系統的供應商和企業本身都可能構成網絡運營者,應當以各自運營、管理的網絡系統為邊界,對各自運營的網絡承擔相應的網絡安全責任。
對于企業而言,為明確其與平臺運營方的責任邊界,企業應當首先確認哪些“網絡”是企業單獨所有或管理的。在遠程辦公場景下,企業應當考慮多類因素綜合認定,分析包括但不限于以下:
辦公系統的服務器、終端、網絡設備是否都由企業及企業員工所有或管理;
企業對企業使用的辦公系統是否具有最高管理員權限;
辦公系統運行過程中產生的數據是否存儲于企業所有或管理的服務器;
企業與平臺運營方是否就辦公系統或相關數據的權益、管理權有明確的協議約定等。
當然,考慮到系統構建的復雜性與多樣性,平臺運營方和企業在遠程協作辦公的綜合系統中,可能不免共同管理同一網絡系統,雙方均就該網絡承擔作為網絡運營者的安全責任。但企業仍應通過合同約定,盡可能固定網絡系統中雙方各自的管理職責以及網絡系統的歸屬。因此,對于共同管理、運營遠程協作辦公服務平臺的情況下,企業和平臺運營方應在用戶協議中明確雙方就該系統各自管理運營的系統模塊、各自對其管理的系統模塊的網絡安全責任以及該平臺的所有權歸屬。
三、遠程辦公涉及的網絡安全問題及應對建議
下文中,我們將回顧近期遠程辦公相關的一些網絡安全熱點事件,就涉及的網絡安全問題進行簡要的風險評估,并為企業提出初步的應對建議。
1.用戶流量激增導致遠程辦公平臺“短時間奔潰”,平臺運營方是否需要承擔網絡運行安全責任?
事件回顧:
2020年2月3日,作為春節假期之后的首個工作日,大部分的企業都要求員工在家辦公。盡管各遠程辦公系統的平臺運營方均已經提前做好了應對預案,但是巨量的并發響應需求還是超出了各平臺運營商的預期,多類在線辦公軟件均出現了短時間的“信息發送延遲”、“視頻卡頓”、“系統奔潰退出”等故障[6]。在出現故障后,平臺運營方迅速采取了網絡限流、服務器擴容等措施,提高了平臺的運載支撐能力和穩定性,同時故障的出現也產生一定程度的分流。最終,盡管各遠程辦公平臺都在較短的時間內恢復了平臺的正常運營,但還是遭到了不少用戶的吐槽。
風險評估:
依據《網絡安全法》(以下簡稱《網安法》)第22條的規定,網絡產品、服務應當符合相關國家標準的強制性要求。網絡產品、服務的提供者不得設置惡意程序;發現其網絡產品、服務存在安全缺陷、漏洞等風險時,應當立即采取補救措施,按照規定及時告知用戶并向有關主管部門報告。網絡產品、服務的提供者應當為其產品、服務持續提供安全維護;在規定或者當事人約定的期限內,不得終止提供安全維護。
遠程辦公平臺的運營方,作為平臺及相關網絡的運營者,應當對網絡的運行安全負責。對于短時間的系統故障,平臺運營方是否需要承擔相應的法律責任或違約責任,需要結合故障產生的原因、故障產生的危害結果、用戶協議中的責任約定等因素來綜合判斷。
對于上述事件而言,基于我們從公開渠道了解的信息,盡管多個云辦公平臺出現了響應故障問題,給用戶遠程辦公帶來了不便,但平臺本身并未暴露出明顯的安全缺陷、漏洞等風險,也沒有出現網絡數據泄露等實質的危害結果,因此,各平臺很可能并不會因此而承擔網絡安全的法律責任。
應對建議:
在疫情的特殊期間,主流的遠程辦公平臺產品均免費開放,因此,各平臺都會有大量的新增客戶。對于平臺運營方而言,良好的應急預案和更好的用戶體驗,肯定更有利于平臺在疫情結束之后留住這些新增的用戶群體。
為進一步降低平臺運營方的風險,提高用戶體驗,我們建議平臺運營方可以:
將用戶流量激增作為平臺應急事件處理,制定相應的應急預案,例如,在應急預案中明確流量激增事件的觸發條件、服務器擴容的條件、部署臨時備用服務器等;
對用戶流量實現實時的監測,及時調配平臺資源;
建立用戶通知機制和話術模板,及時告知用戶系統響應延遲的原因及預計恢復的時間等;
在用戶協議或與客戶簽署的其他法律文本中,嘗試明確該等系統延遲或奔潰事件的責任安排。
2.在遠程辦公環境下,以疫情為主題的釣魚攻擊頻發,企業如何降低外部網絡攻擊風險?
事件回顧:
疫情期間,某網絡安全公司發現部分境外的黑客組織使用冠狀病毒為主題的電子郵件進行惡意軟件發送,網絡釣魚和欺詐活動。比如,黑客組織偽裝身份(如國家衛健委),以“疫情防控”相關信息為誘餌,發起釣魚攻擊。這些釣魚郵件攻擊冒充可信來源,郵件內容與廣大人民群眾關注的熱點事件密切相關,極具欺騙性。一旦用戶點擊,可能導致主機被控,重要信息、系統被竊取和破壞[7]。
風險評估:
依據《網安法》第21、25條的規定,網絡運營者應當按照網絡安全等級保護制度的要求,履行下列安全保護義務,保障網絡免受干擾、破壞或者未經授權的訪問,防止網絡數據泄露或者被竊取、篡改:(1)制定內部安全管理制度和操作規程,確定網絡安全負責人,落實網絡安全保護責任;(2)采取防范計算機病毒和網絡攻擊、網絡侵入等危害網絡安全行為的技術措施;(3)采取監測、記錄網絡運行狀態、網絡安全事件的技術措施,并按照規定留存相關的網絡日志不少于六個月;(4)采取數據分類、重要數據備份和加密等措施;(5)法律、行政法規規定的其他義務。同時,網絡運營者還應當制定網絡安全事件應急預案,及時處置系統漏洞、計算機病毒、網絡攻擊、網絡侵入等安全風險;在發生危害網絡安全的事件時,立即啟動應急預案,采取相應的補救措施,并按照規定向有關主管部門報告。
遠程辦公的實現,意味著企業內網需要響應員工移動終端的外網接入請求。員工所處的網絡安全環境不一,無論是接入網絡還是移動終端本身,都更容易成為網絡攻擊的對象。一方面,公用WiFi、網絡熱點等不可信的網絡都可能