SOHO辦公場景下，企業資料保護指南

病毒肆掠，疫情嚴峻。為了共同抵抗疫情，衆多企事業機關開始SOHO辦公（也叫線上辦公），員工盡量在家遠端辦公，通過釘釘、手機和郵箱等方式完成業務溝通，以有效降低人員接觸導緻的交叉感染風險，這是網際網路時代給予疫情防禦戰線的一份禮物。

與此同時，這類新型的辦公方式也給企事業機關的資料安全保護帶來了更多挑戰，主要展現在以下幾個方面：

• 需要将部分前期僅在内網可通路的資料權限開放到網際網路；
• 員工使用缺乏安全管控的家庭終端接入到公司内部系統中（特别是日常使用固定終端的辦公人員）；
• 資料通路源分布廣泛（白名單通路控制方式極易失效）；
• 截屏、拍照、錄像等資料竊取方式缺乏監管。

雲上企業如何在SOHO辦公場景下有效實作敏感資料的保護呢？

阿裡雲資料安全專家建議從以下五個方面着手，提升企業資料安全保護能力：

01 控制接入

SOHO辦公方式無可避免的需要将前期僅在内網可通路的資料權限開放到網際網路，此時首先需要建立安全的網絡通信方式，諸如使用VPN等措施，将遠端連接配接進行加密，保證資料在傳輸過程中不被第三方竊取；

同時建議對SOHO辦公場景下員工能夠接觸到的資料進行分類分級，針對敏感程度高、洩漏影響大的資料，如非業務需要，配置通路政策加以限制，并根據需要使用堡壘機等安全終端，對敏感程度高的資料進行通路記錄，同時關閉下載下傳權限，讓敏感資料在非本地終端上的使用可查可控。

02管理權限

在遠端辦公過程中，一定會涉及雲端使用者賬号的認證和授權。對于雲平台層面的通路控制，應使用RAM來進行賬号權限管理，劃分不同的管理權限。搭配多因子認證（MFA）來增強賬号的安全性。特别是對于賬号AK的保護，需要額外關注；對于資源的通路能夠和堡壘機結合，基于最小權限原則進行授權，同時盡量避免多人共享賬号，降低資料洩漏的風險。

03加強終端

有效控制員工家庭自有終端的接入，盡量使用公司配置的電腦辦公，同時通過安裝終端防洩漏（DLP）、殺毒、移動裝置管理（MDM）等安全管理軟體降低終端資料洩漏風險，同時此類軟體的防截屏、防粘貼拷貝等特性也能一定程度上防止資料外洩。在SOHO辦公期間，基于終端、基于郵件網關、基于應用網關的DLP技術都能發揮一定的作用。

阿裡雲客戶可以使用阿裡雲提供的DLP資料防洩漏能力，有效提升終端側的敏感資料保護與控制能力。

04保護資料

增強雲端資料的保護能力。例如，通過将脫敏後的資料存儲到測試環境供相關人員使用，能有效降低因遠端辦公的開發人員直接通路生産資料而造成洩漏的風險，同時通過保留部分資料内容和結構的算法，有效支撐遠端資料使用和分析的場景。通過對高敏感資訊，例如個人身份、醫療資訊等資料實作脫敏或加密，進一步保護雲端資訊在遠端終端側的可用和保密。

阿裡雲建議雲上使用者通過開啟相關資料安全服務，如敏感資料保護（SDDP），密鑰管理（KMS）等服務，實作針對重要資料的保護功能。

05檢測異常

SOHO辦公場景下，資料通路源對應的終端、IP等分布廣、變化快，正常的告警配置很難靈活應對，隻有通過自學習的檢測手段，動态生成員工終端的通路和行為模式，才能實作對通路終端行為和操作的及時、有效的告警。同時結合大資料計算提供的海量資料分析能力，進一步提升異常告警的準确率，為遠端辦公中發生的異常事件，提供更快速的應急響應能力。

對于阿裡雲上的使用者，我們建議通過配置諸如敏感資料保護（SDDP）、資料庫審計等服務，實作遠端通路雲上資料行為的實時監測和有效審計。

在這個特殊的時期，如果您對SOHO辦公場景下有任何資料安全相關問題，都可以随時聯系我們，我們提供免費咨詢服務。