精华内容
下载资源
问答
  • 网络安全标准实践指南—远程办公安全防护(v1.0-202003) 全国信息安全标准化技术委员会秘书处 2020年03月 前言 《网络安全标准实践指南》(以下简称“实践指南”)是全国信息安全标准化技术委员会(以下简称...

     

    TC260-PG-20201A

    网络安全标准实践指南远程办公安全防护(v1.0-202003

    全国信息安全标准化技术委员会秘书处

    202003

     

    前言

    《网络安全标准实践指南》(以下简称“实践指南”)是全国信息安全标准化技术委员会(以下简称“信安标委”)秘书处组织制定和发布的标准化技术文件,旨在围绕网络安全法律法规政策、标准、网络安全热点和事件等主题,宣传网络安全相关标准及知识,提供标准化实践指引。II

     

    声明

    本实践指南版权属于信安标委秘书处,未经秘书处书面授权,不得以任何方式抄袭、翻译实践指南的任何部分。凡转载或引用本实践指南的观点、数据,请注明“来源:全国信息安全标准化技术委员会秘书处”。

    技术支持单位

    本实践指南得到中国电子技术标准化研究院、华为云计算技术有限公司、阿里云计算有限公司、三六零科技集团有限公司、深圳市腾讯计算机系统有限公司、奇安信科技集团股份有限公司、珠海金山办公软件有限公司、北京飞书科技有限公司等单位的技术支持。 III

     

    摘要

    本实践指南分析了在线会议、即时通信、文档协作等典型远程办公应用场景中存在的主要安全风险,从安全管理、安全运维等方面,给出了具体的安全控制措施建议,为远程办公安全防护提供参考。

    关键词:远程办公;风险;安全控制措施IV

     

    目录

    一、适用范围.................................................................1

    二、术语和定义...............................................................1

    三、远程办公典型场景.........................................................2

    四、安全风险分析.............................................................2

    五、安全控制措施.............................................................4

    (一)使用方安全.............................................................4

    1概述...................................................................4

    2管理要求...............................................................5

    2.1 远程办公需求分析...................................................5

    2.2 供应方和远程办公系统选择...........................................5

    2.3 运维管理...........................................................5

    2.4 管理制度...........................................................6

    3技术要求...............................................................6

    3.1 远程办公系统安全...................................................6

    3.2 访问控制...........................................................9

    3.3 业务系统安全......................................................10

    3.4 数据安全..........................................................10

    3.5 个人信息保护......................................................11

    3.6 通信安全..........................................................11

    3.7 安全审计..........................................................11

    (二)用户安全..............................................................11

    1 概述..................................................................11

    2 设备安全..............................................................11

    3 数据安全..............................................................12

    4 环境安全..............................................................12

    5 安全意识..............................................................131

     

    一、适用范围

    本实践指南分析了远程办公面临的主要安全风险,针对远程办公系统使用方和用户分别提出了安全控制措施建议。

    本实践指南可为使用方和用户开展安全远程办公提供指导。

    二、术语和定义

    1.远程办公

    利用远程办公系统,在办公场所以外地点开展的工作相关活动。

    2.远程办公系统

    支撑远程办公活动的信息系统。

    3.远程办公系统使用方

    使用远程办公系统的组织,简称使用方。

    注:使用方包括政府部门、科研机构、企事业单位等。

    4.用户

    使用远程办公系统的使用方工作人员,或与使用方存在工作关系的人员。

    5.远程办公系统供应方

    提供远程办公系统的组织,简称供应方。

    注:供应方和使用方可以为同一组织,也可为不同组织。

    6.设备

    用于远程办公的信息技术产品。

    注:设备通常包括个人计算机、移动终端等。

    7.用户自有设备

    用户用于远程办公的,未按照使用方安全要求进行管理的个人设备。

    8.功能扩展模块

    基于远程办公系统编程接口开发的,用于扩展远程办公系统功能的模块。

    三、远程办公典型场景

    使用方通过部署远程办公系统,为用户提供远程办公服务。本实践指南分析的安全风险和提出的安全控制措施适用于通过云计算平台部署的远程办公系统。该部署方式下典型的远程办公场景包括:在线会议、即时通信、文档协作,以及基于功能扩展模块实现的协同办公,例如,在线签到、健康情况汇总、活动轨迹填报等。

    注:其他远程办公系统部署方式,例如,通过虚拟专用网(VPN)技术或自建应用服务器实现的远程办公访问等,不属于本实践指南讨论范围。

    四、安全风险分析

    远程办公的主要安全风险包括:

    供应方安全风险。目前,提供远程办公系统的供应方安全能力参差不齐,部分供应方在安全开发运维、数据保护、个人信息保护等方面能力较弱,难以满足使用方开展安全远程办公的要求。

    远程办公系统自身安全风险。在线会议、即时通信、文档协作等办公场景下系统安全功能不完备,系统自身的安全漏洞,不合适的安全配置等问题,将直接影响使用方和用户的远程办公安全。

    数据安全风险。远程办公场景中,通过远程办公系统可访问使用方的数据,由于数据访问权限的不合理设置、远程办公系统自身的安全漏洞、用户不当操作等,可能导致使用方数据泄漏。此外,由于远程办公系统基于云计算平台部署,使用方可能失去对数据的直接管理和控制能力,存在数据被非授权访问和使用的风险。

    设备风险。用于远程办公的设备,特别是用户自有设备,在接入远程办公系统时,由于未安装或及时更新安全防护软件,未启用适当的安全策略,被植入恶意软件等原因,可能将权限滥用、数据泄露等风险引入使用方内部网络。

    个人信息保护风险。远程办公系统的部分功能(例如,企业通信录、健康情况汇总、活动轨迹填报等),可能收集、存储用户的个人信息(例如,姓名、电话、位置信息、身份证件号码、生物特征识别数据等),存在被滥采、滥用和泄露的风险。

    网络通信风险。用户和远程办公系统通常利用公用网络进行通信,存在通信中断,通信数据被篡改、被窃听的风险。同时,远程办公系统可能遭受恶意攻击(例如,分布式拒绝服务攻击等),导致办公活动难以进行。

    环境风险。远程办公通常在居家环境或公共场所进行。居家环境中,由于家用网络设备安全防护能力和网络通信保障能力较弱,存在网络入侵和通信中断风险。公共场所中,由于网络环境和人员组成复杂,存在设备接入不安全网络、数据被窃取、设备丢失或被盗等风险。

    业务连续性风险。远程办公增加了使用方关键业务、高风险业务的安全风险,远程办公系统可能由于负载能力、访问控制措施、容灾备份、应急能力等方面的不足导致业务连续性风险。

    人员风险。用户可能由于安全意识缺失或未严格遵守使用方的管理要求,引入安全风险,例如,将设备、账号与他人共享导致对使用方业务系统的恶意攻击;采用弱口令造成身份仿冒等。

    五、安全控制措施

    (一)使用方安全

    1 概述

    使用方在开展远程办公前,应充分理解本实践指南第四章中的安全风险。使用方应认识到并非所有业务都适合通过远程办公开展,应综合分析远程办公可能带来的收益,面临的安全风险,以及可采用的安全措施后做出决策。为有效防范远程办公安全风险,使用方应从管理和技术两方面采取安全控制措施。 

    2 管理要求

    2.1 远程办公需求分析

    使用方应对业务、数据、业务系统进行安全风险分析,明确可用于远程办公的业务、数据和业务系统,以及相关安全需求。

    2.2 供应方和远程办公系统选择

    使用方:

    1. a) 应重点考虑供应方的安全能力,包括但不限于安全开发运维、数据保护、个人信息保护等方面;
    2. b) 应充分评估远程办公系统的安全性,按照3.1的安全要求选用远程办公系统,重点考虑远程办公系统与网络安全相关标准的符合性、数据存储位置、弹性扩容能力等;
    3. c) 宜选取通过云计算服务安全评估的云计算平台,用于部署远程办公系统。

    2.3 运维管理

    使用方:

    1. a) 应指定专门人员或团队负责远程办公安全;
    2. b) 应开展远程办公系统配置管理,对安全策略、数据存储方法、身份鉴别和访问控制措施的变更等进行管理;
    3. c) 应制定远程办公安全事件应急响应流程以及应急预案,定期开展应急预案演练;
    4. d) 应根据业务和数据的重要性,制定备份与恢复策略;
    5. e) 应要求供应方提供运维服务,例如,在线技术支撑、应急响应等,保障远程办公系统稳定运行。

     

    2.4 管理制度

    使用方:

    1. a) 应制定远程办公安全管理制度,内容包括但不限于办公环境安全、数据安全、设备安全、个人信息保护、安全配置、通信安全、备份与恢复安全等;
    2. b) 应制定远程办公安全操作细则,定期开展远程办公安全教育和培训,提升用户安全意识。

     

    3 技术要求

    3.1 远程办公系统安全

    3.1.1 服务端安全

    3.1.1.1 系统安全要求

    使用方采用的远程办公系统应满足GB/T 22239 《信息安全技术网络安全等级保护基本要求》、GB/T 31168 《信息安全技术云计算服务安全能力要求》、GB/T 35273《信息安全技术个人信息安全规范》的相关要求。

    3.1.1.2 在线会议安全

    远程办公系统具备在线会议功能的:

    1. a) 应具备身份鉴别功能,仅授权人员可以参加在线会议;
    2. b) 会议管理员应能够设置参会用户权限;
    3. c) 应支持加密方式存储、传输会议材料;
    4. d) 在会议期间,宜提供参会人员关闭音频、视频设备的功能。

     

    3.1.1.3 即时通信安全

    远程办公系统具备即时通信功能的:

    1. a) 应加密存储即时通信消息;
    2. b) 应提供账号管理、即时通信消息群成员的安全设置等功能;
    3. c) 宜提供用户撤回即时通信消息的功能。

     

    3.1.1.4 文档协作安全

    远程办公系统具备文档协作功能的:

    1. a) 应支持加密方式对在线协作文档进行传输、存储;
    2. b) 应提供操作审计功能,对重要操作(例如,文档的删除、复制等)进行记录;
    3. c) 应在审计记录中包含账号、操作等信息;
    4. d) 应具备文档内容防泄漏功能,例如,文档加密等;
    5. e) 文档分享链接应仅对授权用户可用;
    6. f) 文档分享链接宜根据分享范围进行控制,例如,限制访问人员等;
    7. g) 宜提供文档数据恢复功能;
    8. h) 宜对文档操作进行权限控制。

     

    3.1.1.5 接入安全

    远程办公系统具备功能扩展模块的:

    1. a) 应在接入远程办公系统前进行安全审核,例如,漏洞修复情况审核、内容安全审核;
    2. b) 应具备身份验证、权限管理、输入检验、文件操作管理、数据加密等安全措施;
    3. c) 在访问使用方的敏感数据前,应获得授权。

     

    3.1.2 客户端安全

    3.1.2.1 应用程序安全

    远程办公系统的应用程序:

    1. a) 应具备运行环境安全和程序完整性检测功能,例如,防篡改检测、模拟器检测等;
    2. b) 应使用安全加固措施,例如,防止反编译、重打包等;
    3. c) 应对使用过程中产生的数据(包括但不限于数据文件、日志文件、数据库文件、配置文件、密钥文件等)进行保护,例如,使用加密存储、安全沙箱等技术;
    4. d) 应保护身份鉴别信息,例如,使用设备登陆检测等技术;
    5. e) 应使用安全协议,例如,传输层安全协议(TLS)、因特网安全协议(IPSec)等,保护传输的保密性和完整性;
    6. f) 应具备权限管理功能,允许使用方和用户根据远程办公需求调整权限;
    7. g) 宜使用多因素鉴别方法对用户身份进行鉴别;
    8. h) 宜具备信息防窃取和数据溯源措施;
    9. i) 宜使用安全组件,例如,安全键盘等。

     

    3.1.2.2 浏览器应用安全

    远程办公系统的浏览器:

    1. a) 应使用安全的浏览器内核,避免已知漏洞被利用;
    2. b) 应具备恶意网址的识别和拦截能力;
    3. c) 宜具备用户名、Cookie、缓存的加密功能;
    4. d) 宜具备浏览器插件、扩展的黑名单和白名单机制,防止恶意插件、扩展的安装、加载和运行。

     

    3.2 访问控制使用方:

    1. a) 应建立适用于远程办公的访问控制机制,包括审核用户权限申请、定期审核用户权限、及时清除过期权限等;
    2. b) 应对用户开放远程办公所需的最小权限,禁止用户账号共享。

     

    3.3 业务系统安全

    使用方:

    1. a) 应划分业务安全域,对不同业务安全域进行隔离;
    2. b) 应统一配置远程办公业务,最小化开放业务所需的服务和端口;
    3. c) 应维护业务系统安全基线,确保相关安全补丁及时更新;
    4. d) 宜持续对访问行为进行监控和分析,识别并及时阻断恶意用户和行为。 a) 应对数据进行分类分级;
    5. b) 宜设置数据防泄漏策略;
    6. c) 宜限制向用户自有设备传输使用方敏感数据;
    7. d) 宜提供数据销毁方案。

     

    3.4 数据安全使用方: 

      1. a) 应使用安全协议,例如,传输层安全协议(TLS)、因特网安全协议(IPSec)等,保护业务系统传输的保密性和完整性;
      2. b) 宜在通信过程中对设备的安全性进行持续验证。
      3.  

     

    3.5 个人信息保护

    使用方应按照GB/T 35273《信息安全技术个人信息安全规范》要求保护个人信息。

    3.6 通信安全使用方:

    3.7 安全审计

    使用方应定期对办公系统进行安全审计,审计内容包括但不限于对敏感数据的操作、访问控制权限变更等。

    (二)用户安全

    1 概述

    用户在开展远程办公时,应了解本实践指南第四章中的安全风险,遵守使用方制定的远程办公安全管理制度。

    2 设备安全用户:

    1. a) 应确保用户自有设备安装了正版软件、安全防护软件,并及时更新;
    2. b) 应确保用户自有设备采用了安全配置,例如,关闭共享文件、禁用不使用的账号等;
    3. c) 应对下载的文件进行病毒查杀;
    4. d) 不应使用公用设备进行远程办公;
    5. e) 宜将用户自有设备在使用方登记。

     

    3 数据安全

    用户:

    1. a) 应采用使用方指定的工具传输、存储、处理数据;
    2. b) 宜减少从远程办公系统下载文件。

     

    4 环境安全

    在居家环境,用户:

    1. a) 应使用路由器厂商提供的固件,并及时更新固件版本;
    2. b) 宜在路由器中开启局域网防护等安全功能。

     

    在公共场所,用户:

    1. c) 在环境无法满足远程办公安全性要求时,应停止远程办公;
    2. d) 不应在公共场所离开设备;
    3. e) 不应使用不安全的网络,例如,无口令或公开口令的无线网络;
    4. f) 宜防止设备屏幕被窥视,例如,使用防窥屏。

     

    5 安全意识

    用户:

    1. a) 应使用强口令,并定期更新;
    2. b) 应防范人员身份仿冒带来的风险;
    3. c) 应使用办公邮箱,避免使用个人邮箱;
    4. d) 不使用远程办公系统时,应及时退出;
    5. e) 不应访问来源不明的链接、文档等;
    6. f) 不应将存储使用方敏感数据的设备接入公用网络;
    7. g) 不应将设备、账号信息等提供给他人使用;
    8. h) 宜使用办公系统使用方提供的移动存储设备。
    展开全文
  • 而企业办公安全涉及的安全隐患则更加复杂多样,各种数据泄露、人员违规、外部入侵、物理安全等问题数不胜数。 一、安全开发生命周期 互联网公司的SDL必须和现有的CI/CD(持续集成/持续部署)系统(如IDE、Gitlab、...

    安全开发生命周期的管理是保障互联网企业业务正常运营的重要举措,直接关系到企业线上业务运行的安全性。而企业办公安全涉及的安全隐患则更加复杂多样,各种数据泄露、人员违规、外部入侵、物理安全等问题数不胜数。

    一、安全开发生命周期

    互联网公司的SDL必须和现有的CI/CD(持续集成/持续部署)系统(如IDE、Gitlab、Jenkins、JIRA等)集成才能产生较好的效果。SDL的建设必须置于敏捷开发、持续交付、技术运营之中,也就是要符合安全融于设计的思想。

    SDL在实际落地中大体上可以分为4个阶段:计划阶段编码阶段测试阶段部署阶段

    1.1 计划阶段

    计划阶段需要做的工作有明确安全需求,进行安全设计、威胁建模、供应商安全评估、安全培训等。安全需求需要融入软件需求度量、UML建模、条目化项目管理等工作中。

    安全设计原则包括:

    原则 解释
    最小化攻击面 尽量减少系统脆弱面的暴露
    建立默认安全机制 在初始情况下,系统的相关设置应该默认是安全的
    执行最小权限原则 建议账户具有执行其业务流程所需的最少权限
    执行纵深防御原则 以更多不同的控制措施处理同一个风险
    安全处理异常事物 正确处理程序异常
    应对第三方的不可控情况 应对外部系统不可控情况的安全处理措施
    职责分离 针对不同管理角色做权限分离
    避免安全保密化 关键系统的安全性不应该只依赖于保密
    保持安全简单化 业务逻辑应尽量简单有效
    正确修复安全问题 找出产生问题的根本原因,修复彻底,并进行安全测试

    威胁建模工具:

    SeaSponge是Mozilla提供的开源web威胁模型建模工具,通过浏览器就能很方便的建立web威胁模型。
    Threat Dragon是由OWASP提供的免费开源威胁建模工具。
    Microsoft Threat Modeling是微软提供的免费威胁建模工具。

    第三方安全评估:

    可以使用Google开源的VSAQ(供应商安全评估调查问卷)评估工具。

    安全培训:

    安全培训是一项长期的工作,从员工入职开始就应该进行。

    1.2 编码阶段

    编码阶段的主要工作有:

    1、建立安全编码规范
    2、静态源代码安全分析
    3、开源组件安全扫描(OSS)
    4、安全过滤库&中间件
    5、安全编译检查

    公开的安全编码规范参考:

    OWASP Secure Coding Practice

    IDE代码检测插件:

    Java编码规范方面的插件:P3C IDE
    Java漏洞检测方面的插件:Findbugs及继任者Spotbugs
    .NET漏洞检测方面的插件:Puma Scan
    支持C/C++的插件:cppcheck

    开源组件安全扫描(OSS)工具:

    OSS方面的商业产品:BlackDuck
    开源授权协议合规检查产品:FOSSology
    组件漏洞检查方面的开源产品:Dependency-Check(可以结合maven或Jenkins使用)
    组件漏洞检测产品:synk(可以扫描node.js nmp、ruby、java依赖中的漏洞)
    依赖方面的安全检查最为丰富的是SourceClear公司的:EFDA

    安全过滤库&中间件:

    常见的java安全过滤库:ESAPI
    Node.js的web安全过滤库可以参考:egg-security
    浏览器端的过滤库有:DOMPurify

    安全编译检查:

    通过Visual studio编译选项中的/GS选项检查缓冲区溢出,/guard:cf选项检查控制流安全。
    iOS APP安全编译选项有-fobjc-arc-fstack-protector-all-pie

    1.3 测试阶段

    1.3.1 自动化安全测试

    自动化安全测试又包括静态应用安全测试(SAST)、动态应用安全测试(DAST)、交互应用安全测试(IAST)

    静态应用安全测试

    即对应用进行白盒测试。

    商业产品有:Fortify奇安信代码安全卫士
    开源PHP源代码漏洞扫描产品:RIPSprogpilot
    针对Python、Ruby、Go语言的安全扫描的综合工具:huskyCI
    针对java的安全扫描工具主要有:spotbugs以及相关插件fb-contribfind-sec-bugs
    针对C/C++的安全扫描综合工具:flawfinder
    支持多种语言的综合安全扫描工具:Infer
    静态应用安全测试的综合平台:SonarQube

    动态应用安全测试

    即对应用进行黑盒测试。

    商业产品有:AWVSAppScan绿盟漏洞扫描器
    开源产品有:Arachni
    针对REST API自动化测试的产品:Astra
    针对Web Service进行安全测试的产品:WSSAT
    针对Android的开源DAST测试产品:Qark

    交互应用安全测试

    作用于应用内部的安全漏洞测试。

    商业产品有:Synopsys SeekerVeracodeCxIAST
    针对PHP的开源产品有:PHP taintPHP Aspis
    针对Java的开源产品有:security_taint_propagation

    1.3.2 人工安全测试

    代码审计和模糊测试

    人工代码审计:OWASP代码审计指南
    针对协议的常用模糊测试工具:Peach fuzzer(可以对各种文件和协议进行黑盒测试)
    针对二进制漏洞的模糊测试工具有:AsanTsanMsanUBsan
    开源的Fuzz测试平台有:OSS-Fuzz

    web安全测试

    web安全测试:OWASP安全测试指南
    主要使用的工具:BurpSuiteFiddler

    移动安全测试

    移动安全测试:OWASP移动安全测试指南
    开源的产品有:MobSF
    Android人工测试的工具有:DrozerAppUseXposedFrida
    ios人工测试的工具有:needleiOSSecAudit

    1.4 部署阶段

    部署阶段主要保证开发的产品可以安全发布,相关的工作有:证书密钥管理、安全配置加固、操作审计、渗透测试。互联网公司应建立安全可控的发布平台,保证配置的自动化,且保证发布是可信和可审计的。

    证书密钥管理:

    证书密钥管理系统(KMS)主要用来负责API私钥、云IAM/STS证书、数据库密码、X.509证书、SSH证书、应用签名证书、加密通信密钥等的安全保存、发放和撤销。这些证书密码的泄露直接关系到公司的数据安全。

    开源的KMS产品:Vault

    操作审计:

    主要保证发布过程的可控和可安全审计。与操作审计配套的技术有DMS数据库管理系统、堡垒机等。

    DMS数据库管理系统可用来负责互联网公司统一的数据管理、认证授权、安全审计、数据趋势、数据追踪、BI图表和性能优化,解决了以往运维和研发对数据库访问的不可控和不可审计的问题。支持MySQL的开源产品有:Yearning

    堡垒机对运维操作进行记录和追踪,并对主机访问提供细粒度和集中的权限控制,同时减少了关键业务主机对外的暴露面。开源的堡垒机产品有:JumpServerGuacamole

    渗透测试:

    通过对业务、系统、网络的综合渗透测试来保证业务上线后的安全,这是一个长期持续的过程。

    二、企业办公安全

    办公安全历来是信息安全的薄弱环节,常见的威胁还有数据泄露、内部恶意人员、APT攻击、病毒蠕虫等。相比线上业务安全,企业内部办公安全更为复杂,如存在移动办公、自带设备BYOD办公等场景。

    2.1 人员管理

    在员工入职前,企业就应该对员工进行背景审查、入职后应对其进行安全意识培训,研发等岗位还应该进行专门的安全开发培训,严格一点还应该进行考试。

    宣扬企业安全文化,定期组织安全周、安全月等活动。应将安全违规的处理和安全审批流程等纳入流程制度,并制定必要的处罚和KPI考核制度。此外,还应当对各种办公活动进行安全审计,对企业内部环境和外部业务服务进行合规审查,以满足法律和行业规范的要求。

    2.2 终端设备

    企业应该部署集中管理式的AV杀毒软件和EDR终端检测与响应产品,以抵御病毒和APT攻击。开源的EDR产品有Facebook的Osquery和Mozilla的MIG

    重要业务部门应该部署DLP数据防泄露、DRM数据版权管理产品,防止企业关键资产(如数据、代码、文档)泄露。

    现在使用移动终端工作的情况也很普遍,因此,移动办公产品也应当加强管控,常见的移动终端安全产品有MDM移动设备管理和MAM移动应用管理。商业产品有IBM MaaS360SAP Mobile Secure等,开源产品有flyve-mdm等。

    广义的终端设备还包括门禁系统、打印和传真系统、电话会议系统、视频监控系统、Wi-Fi路由系统等,应当对这些设备也考虑安全方案。

    最后,可以通过SIEM产品(如Splunk)的UEBA用户实体和行为分析发现由用户主动行为或账号被盗、终端被控制引起的异常安全行为攻击。

    2.3 办公服务

    办公服务是指企业内部的办公支撑服务平台,如企业邮箱、企业网盘、CRM、ERP、OA、HR、BOSS等系统和研发支撑平台。

    渗透测试是检验办公服务的安全的有效途径,通过渗透测试可以发现企业办公网络中的各种薄弱点,以便于不断改进和完善自身安全。

    展开全文
  • 近日,航天龙梦安全会议系统(龙芯版)已与统信操作系统UOS完成兼容适配。经双方严格测试,此系统搭载统信操作系统UOS,系统运行稳定,整体系统响应速度与wintel架构的产品相当。 会议应用系统特点 自主创新、安全...

    近日,航天龙梦安全会议系统(龙芯版)已与统信操作系统UOS完成兼容适配。经双方严格测试,此系统搭载统信操作系统UOS,系统运行稳定,整体系统响应速度与wintel架构的产品相当。

    在这里插入图片描述
    会议应用系统特点

    自主创新、安全保密
    系统运行在自主创新软硬件支撑平台,采用有盘/无盘运行机制,确保底层运行环境的可管可控,所有应用软件均自行研发,通过优化和底层调优,系统性能与Wintel体系产品相当。系统严格遵循国家信息系统相关安全要求对系统进行安全开发,加载设备接入安全防护策略,有效保障会议全过程的信息安全。

    功能丰富,贴近实战
    整合党政机关等工业单位对安全会议管理应用需求,建立统一的会议应用管理模式。系统软件功能丰富,贴近实战化应用,切实解决传统会议管理中的大量的协调、组织、管理等琐碎复杂的工作,整体提升会议执行效率。

    互联互通、全面融合
    打破信息孤岛现象,系统提供开放的服务接口(Java API、Web Service),便于集成第三方业务系统和后台服务,可与现有信息系统对接、提升业务协同水平,实现全办公业务的互联互通、实现高效的数据交互,统一的事务管理。

    会议应用系统形态

    升降式设备方案
    平板式设备方案
    在这里插入图片描述

    会议领域定制软件方案
    可提供会议智能排座系统、会议签到系统等用户定制软件方案。

    航天龙梦化安全会议系统已在央企、特定用户部署并上线,系统操作便捷、运行稳定,得到用户信任及肯定。此次通过与信操作系统UOS的迁移适配,大大提升了用户操作界面的体验及视觉感官。

    未来,航天龙梦将继续与统信软件加深合作,专注处理器基础软硬件研发设计,规范会议管理流程、降低会议信息安全风险、提升会议互动体验,构建关键信息基础设施安全会议保障体系,构建以龙芯CPU为核心的自主创新产业生态。

    展开全文
  • 宽带、无线通信技术和智能终端的普及让我们的工作和生活不可避免的链接在...近年来,无线网络的普及让无线安全问题备受重视,纵观大大小小的网络安全会议,主办方也在竭尽所能像使用者呼吁“wifi需谨慎,连接有风险...

    宽带、无线通信技术和智能终端的普及让我们的工作和生活不可避免的链接在一起——办公更加的随时随地,办公设备更加的多种多样,BYOD以其独有的潮流和趋势逐渐盛行。工作和生活似乎更加的密不可分,然而随之而来的安全问题也渐成隐患。

    近年来,无线网络的普及让无线安全问题备受重视,纵观大大小小的网络安全会议,主办方也在竭尽所能像使用者呼吁“wifi需谨慎,连接有风险”,然而我们真的需要这样谨慎小心,连最基本的生存需求也要抹杀掉么?当然,我想多数人的答案是NO,那么如何解决?如何消除隐患?如何让移动办公更加安全可靠?如何让企业和员工之间更加信任?渐渐成为安全厂商们日益关心的问题。

    不让安全隐患成为制约员工的借口

    Blue Coat 大中华区技术总监王跃霖在接受记者采访的时候表示:“Blue Coat有一个观念我非常的认同,就是说我们不应该让这些安全的隐患,成为制约企业员工的一个借口,不说你这东西不安全我就不让你用了,而是说我们应该去 想办法,争取给它搭成一个安全地环境,让用户更加放心的去用这些比如说你个人终端等等的这样一些设备。那从而提高企业就是员工的生产力,让它更加的方 便。”

    王跃霖认为:BYOD的趋势不可阻挡,在未来也会更加普及,但是安全隐患也是现实存在的。因此,在终端和传统笔记本上做一些安全管控也是企业和个人应该去做的。从安全厂商的角度,则需要更多的技术支撑,让企业和用户更加放心的进行使用。

    此外,王跃霖也表示,BYOD的安全问题一定是就整体安全的解决方案而言的。因为我们必须先保证自身的安全架构比较完整,才有可能对BYOD做更好的保护。换而言之,只有你足够强大,才可以去保护一切。因此,Blue Coat除了自身的安全性能外,也一直致力于安全的整体解决方案。

    BYOD并非yes or no

    就Blue Coat而言,对于无线传输协议,并没有过多的介入,然而Blue Coat也认为尽管如此,但是但从无线来说和安全问题也是密不可分的。

    采访中,我们了解到目前Blue Coat提出“细粒度的控制”的概念。即由Blue Coat提供这样的能力,然后根据企业根据自己的需要,自行定制一些安全性适合自己企业的策略。这样由Blue Coat来进行应用的分类和操作的分类,最终达到“细粒度控制”的目的。

    因此,BYOD的解决方案中,一定不是“行”或者“不行”,解决BYOD的安全问题需要厂商从各个层面来为用户提供最终的保障,让用户放心使用。

    王跃霖说:谈安全问题,需要看大的框架,也就是从无线终端到有线之间的安全性问题。事实上,想要BYOD安全的跑起来,除了底层的无线协议以 外,还需要上层的协议。他也给记者举了个很浅显的例子:最简单的HTTPRS协议。就是说你在认证加密完了以后,在无线层之上的一种协议。那这里面的话 呢,就是说安全性来讲,如果针对无线的话,除了你本身的无线传输协议你要很安全,有加密的标志以外呢,你还要在上层可能还要去,在应用层还要去做安全的加 密,才能够更加的安全的等级才会更加的高。

    王跃霖表示:如果你采用的HTTP这种加密这种协议的话,那其实它是一种双刃剑,一方面来讲它是安全了。另外一方面来讲,如果这个安全的协议被引导到了一个不安全的网站,实际上你前端所有的加密的这些事是没有意义的。

    Blue Coat能够跟底层的无线传输协议去配合,更好的去保护用户。可以用安全加密的协议,提供给用户更安全的保护的手段终端的处理能力是有限的,当加上太多安全功能后,比如无线层你需要加密、解密,上应用层你需要加密、解密。

    对于用户来讲,速度会变慢。Blue Coat的性能中心的产品,则可以优化和加速的这些问题,让 BYOD应用更加通畅。总的来说,在BYOD应用环境里面,Blue Coat的一些上层的加密、解密的一些安全能的控制和优化的一些产品的性能能够帮助用户有一个最好的使用环境。

    安全不是望而却步——让BYOD变得美好

    不论任何时候,安全问题都是人们重点关心的话题,网络安全问题也在今天更加泛滥。企业需要一个更为广发的安全性架构来解决当下的问题。科技的发 展是迅速的,网络的发明是为了让用户更加方便,因此我们也希望安全厂商能够在产品上发挥各自的优势,让用户放心使用,而不是望而却步。

    王跃霖提出, 由于BYOD的终端特性,有可能在企业用,也有可能在外边用。因此当员工如在外边使用中出现一些问题,再拿到企业内部里用,反而是一个另外一个安全性的隐 患。因此要有整体企业的安全性措施。就是不管你通过有线还是通过BYOD,安全策略都是相对稳定可靠的。

    Blue Coat目前基于云安全性的架构为:如果员工愿意,企业允许的话,可以下载一个小的应用程序在你企业员工手机智能设备上面。那么即使说你的这个设备离开了企业网你去到了公网上面,那实际上你所有的这种安全性的检查也是由Blue Coat控制,这也意味着,即便您是在公网上,也依然受到Blue Coat的“保护”。

    在采访结束的时候,王跃霖坦言: 安全问题的不断涌现,很多时候也会让安全厂商措手不及。因此,Blue Coat并不会说用户用了我们的产品就一定不会有安全问题的出现。只是,Blue Coat业务保障技术会提供给客户一种机制,我们会给客户提供生命体系的一种防护手段。我们希望已知的威胁我们帮您抵挡,未知的威胁则采取先通过后追踪的 方式,保证企业用户在使用上大幅度的方便之外也确保安全。

    诚然,我们并不知道明天网络世界将面临什么样的攻击,我们也不知道这些威胁会带给我们怎样的危害,但是让网络这个虚拟又真实的世界维持一种健康的生态系统已经成为我们迫切需要的。
    原文发布时间为: 2014年10月20日

    本文来自云栖社区合作伙伴至顶网,了解相关信息可以关注至顶网。

    展开全文
  • 安信天元党政机关安全综合办公业务系统 简介综合办公业务系统采用成熟的构件化开发平台,支持系统的快速搭建和业务扩展,更有安信天元独创的“智能可控自由工作流”技术,有效的解决了传统工作流流转不畅的痼疾,使...
  • 大家都知道每个网站的安全校验机制都是网站安全的重要组成部分,包括密码、短信验证码、二维码验证等验证方式,除此之外,我们登陆很多网站都能了解到用户登录是会有验证码校验功能的。 在此之前,TSINGSEE青犀视频...
  • 这是作者的网络安全自学教程系列,主要是关于安全工具和实践操作的在线笔记,特分享出来与博友们学习,希望您们喜欢,一起进步。前文分享了微软证书漏洞(CVE-2020-0601),并详细讲解了Windows验证机制、可执行文件...
  • 无线办公给企业带来无限便利的同时,也因为无线的空间蔓延特性,打破了原来有线的物理边界,从而带来信息安全问题。由于“信息安全”的领域非常广泛,涉及到的安全产品品类也非常丰富,文中的方案介绍主要聚焦在...
  • 欢迎各位添加微信号:qinchang_198231加入安全+ 交流群 和大佬们一起交流安全技术最近“新冠肺炎”的疫情,让全球经济“停摆”,企业远程办公、远程在线教育、网络直播……各种“...
  • 会议旨在宣传贯彻公安部《贯彻落实网络安全等级保护制度和关键信息基础设施安全保护制度的指导意见》,解读《信息安全技术 网络安全等级保护定级指南》国家标准,探讨关键信息基础设施安全保护工作和密码安全建设...
  • 协同办公通讯系统源码出售转让 含视频会议 即时通讯 监控等★ 产品为视频通讯行业少有的融合性系统,模块化功能全面,配置灵活 产品有2次开发,版权没有任何纠纷,可放心使用 ★ 本软件已成功运行多年,成熟稳定,...
  • 视频会议亮点剖析

    2016-07-28 17:00:13
    如今视频会议发展形势大好,视频会议的趋势也...近几年,有个别是视频会议厂商的视频会议系统安全问题不断出现,这更加令用户更加重视安全问题。特别是一些政府及金融业的用户,安全问题更是应该引起重视。 在视频会议
  • 网络安全作为互联网的基础保障,在产业互联网发展和企业数字化升级的过程中将展现哪些新特性?产业互联网各个链条的参与者该如何应对?腾讯作为产业互联网的引领者将为产业安全提供哪些助力? 腾讯公司云与智慧产业...
  • 作为视讯行业国产第一品牌,华为视频会议系统的产品在稳定性、安全性、易用性等方面得到了江西省司法厅的高度认可,在众多厂商中脱颖而出,为江西省司法厅构建了省-市-县三级网络高清视频会议系统: 1、在省厅信息...
  • 信息安全发展的三个阶段:通信保密,信息安全,信息保障 Wind River的安全专家则针对IoT设备安全提出了如下建议: 安全启动 设备首次开机时,理应采用数字证书对运行的系统和软件作认证; 访问控制 采用不同...
  • 摘要: 当今,全球无线通信产业的两个突出特点体现在:一是公众移动通信保持增长态势,一些国家和地区...通信网络安全工作主要是对通信终端盒通信终端之间相连接的传输路线、设备和协议进行管理,特别是对通信网络...
  • 医疗行业安全建设方案

    千次阅读 2017-12-22 15:18:46
    一、 概述卫生信息安全工作是...遵循相关标准规范,在卫生行业全面开展信息安全等级保护定级备案、建设整改和等级测评等工作,明确信息安全保障重点,落实信息安全责任,建立信息安全等级保护工作长效机制,切实提高卫
  • 东塔安全快讯,10分钟带你了解最新网络安全大事件,多喝水,多睡觉,多挖洞,还有最重要的就是,别忘了准时来看东塔每周快讯哦! 很多人总以为网络安全是件与自己没多大关系的事,其实并非如此。在我们的日常生活中...
  • 谷歌招聘机制

    万次阅读 2016-04-21 14:56:28
    一、学生—校招  关于校招,如何得到Google的工作机会?谷歌已经说的很清楚了。但还有另一条途径:学生还可以通过「实习+转正」获得Google的工作机会,并且这个途径与直接申请全职相比过程要简单一些,录取几率也...
  • 2019中国信息安全自主可控行业政策盘点及网络安全行业分析一、盘点中国信息安全自主可控行业政策法规二、中国网络安全行业产品分类全景图**三、国产化信息技术网络安全自主可控行业现状深度剖析****1、信息战凸显...
  • 去年 12 月,华为云正式对外发布其智能工作平台 WeLink,作为华为全场景智能办公的重要输出,华为云 WeLink 官方向 CSDN 表示,与同行相比,WeLink 的优势主要体现在云管端芯全流程安全、视频会议、AI 助手以及大...
  • 12月25日,应山东师范大学信息科学与工程学院邀请,国家计算机网络与信息安全管理中心山东分中心赵煜副主任于长清湖校区文宗楼506会议室作了题为“网络安全现状与发展趋势”的学术报告。报告会由信息科学与工程学院...
  • 信息安全风险评估

    2021-03-08 10:19:17
    评估准备1.1确定评估目标1.2确定评估范围1.3组建评估团队1.4评估工作启动会议1.5系统调研1.6确定评估依据1.7确定评估工具1.8制定评估方案二.风险要素识别2.1实施流程2.2资产识别2.2.1资产调查2.2.2资产分类2.2.3资产...
  • 安全预算增加后,怎样实现最大投资回报? 根据世界卫生组织的统计——2020年新冠疫情期间,全球网络攻击增加了5倍。后疫情时代,衍生于新场景、新业态下的新安全威胁,正在考验着企业的安全技术、团队和能力储备。...
  • 当前世界范围内,各国数据主权意识不断增强,数据日益成为各国争夺的基础性战略资源,利益之所在,亦争端之所在。针对互联网隐私数据安全的问题,显然不只是我们在关注,国家更是予以高度重视。为了规范...
  • 随着攻击者与企业间的“军备竞赛”在2013年进一步升级,IT部门与安全专家将需要时时都比黑客罪犯技高一筹,以保护企业不受攻击威胁。2013年,恶意黑客们将使用哪些顶尖手段,对企业带来哪些最大的安全威胁呢?以下是...
  • 浏览文章的时候,能够看到一篇干货满满的文章,实属不易,能够把内网安全渗透测试的整个阶段所涉及到的信息整理的如何全面也是值得佩服,废话不多说,直接上文章。本篇文章首发平台先知社区,如需转载,请标注来源。...
  • 独创的用户登录机制保持用户不同地点的安全登录,对各种不同浏览方式的识别并给予不同的安全防护和处理,对全局运行日志的把握和管理让您随时掌握论坛的运行情况。 4、无需独立服务器,有个虚拟空间就可以快速建立...
  • 《中华人民共和国数据安全法》解读(1)背景解读第一章 总则第二章 数据安全与发展 背景   《中华人民共和国数据安全法》自征求意见至今已经过去很久,最近一段时间滴滴公司的多款APP被强制下架的事件引起了全...

空空如也

空空如也

1 2 3 4 5 ... 20
收藏数 5,935
精华内容 2,374
关键字:

安全办公会议机制