1、引言
2020年的春节,新型冠状病毒感染的肺炎疫情让全国上下为之揪心。为有效防控疫情,31个省区市均先后启动重大突发公共卫生事件I级响应,应急管理部进一步部署疫情应急防控管理工作,采取多种应对措施,坚决打赢这一场保卫全国人民健康安全的防疫之战。
在这场与新型冠状病毒的对抗中,不分行业、不分地区,没有人能够独善其身。当下疫情为各行各业开展正常经营活动带来了挑战,而网络成为全民“大隔离、大消毒”时期的主要窗口,是生产生活最主要的途径和手段,许多新情况新问题因网而生、因网而增。企业作为国家经济体系的关键,做好自己的业务,妥善安排好自己的员工是最基本的社会责任,而如何在当前疫情不确定性的经营环境下依法合规确保关键业务连续运作和相关信息资产安全,亦成为企业管理者的紧迫任务,考验着企业在突发事件下的应急响应能力。
根据我们以往在各行业所积累的项目经验,本文提出企业业务连续性活动中应考量的网络安全事项,希望能够切实帮助企业更为有效的管理疫情中的业务连续性活动,保障企业的网络安全与核心资产。
2、业务连续性中的网络安全考量
业务连续性管理(BCM)是一项综合管理流程,它使企业认识到潜在的危机和相关影响,制订业务连续性的恢复计划,其总体目标是为了提高企业的风险防范能力,以有效地应对非计划的业务破坏并降低不良影响。沿着事前、事中、事后的时间轴向,完善的BCM一般包括以下内容:
准备阶段:资源支持,制定业务连续性计划(BCP),提供相关业务中断场景的应急措施和应急响应支撑资源的准备工作;
响应阶段:启动响应,定义了在探测到由于自然灾难或IT设施故障等原因,造成业务中断发生或即将到来时所采取的初步行动;
恢复阶段:业务恢复,集中于建立临时处理能力,修复原业务损害,在原业务系统或新设施中恢复运营能力的应急措施。在恢复阶段完成时,业务将可以运行并执行计划中指定的功能;
复原阶段:运营复原,为业务运营复原原有业务运营规模或服务水平所应采取的步骤。
俗话说磨刀不误砍柴工,BCM的核心是制定并实施BCP,也是应急响应的前提,只有前期工作考虑的周全了,准备的充分了,后面执行才会顺畅,才不至于按下葫芦浮起了瓢。
此次疫情,不同行业、不同区域、不同规模的企业所遭受的冲击范围和影响程度不尽相同。企业正常运营都面临着人力短缺、场所安全等困难,没有员工上班的企业是无法开展正常的经营活动的。人员,作为支撑企业经营活动的重要资源,在本次疫情下的BCP中,成为了核心资源,为加强对人员流动和健康状况的监督和管控,避免交叉感染,影响业务开展,作为BCP中的第一项工作,许多企业启动了员工线上打卡的任务,例如:
1. 利用第三方平台进行签到打卡:
企业通过微信小程序接口定制开发属于自己的员工打卡小程序,员工通过移动设备端扫描微信小程序二维码进行签到打卡;
建立企业钉钉群,把员工拉入到钉钉群中,利用钉钉平台,推送打卡表单,员工通过移动设备端或PC端在线进行填写签到;
2. 使用企业短期内开发出的签到打卡平台:
临时在企业官方App或其他自研平台加入员工打卡签到功能,通过邮件、电话或短信的方式告知员工通过移动设备端或PC端在线进行签到打卡;
“线上打卡”能够使得企业及时有效的掌握员工健康状况及行踪轨迹,从而制定出较为完善的办公保障策略,提升企业应对疫情的防控能力,但也意味着员工个人信息及其载体已经不仅仅在内部可控的范围内流转,其安全管理的边界发生了延伸,所面临的网络安全风险也变得更加复杂。类似这样的应急措施,还有远程办公、AB角轮岗等,然而企业缺少应对如此突发重大疫情的业务连续性管理经验,尤其欠缺对于网络安全方面的考量,将会因前期准备工作的不足和疏忽而带来网络安全风险隐患。我们将企业业务连续性活动中应考虑的网络安全事项总结如下,供企业在疫情期间制定BCP时参考:
安全治理层面(组织架构):业务连续性计划的执行需要企业自上而下的推行,通常的实践都是建立疫情应急管理小组,由高级管理层直接领导,明确各部门的角色分工。企业应在应急小组中增加网络安全负责人,在规划BCP的同时,充分考虑网络安全事项,确保网络安全工作由专人负责。
数据安全层面(加密脱敏):未采用去标识化或匿名化工具,以及加密传输和存储的手段,对于在疫情期间收集到的员工个人信息,无法进行安全有效的保护,易造成隐私泄露事件的发生,对员工的合法权益造成危害。因此在数据存储阶段,建议采用加密、定期备份等技术手段,使用安全可靠的存储介质,保障所存储信息的安全性,并尽可能安排专人专职进行管理。在数据处理阶段,疫情防控中如无需公开详细的个人信息,如真实姓名、完整证件号码、具体地址等,企业应对所收集到的个人信息经相关技术工具或手段进行脱敏或匿名化处理。在数据销毁阶段,在疫情防控不需要相关个人信息后,应删除全部收集到的个人信息。如需为后续研究留存数据,应对相关数据做脱敏处理。在进行个人信息数据销毁时,应采取可靠措施或技术手段,比如介质消磁或物理损毁的方式,物理销毁个人信息数据。
开发安全层面(配置测试):无论是定制化开发微信小程序,还是使用钉钉打卡推送功能,抑或是通过自研平台等,这些方式本身的开发安全性以及合法合规问题不可忽视。比如在设计与开发过程中是否考虑了安全功能与配置,例如访问控制、输入输出检验,是否进行了安全漏洞测试,如涉及收集个人信息的产品开发,是否参照了相关法规中所规定的要求对个人信息的收集、传输、存储过程进行保护。我们以打卡小程序为例,App在开发设计时,应添加隐私政策弹框以明示信息收集的目的和内容,并确保所收集的数据字段为防控疫情所必须的,做到数据收集的最小化。在进行个人信息收集时,需确保采集接口和传输通道的安全可靠,如采用加密传输的方式,防止敏感信息被截获或篡改。
运维安全层面(人员权限):员工所获取的内部资源访问权限越多,存在恶意的员工或粗心的员工的操作所导致的数据泄露风险越大,进而导致业务风险。因此有效的访问控制是十分必要的,除了应严格限制处理敏感信息的内部员工的权限,疫情期间通过外部远程访问的供应商人员的权限分配,也应按照最小授权原则,最大化降低数据泄露的风险。
网络安全层面(通信加密):无论是在家、咖啡厅或者其他公共场所,大部分网络环境的安全管控水平都无法与企业内网环境相比。员工办公需要通过外部互联网络传输信息,传输过程必然会经过网络设备,如果数据传输路径中某个网络设备使用的是弱密码或存在安全漏洞,企业的商业秘密将在不知不觉中被人监视监听,极大的增加了个人信息遭窃取的风险。如果被别有用心的竞争对手利用,势必会对企业声誉和业务融资渠道产生严重影响,如果是上市公司,亦会造成股价的波动。企业应通过加密的通讯协议建立专有的通信线路以连接互联网上不同地方的网络进行业务的开展, VPN是大部分企业会使用的一种解决方案,一方面解决了身份认证的问题,保证接入用户的合法性;另一方面对传输通道进行了加密,保证了信息传输的机密性和安全性。
设备安全层面(BYOD): BYOD(“Bring Your Own Device”, BYOD)包括各种移动设备端和PC端,疫情期间,企业不一定能在短时间内为每一位员工都配备有企业受控的移动终端设备,远程在线开展工作不可避免的会使用私人设备,谁都无法完全保证所有私人设备自身的安全性,包括是否存在恶意软件,是否及时进行了系统补丁升级,是否隐藏着病毒木马等,凡此种种都可能导致不可预知的网络安全事件的发生,可能不知不觉成为黑客攻击企业内网的突破口。企业应根据自身的实际情况,对疫情期间必须要处理的业务数据进行分类分级,明确告知员工哪些公司业务数据是可以暂时通过私人设备进行处理的,并提供相应的IT安全小贴士,提醒员工做好防病毒软件的安装,以及及时进行补丁升级等事项。
人员安全层面(行为意识): “人”是最不受控的因素,网络安全意识的薄弱易导致高风险行为的发生,进而影响到业务连续性。在这次疫情期间,我们除了看到通过社交媒体群中乐此不疲的“人肉”病患信息外,我们也看到了企业内部管理层的邮件截图,企业倒闭辞退员工等猜测与臆造的信息。员工的网络安全意识是企业安全管理的基础,越是在在灾难面前,越应当拧成一股劲,不信谣、不传谣,保护企业的品牌与声誉。在应急预案部署与执行的同时,亦应通过各种方式,提醒员工注意疫情期间的行为规范,从自我做起。
在整体考虑业务连续性的网络安全事项的部署与实施过程中,企业的安全负责人也应深入思考以下几个问题:
资源:如何充分利用各类安全资源保障?业务连续性中需要各种资源的保障,对于互联网越来越发达的今天,生产生活都与之息息相关密不可分。本次疫情期间,多家互联网公司开放免费的会议平台,提供远程办公管理,开发出免费的数据脱敏小程序等,均是本次疫情的应急措施中丰富的资源储备,企业应结合实际情况,善于利用。
平衡:如何平衡业务与安全之间的关系?当下很多中小企业因为资金周转不畅,已经面临着破产和倒闭的风险,网络安全应以支撑业务为大前提,保障企业生存是关键,在有限的预算中,去平衡好业务与安全之间的关系。
沟通:疫情期间如何落实业务连续性管理工作?非常时期,企业的业务连续性能力反映出企业的管理成熟度,更彰显了企业负责人的领导力。在准备安全工作及开展执行时,企业的安全负责人应保持与高级管理层的密切沟通,务实的开展各项网络安全保障工作,带给员工和客户切实的保障。
落实:远程分散的管理模式下,如何保障应急措施的落实?业务连续性不只是企业写在业务影响分析和应急预案上的文字,业务连续性管理是一个体系,它需要企业内部各部门的密切配合,需要所有员工团结一致的行动,应通过简明的指令,保证所有人可以正确理解与操作,保障各项应急措施的执行。
3、结语
面对疫情,我们认为,越是紧急时刻,越要有章法,越能从容应对各种挑战。业务连续性建设非一日之功,我们应意识到业务连续性活动中因缺少对网络安全方面的准备和考量而造成二次伤害的可能性和严重性。对于企业来说,企业高层首先应具备相应的安全意识,站在全局和战略的高度去进行设计和把控,认识到业务连续性工作中网络安全的重要性以及对公司发展的影响,防微杜渐,从现在做起,以本次疫情作为契机,将网络安全融合在企业的业务活动中,并形成长久机制,以应对未来更多未知的黑天鹅事件。
本文以本次疫情为背景,起到一个抛砖引玉的作用,企业应持续关注关于业务连续性的标准发布动态,随时关注政府及相关部门的风险提示及指令要求,在5G时代即将到来的今天,更应该关注于业务连续性中的网络安全方面,及时查缺补漏,有则改之无则加勉,进行自查自建,针对于一些不合适的地方,需要考虑如何进行调整与优化,发现问题及时有效的整改,形成有效的管理闭环,保证企业在关键时刻能够对重大事件提供及时的响应,从而保证业务持续良好运行。
声明:本文来自ATLAS Academy,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。
