Безопасность работы топ-менеджеров с документами в условиях удаленного доступа
Вопрос читателя: Как обеспечить безопасность оперативной работы топ-менеджеров с документами и поручениями в условиях удаленного доступа в другой стране?
Требования к организации безопасного удаленного доступа к корпоративной информации едины в независимости от географического местоположения работника, поскольку движение данных в любом случае осуществляется через открытые и априори небезопасные каналы связи и сети. Под безопасным доступом подразумевается соблюдение нескольких базовых принципов:
● Конфиденциальность – уверенность в том, что каналы удаленного доступа и хранимая пользовательская информация защищены от несанкционированного доступа.
● Целостность – способность обнаруживать любые намеренные и ненамеренные изменения в процессе обмена данными по удаленному подключению.
Существует четыре основных способа организации удаленной работы, и все они могут применяться при работе с ECM. Выбор обуславливается возможностями и ограничениями способов, а также архитектурными особенностями конкретной системы управления корпоративным контентом.
Виртуальные частные сети (VPN)
Метод позволяет организовать безопасный шифрованный канал передачи данных (тоннель) между удаленным клиентом и VPN-шлюзом организации, объединяя их в единую защищенную сеть. Через тоннель клиентские приложения, установленные на устройстве пользователя (почта, текстовые редакторы, веб-браузер и т.п.), взаимодействуют с соответствующими серверами приложений, расположенными в периметре организации, что позволяет топ-менеджеру работать с документами и поручениями. При этом VPN-шлюз отвечает за аутентификацию пользователя и контроль доступа к сервисам и приложениям.
Данный метод предоставляет безопасный канал передачи данных только между клиентом и VPN-шлюзом, при это сохраняется несколько уязвимостей: данные никак не защищаются по пути от шлюза к внутренним ресурсам и в процессе работы клиентские приложения сохраняют данные локально на удаленном устройстве, где их безопасность также остаётся под вопросом. Данный метод следует рассматривать как дополнительную меру обеспечения безопасности, нежели универсальный инструмент, гарантирующий абсолютную сохранность корпоративных данных.
Корпоративные порталы
Портал – это, как правило, web-based решение, предоставляющее централизованный пользовательский интерфейс к корпоративным приложениям через web-браузер. При этом сами клиентские приложения и данные, с которыми они работают, находятся в периметре организации. Это основное отличие от описанного выше способа с применением VPN, оно обеспечивает лучшую защищенность при организации удаленной работы. Однако портал нельзя назвать рабочим инструментом топ-менеджера, зачастую он имеет ограниченные функциональные возможности и сложный пользовательский интерфейс.
Терминальный доступ (удаленный рабочий стол)
Этот способ знаком всем и в умах многих именно он ассоциируется с понятием удаленной работы. Однако помимо ограничений, связанных с требованиями к удаленному рабочему месту, едва ли десктоп или ноутбук можно назвать удобным инструментом для оперативной работы топ-менеджера, терминальный доступ имеет ряд серьезных проблем, связанных с безопасностью. Весь трафик от рабочей машины внутри организации до удаленного рабочего места имеет так называемое end-to-end (полное) шифрование, что исключает возможность использования firewall и прочих систем обнаружения угроз, для отслеживания того, какие данные циркулируют между удаленным клиентом и закрытой сетью организации. Также данный способ, в отличии от портала и VPN-шлюза, является децентрализованным и требует контроля безопасности на каждой рабочей станции, с которой осуществляется удаленная работа. Кроме того, потенциальный ущерб от возможного взлома рабочей станции крайне высок, поскольку злоумышленники получат доступ ко всем приложениям и данным без исключения.
Прямой доступ к приложениям
Сегодня это наиболее привлекательный и перспективный способ организации удаленной работы. Благодаря активному развитию облачных технологий и движению корпоративных систем в сторону гибких распределенных архитектур, появляется возможность, находясь за периметром организации, работать с конкретной системой напрямую через отдельное клиентское приложение (или веб-браузер) по защищенному каналу связи (HTTPS). При этом организация имеет полный контроль над движением информации от серверов приложений до клиентов, а пользователь получает доступ ко всем необходимым функциям системы в удобном интерфейсе. Но стоит помнить о необходимости обеспечения повышенной защиты для сервера приложений, так как он становится доступным для атак из внешних сетей. Целесообразно применять данный способ в связке с VPN-шлюзом.
Источник:ecm-journal.ru
Опубликовал: Александр Абрамов (info@spbit.ru)
Тематики: Интеграция
Ключевые слова: электронный документооборот