기업 원격 사무실의 네트워크 보안 문제를 어떻게 해결합니까?

기업 원격 근무를 위한 네트워크 보안에 대해 자주 묻는 질문과 제안

게시 시간: 2020-03-06 11:46:28

저자: Ning Xuanfeng , Wu Han 외

출처: King & Wood Mallesons 연구소

공유 대상: WeChat, Sina Weibo, QQ Space

지금은 신종 코로나바이러스의 예방과 통제를 위해 온 나라가 단결하여 전염병에 맞서 싸우고 있습니다. 예방과 통제를 강화하기 위해 2월 초부터 베이징, 상하이, 광저우, 항저우 등 주요 도시 정부는 공개적으로 입장을 밝히거나 발표를 했고, 기업들은 정보기술(IT)을 활용해 원격 협업과 업무를 진행했다. 재택근무 [1] 2월 19일 산업정보기술부는 '전염병 예방과 통제, 작업 및 생산 재개를 지원하기 위한 차세대 정보기술 활용에 관한 고시'를 발표했습니다. 산업정보기술부는 중소기업의 생산을 지원하기 위해 원격근무, 재택근무, 화상회의 등 온라인 근무 방식 확산에 중점을 두고 기업의 클라우드 전환을 적극 장려하고 있다. 온라인 교육, 공동 연구 개발, 전자 상거래[2].

국가와 지자체의 요구에 전국 기업들이 적극적으로 응했다. 2월 중순 Southern Metropolis Daily가 시작한 온라인 설문조사에 따르면 응답자의 47.55%가 재택근무를 하거나 온라인 수업을 듣고 있는 것으로 나타났습니다[3]. 특수한 시기 원격근무에 대한 수요가 급증함에 따라 원격협업 플랫폼 역시 사회적 책임을 적극적으로 맡아왔다. 이르면 지난 1월 말 17개 기업 21개 제품이 원격작성 플랫폼 소프트웨어를 사회 전체 사용자에게 공개하겠다고 밝혔다. 또는 특정 기관을 무료로 제공합니다[4 ].

네트워크 계층, 시스템 계층, 비즈니스 데이터 등 정보 기술을 통해 실현되는 원격 작업은 안전하고 효과적인 작업 재개를 달성하기 위해 더욱 복잡한 네트워크 보안 환경에 직면하게 됩니다. 기업은 운영 및 개발에 미치는 영향을 고려하여 실제 상황에 따라 적절한 네트워크 및 정보 보안 전략을 수립하거나 적절하게 조정해야 합니다.

1. 원격 사무실 시스템의 종류

인터넷, 클라우드 컴퓨팅, 사물 인터넷 등 기술이 심화되면서 다양한 기업, 특히 인터넷 기업, 법률 회사 및 기타 전문 서비스 회사는 기업 내 원격 협업 작업, 특히 원격 회의 및 문서 관리와 같은 기본 기능 애플리케이션을 장려해 왔습니다. 기능 유형의 관점에서 볼 때 원격 사무실 시스템은 다음 범주로 나눌 수 있습니다. [5]

포괄적인 협업 도구는 인스턴트 메시징 및 다자간 통신 회의를 포함한 기능을 갖춘 포괄적인 사무실 솔루션 세트를 제공합니다. 및 문서 협업, 업무관리, 디자인 관리 등 대표적인 소프트웨어 업체로는 Enterprise WeChat, DingTalk, Feishu 등이 있습니다.

인스턴트 메시징(예: 인스턴트 메시징 또는 IM) 및 다자간 통신 회의는 두 명 이상이 네트워크를 통해 실시간으로 텍스트와 파일을 전송하고 음성 및 영상 통신을 수행할 수 있는 도구입니다. Webex, Zoom, Slack 등이 포함됩니다.

문서 협업은 클라우드 스토리지와 여러 사람이 온라인으로 문서를 공유, 수정 또는 검토할 수 있는 기능을 제공할 수 있습니다. 대표적인 소프트웨어로는 Tencent Docs, Kingsoft Docs, Evernote 등이 있습니다.

작업관리는 업무처리, 근태관리, 인사관리, 프로젝트 관리, 계약관리 등 기업 사무자동화(OA) 기능을 구현할 수 있다. 대표적인 소프트웨어로는 Trello, Tower, Panwei, 등.

디자인 관리는 재료, 도구, 라이브러리 관리 등 사용자 요구사항에 따라 디자인 연구 및 개발 관리 활동을 체계적으로 수행할 수 있습니다. 대표적인 소프트웨어로는 메이커 포스트(Maker Post), 캔버스(Canvas) 등이 있습니다.

2. 다양한 원격 근무 모드에서 네트워크 보안을 담당하는 주요 주체

'사이버보안법'('사이버보안법')의 주요 규제 대상은 네트워크 운영자입니다. 네트워크 소유자, 관리자 및 네트워크 서비스 제공업체. 네트워크 운영자는 사이버 보안법 및 해당 지원 규정에 따라 네트워크 운영 보안 및 네트워크 정보 보안에 대한 책임을 져야 합니다.

원격 사무실 시스템의 경우 시스템 운영 방식이 다르면 네트워크 보안을 담당하는 주체(예: 네트워크 운영자)에 큰 차이가 있습니다.

원격 사무실 시스템의 운영 모드에 따라 기업 원격 사무실 시스템은 크게 자체 소유 시스템, 클라우드 사무실 시스템, 종합 시스템의 세 가지 범주로 나눌 수 있습니다. 기업은 자신과 플랫폼 운영자 간의 책임 범위를 명확히 구분하여 취해야 할 네트워크 보안 조치를 명확하게 판단해야 합니다.

(1) 자체 시스템

이 유형의 모델에서는 기업의 원격 사무실 시스템이 자체 서버에 배포되고 시스템이 기업에서 독립적으로 개발되거나 아웃소싱되거나 사용됩니다. 타사 엔터프라이즈 수준 소프트웨어 아키텍처를 통해 이러한 유형의 시스템의 개발 비용은 상대적으로 높지만 타사 서버로의 데이터 흐름이 없기 때문에 보안 위험이 낮습니다. 일반적인 유형의 기업에는 국영 기업 및 은행과 같은 중요한 산업의 기업 및 기관이 포함됩니다. , 강력한 경제적 능력과 보안에 중점을 둔 기업, 개인 정보 보호 요구 사항이 높은 대기업 등이 있습니다.

기업이 자체 개발한 시스템이든 아니든, 시스템 아키텍처가 완성된 후 기업이 시스템을 독립적으로 소유하고 독립적으로 관리하므로 기업이 해당 사무소의 네트워크 운영자를 구성한다. 시스템을 관리하고 해당 네트워크 보안 책임을 맡습니다.

(2) 클라우드 오피스 시스템

이러한 유형의 오피스 시스템은 일반적으로 SaaS 시스템 또는 APP이며, 플랫폼 운영자는 바로 사용할 수 있는 시스템을 기업에 직접 제공합니다. 기업 사용자와 개인(직원) 사용자를 위한 원격 협업 소프트웨어 플랫폼 또는 APP 서비스입니다. 이러한 시스템은 구축하기에 상대적으로 경제적이지만 기업의 특정 유형의 요구 사항만 해결할 수 있는 경우가 많습니다. 기업은 일반적으로 시스템을 개발하거나 수정할 권한이 없으며 기업 데이터는 타사 서버에 저장됩니다. 이 모델의 일반적인 유형의 기업은 상대적으로 유연한 중소기업입니다.

클라우드 오피스 시스템(SaaS 또는 APP)의 네트워크, 데이터베이스, 애플리케이션 서버 등은 모두 플랫폼 사업자가 운영, 관리하므로 클라우드 오피스 시스템의 사업자가 네트워크 사업자를 구성하며, 일반적으로 SaaS, APP에 서비스를 제공합니다. 네트워크 운영 보안 및 정보 보안을 담당합니다.

실제로 플랫폼 운영자는 기업 사용자에게 계정 사용 규칙을 엄격히 준수하도록 요구하고 기업 사용자에게 요구하는 등 사용자 계약 및 기타 법률 문서를 통해 계약 방식으로 일부 네트워크 보안 감독 의무를 기업 사용자에게 양도합니다. 플랫폼에 업로드된 정보의 내용에 대한 책임은 그것과 그 직원에게 있습니다.

(3) 종합 시스템

이러한 유형의 시스템은 기업 자체 서버와 타사 서버에 배포되어 자체 시스템과 클라우드 오피스를 통합합니다. 엔터프라이즈 제어에 의해 완전히 제어되지는 않습니다. 여러 위치에 로컬 서버를 설정해야 하는 다국적 기업에서 주로 사용됩니다.

클라우드 오피스 시스템의 공급업체와 기업 자체가 네트워크 운영자가 될 수 있습니다. 그들은 자신이 운영하고 관리하는 네트워크 시스템을 경계로 삼아 자신이 운영하는 네트워크에 대해 상응하는 네트워크 보안 책임을 져야 합니다.

기업의 경우 플랫폼 운영자에 대한 책임의 경계를 명확히 하기 위해서는 먼저 어떤 '네트워크'가 기업이 단독으로 소유하거나 관리하는지 확인해야 합니다. 원격 근무 시나리오에서 기업은 포괄적인 식별을 위해 다양한 요소를 고려해야 하며 분석에는 다음이 포함되지만 이에 국한되지는 않습니다.

사무실 시스템의 서버, 터미널 및 네트워크 장비가 제대로 작동하는지 여부 기업과 그 직원이 소유하거나 관리하는 여부,

기업이 사용하는 오피스 시스템에 대해 기업이 가장 높은 관리자 권한을 갖고 있는지 여부

기업 운영 중에 생성된 데이터가 오피스 시스템이 기업이 소유 또는 관리하는 서버에 저장되어 있는지

오피스 시스템 또는 관련 데이터 등에 대한 권리 및 관리권에 대해 기업과 플랫폼 운영자가 명확한 합의를 갖고 있는지 여부

물론, 시스템 구축의 복잡성과 다양성을 고려하면, 플랫폼 사업자와 기업은 필연적으로 동일한 네트워크 시스템을 포괄적인 원격 협업 사무실 시스템에서 함께 관리할 수 있으며, 네트워크 사업자로서 보안 책임을 받아들일 수도 있습니다. 그러나 기업은 여전히 ​​계약을 통해 네트워크 시스템에 대한 양 당사자의 관리 책임과 네트워크 시스템의 소유권을 최대한 정하도록 규정해야 합니다. 따라서 원격 협업 오피스 서비스 플랫폼을 공동으로 관리·운영하는 경우, 기업과 플랫폼 사업자는 양측이 관리·운영하는 시스템 모듈과 각자가 관리하는 시스템 모듈의 네트워크를 이용약관에 명확히 명시해야 한다. . 플랫폼의 보안 책임 및 소유권.

3. 원격근무 관련 네트워크 보안 이슈 및 대응방안

다음에서는 최근 원격근무와 관련해 핫이슈가 발생한 사이버 보안 사고를 살펴보고, 관련 네트워크 보안 이슈에 대해 논의해보겠습니다. 간단한 위험 평가를 수행하고 회사에 대한 사전 대응 제안을 제공합니다.

1． 사용자 트래픽 급증으로 인해 원격 사무실 플랫폼이 "단시간에 충돌"했습니다. 플랫폼 운영자가 네트워크 운영 보안을 책임져야 합니까?

이벤트 검토:

2020년 2월 3일, 춘절 연휴 이후 첫 근무일로 대부분의 회사에서는 직원들에게 재택근무를 요구했습니다. 각 원격 사무실 시스템의 플랫폼 운영자는 사전에 대응 계획을 준비했지만 동시 응답 요구의 양이 각 플랫폼 운영자의 기대치를 초과했으며 많은 유형의 온라인 사무실 소프트웨어가 단기적인 "정보 전송 지연"을 경험했습니다. ”, “비디오 정지”, “시스템 충돌 및 종료” 및 기타 오류 [6]. 장애 발생 후 플랫폼 운영자는 플랫폼의 부하 지원 용량과 안정성을 개선하기 위해 네트워크 전류 제한, 서버 확장 등의 조치를 신속하게 취했으며 동시에 장애로 인해 어느 정도 전환이 발생했습니다. 결국 모든 원격 사무실 플랫폼은 짧은 시간 내에 정상 작동을 재개했지만 여전히 많은 사용자로부터 불만을 제기했습니다.

위험 평가:

'사이버보안법'(이하 '사이버보안법') 제22조의 규정에 따라 네트워크 제품 및 서비스는 다음 사항을 준수해야 합니다. 관련 국가 표준의 필수 요구 사항이 필요합니다. 네트워크 제품 및 서비스 제공자는 악성 프로그램을 설치해서는 안 됩니다. 네트워크 제품 및 서비스에 보안 결함, 취약점 및 기타 위험이 있음을 발견한 경우 즉시 개선 조치를 취하고 규정에 따라 즉시 사용자에게 알리고 보고해야 합니다. 관련 관할 당국에. 네트워크 제품 및 서비스 제공자는 자신의 제품 및 서비스에 대한 보안 유지 관리를 계속 제공해야 하며, 규정에 명시되거나 당사자가 합의한 기간 내에 보안 유지 관리 제공을 종료해서는 안 됩니다.

원격 사무실 플랫폼의 운영자는 플랫폼 및 관련 네트워크의 운영자로서 네트워크의 운영 보안에 대한 책임을 져야 한다. 단기적인 시스템 장애에 대해 플랫폼 운영자가 상응하는 법적 책임을 져야 하는지, 계약 위반에 대한 책임을 져야 하는지 여부는 장애의 원인, 장애로 인한 유해한 결과, 책임 규정 등을 종합적으로 판단해야 합니다. 사용자 계약에서.

위 사건의 경우, 공개 채널을 통해 파악한 정보에 따르면, 여러 클라우드 오피스 플랫폼에서 대응 실패가 발생해 원격 근무 시 사용자에게 불편을 끼쳤음에도 불구하고 플랫폼 자체는 노출되지 않았습니다. 보안 결함, 허점 등 명백한 위험이 있으며, 네트워크 데이터 유출 등 실질적인 유해 결과는 없습니다. 따라서 각 플랫폼은 네트워크 보안에 대한 법적 책임을 지지 않을 것입니다.

대응 제안:

전염병이라는 특별한 기간 동안 주류 원격 사무실 플랫폼 제품은 무료이며 개방적입니다. 따라서 각 플랫폼에는 많은 수의 신규 고객이 있을 것입니다. 플랫폼 운영자의 경우, 좋은 비상 계획과 더 나은 사용자 경험은 전염병이 끝난 후에도 플랫폼이 이러한 새로운 사용자 그룹을 유지하는 데 확실히 도움이 될 것입니다.

플랫폼 운영자의 위험을 더욱 줄이고 사용자 경험을 향상시키기 위해 플랫폼 운영자는 다음을 수행할 것을 권장합니다.

사용자 트래픽 급증을 플랫폼 긴급 상황으로 처리하고 이에 따른 비상 계획을 수립합니다. 예를 들어 비상 계획에서는 트래픽 급증 발생 조건, 서버 확장 조건, 임시 백업 서버 구축 등을 명확히 하고,

사용자 트래픽 실시간 모니터링 및 플랫폼 적시 할당 등을 명시한다. 리소스;

시스템 응답 지연 이유와 예상 복구 시간을 사용자에게 즉시 알리기 위해 사용자 알림 메커니즘 및 음성 템플릿을 설정합니다.

사용자 계약 또는 기타 사항에서 이러한 문제를 명확히 하십시오. 시스템 지연 또는 충돌에 대한 책임 규정을 고객과 체결했습니다.

2． 원격 사무실 환경에서는 전염병을 주제로 한 피싱 공격이 자주 발생합니다. 기업에서는 어떻게 외부 네트워크 공격의 위험을 줄일 수 있습니까?

사고 검토:

전염병이 진행되는 동안 한 사이버 보안 회사는 일부 해외 해커 그룹이 코로나바이러스 테마의 이메일을 사용하여 악성 코드, 피싱 및 사기 활동을 보내고 있다는 사실을 발견했습니다. 예를 들어 해커 조직은 국가보건위원회 등 신원을 위장하고 '감염병 예방 및 통제'와 관련된 정보를 미끼로 이용해 피싱 공격을 가한다.

이러한 피싱 이메일 공격은 신뢰할 수 있는 출처를 사칭하고, 이메일의 내용은 일반 대중이 관심을 두고 있는 핫한 사건과 밀접하게 연관되어 있어 매우 기만적입니다. 사용자가 클릭하면 호스트를 제어할 수 있으며 중요한 정보와 시스템을 도난당하거나 파괴할 수 있다[7].

위험 평가:

사이버 보안법 제21조 및 제25조의 규정에 따라 네트워크 운영자는 네트워크 보안 수준 요구 사항에 따라 다음과 같은 보안 보호 의무를 수행해야 합니다. 보호 시스템, 간섭, 파괴 또는 무단 액세스로부터 네트워크를 보호하고 네트워크 데이터의 누출, 도난 또는 변조를 방지합니다. (1) 내부 보안 관리 시스템 및 운영 절차를 개발하고 네트워크 보안 담당자를 식별합니다. (2) 네트워크 보안을 위협하는 컴퓨터 바이러스, 네트워크 공격, 네트워크 침입 및 기타 행위를 방지하기 위한 기술적 조치를 취합니다. (3) 네트워크 운영 상태 및 네트워크 보안 이벤트를 모니터링하고 기록하기 위한 기술적 조치를 취합니다. 규정에 따라 최소 6개월 동안 관련 네트워크 로그를 보관합니다. (4) 데이터 분류, 중요 데이터 백업 및 암호화 등의 조치를 취합니다. (5) 법률 및 행정 규정에서 규정한 기타 의무. 동시에 네트워크 운영자는 네트워크 보안 사고에 대한 비상 계획을 수립하고, 시스템 취약성, 컴퓨터 바이러스, 네트워크 공격, 네트워크 침입 등의 보안 위험에 신속하게 대처하고, 네트워크 보안을 위협하는 사고가 발생하면 즉시 비상 사태를 활성화해야 합니다. 이에 상응하는 개선 조치를 계획하고 취하며, 규정에 따라 관련 관할 당국에 보고합니다.

원격 근무가 실현된다는 것은 기업 인트라넷이 직원의 모바일 단말기에서 외부 네트워크 접속 요청에 응답해야 한다는 의미다. 직원들은 서로 다른 네트워크 보안 환경에 있습니다. 네트워크에 액세스하든 모바일 단말기 자체에 액세스하든 네트워크 공격의 대상이 될 가능성이 높습니다. 한편, 공용 Wi-Fi 및 네트워크 핫스팟과 같은 신뢰할 수 없는 네트워크는 직원을 위한 네트워크 액세스 포인트 역할을 할 수 있습니다. 이러한 네트워크에는 보안 보호 기능이 없으며 쉽게 공격받을 수 있는 일반적인 네트워크 취약점이 많이 포함되어 있어 사이버 범죄 조직이 쉽게 침입할 수 있습니다. 한편, 일부 직원의 모바일 단말 장치에는 악성 프로그램이 포함된 앱이나 네트워크 플러그인이 설치될 수 있으며, 직원이 부주의하게 위장한 피싱 공격 이메일이나 강탈 이메일을 클릭하여 회사 내부 네트워크의 안전을 심각하게 위협할 수도 있습니다. .

컴퓨터 바이러스나 외부 네트워크 공격 등 네트워크 보안 사고가 발생한 경우, 공격을 받는 기업도 피해자임에도 불구하고 기업이 요구하는 사항에 따라 사전에 필요한 기술적 조치를 취하지 않은 경우 사이버 보안법 및 관련 법률에 따라 예방 조치 및 비상 대응 계획으로 인해 네트워크 데이터 유출, 도난 또는 변조가 발생하여 기업 사용자에게 손실이 발생하는 경우 해당 법적 책임을 져야 할 수도 있습니다.

대응 제안:

기업의 경우 '사이버보안법' 및 관련 법률에 규정된 네트워크 보안 의무를 준수하기 위해 기업이 네트워크 보안부터 시작할 것을 권장합니다. 사고 관리 메커니즘, 모바일 단말 장비 보안 및 데이터 전송 보안 수준에서 사무실 네트워크 보안을 검토하고 개선합니다.

(1) 기업은 운영 네트워크의 실제 상황을 기반으로 적절한 정책을 수립해야 합니다. 플랫폼 및 직원의 전반적인 네트워크 보안 인식 다음을 포함하되 이에 국한되지 않는 사이버 보안 사고 관리 메커니즘

데이터 유출을 포함한 사이버 보안 사고에 대한 비상 계획 개발

수립 사이버 보안 사고에 대응하기 위한 조직 구조 및 기술 조치,

최신 피싱 웹사이트 및 강탈 이메일 사고에 대한 실시간 모니터링,

다음을 포함하여 전 직원을 대상으로 효과적인 알림 메커니즘 구축 이메일, 기업 WeChat과 같은 통지 방법에 국한되지 않습니다.

직원에게 적합한 정보 보안 교육 계획을 개발합니다.

직원이 엄격하게 준수하도록 요구하는 적절한 보상 및 처벌 조치를 설정합니다. 회사의 정보보안 정책을 준수합니다.

(2) 기업은 모바일 단말 장비의 보안을 더욱 보장하기 위해 기존 정보 자산을 기반으로 다음 조치를 취해야 합니다.

직원의 권한 수준에 따라 다양한 모바일 단말 장비를 개발합니다. 예를 들어, 보안 관리 계획에 따르면 고위 관리자나 더 높은 데이터베이스 권한을 가진 직원은 회사에서 사무실용으로 구성한 모바일 단말 장치만 사용할 수 있습니다.

사무실용 모바일 단말 장치에 대한 관리 시스템을 개발하고 직원들이 사무실용으로 자신의 모바일 단말 장비를 사용하도록 합니다. 장비를 업무에 가져오기 위한 명확한 관리 요구 사항을 제시합니다.

사무실 전용 모바일 단말 장비의 시스템을 정기적으로 업데이트하고 취약점을 검사합니다.

단말기에서 단말기의 신원을 확인하고, 보안 보호를 실시합니다.

원격 접속 출입구 모니터링에 집중하고, 네트워크 보안 공격이나 바이러스가 의심되는 경우에는 보다 적극적인 보안 분석 전략을 채택합니다. 적시에 예방 조치를 취하고 회사 정보에 ​​적시에 연락해야 합니다. 보안팀

모바일 오피스의 정보 보안 위험에 대해 직원을 대상으로 특별 교육을 실시합니다.

(3) 데이터 전송의 보안을 보장하기 위해 기업이 취할 수 있는 보안 조치는 다음을 포함하지만 이에 국한되지는 않습니다.

HTTPS와 같은 암호화된 전송 방법을 사용하여 데이터 전송의 보안을 보장합니다. 데이터 전송. 모바일 단말과 인트라넷 간의 데이터 상호작용이든, 모바일 단말 간의 데이터 상호작용이든, 전송 중 데이터 유출을 방지하기 위해 데이터 통신 링크에 HTTPS 및 기타 암호화 방법을 채택하는 것이 좋습니다.

가상 사설망(VPN)을 배포하면 직원이 VPN을 통해 인트라넷에 연결할 수 있습니다. 중국에서는 VPN 서비스(특히 국경 간 VPN)가 통신 감독 대상이며, VPN 서비스 자격을 갖춘 회사만이 VPN 서비스를 제공할 수 있다는 점에 주목할 필요가 있습니다. 외국 무역 회사와 다국적 기업이 사무실 사용을 위해 국경 간 네트워킹 전용 회선을 사용해야 하는 경우 해당 통신 사업 라이센스를 보유한 기본 사업자로부터 임대해야 합니다.

3． 내부 직원은 VPN을 통해 회사 인트라넷에 접속해 데이터베이스를 파괴한다. 기업은 어떻게 "내부자"를 방지하고 데이터 보안을 보장해야 합니까?

이벤트 리뷰:

2월 23일 저녁, 위챗(WeChat) 서비스 선두주자인 웨이멍그룹(Weimeng Group)의 SaaS 비즈니스 서비스가 갑자기 장애를 일으키고, 시스템이 다운되면서 생산 환경과 데이터가 심각하게 손상되어 수백만 명의 판매자가 비즈니스를 원활하게 수행할 수 없고 막대한 손실을 입게 되었습니다. 25일 정오 웨이모브가 발표한 성명에 따르면 이번 사고는 인위적 요인에 의해 발생했다. 웨이모브 R&D센터 운영유지관리부서 핵심 운영·유지관리 직원인 그는 회사 인트라넷 스프링보드에 로그인했다. 2월 23일 18시 56분 개인 VPN. 개인의 정신적, 생활적, 기타 이유로 Weimeng 온라인 제작 환경을 악의적으로 파괴했습니다. 현재 그는 상하이 바오산구 공안국에 의해 구금되어 있으며 범죄를 인정했습니다[8]. 데이터베이스의 심각한 손상으로 인해 Weimob은 오랫동안 협력업체에 전자상거래 지원 서비스를 제공할 수 없었습니다. 이번 사고는 협력업체에 직접적인 경제적 손실을 가져올 것입니다. 홍콩 주식시장에 상장된 회사인 웨이멍의 주가도 사고 이후 급락했다.

Weimob 직원 데이터베이스 삭제 사건의 원인 중 하나는 "직원이 운영 및 유지 관리 부서의 핵심 운영 및 유지 관리 직원으로 로그인 한 것"이라는 Weimeng의 발표에서 알 수 있습니다. 개인 VPN을 통해 회사 인트라넷 스프링보드에 접근하고 데이터베이스를 삭제할 수 있는 권한을 갖습니다." 이 사건은 SaaS 서비스 제공업체와 일반 기업 사용자 모두에게 반성과 성찰의 가치가 있습니다.

위험 평가:

사이버 보안법 제21조 및 제25조의 규정에 따라 네트워크 운영자는 네트워크 보안 수준 요구 사항에 따라 다음과 같은 보안 보호 의무를 수행해야 합니다. 보호 시스템, 간섭, 파괴 또는 무단 액세스로부터 네트워크를 보호하고 네트워크 데이터의 누출, 도난 또는 변조를 방지합니다. (1) 내부 보안 관리 시스템 및 운영 절차를 개발하고 네트워크 보안 담당자를 식별합니다. (2) 네트워크 보안을 위협하는 컴퓨터 바이러스, 네트워크 공격, 네트워크 침입 및 기타 행위를 방지하기 위한 기술적 조치를 취합니다. (3) 네트워크 운영 상태 및 네트워크 보안 이벤트를 모니터링하고 기록하기 위한 기술적 조치를 취합니다. 규정에 따라 최소 6개월 동안 관련 네트워크 로그를 보관합니다. (4) 데이터 분류, 중요 데이터 백업 및 암호화 등의 조치를 취합니다. (5) 법률 및 행정 규정에서 규정한 기타 의무.

동시에 네트워크 운영자는 네트워크 보안 사고에 대한 비상 계획을 수립하고, 시스템 취약성, 컴퓨터 바이러스, 네트워크 공격, 네트워크 침입 등의 보안 위험에 신속하게 대처하고, 네트워크 보안을 위협하는 사고가 발생하면 즉시 비상 사태를 활성화해야 합니다. 이에 상응하는 개선 조치를 계획하고 취하며, 규정에 따라 관련 관할 당국에 보고합니다.

내부 직원 유출은 늘 기업 데이터 유출 사고의 주요 원인 중 하나였으며, 현재 '국민 개인정보 침해 범죄'의 전형적인 행동 패턴이기도 하다. 원격 근무 환경에서 기업은 대부분의 직원에게 인트라넷 및 관련 데이터베이스에 대한 액세스를 제공해야 하므로 데이터 유출 또는 심지어 파괴의 위험이 더욱 높아집니다.

이용자 트래픽 급증으로 인한 시스템 '단기 충돌'과 달리 '웨이멍 데이터베이스 삭제' 사건 발생은 회사 내부 정보보안 관리와 직접적인 관련이 있을 수 있다. 플랫폼 내 협력 가맹점이 직접적인 경제적 손실을 입을 경우 플랫폼 운영자가 네트워크 보안과 관련된 법적 책임을 져야 할 수도 있다는 점을 배제할 수 없습니다.

대응 제안:

직원이 회사 데이터를 악의적으로 손상 및 유출하는 것을 효과적으로 방지하고 회사의 데이터 보안을 보장하기 위해 회사는 다음과 같은 예방 조치를 취할 것을 권장합니다.

원격 사무실 또는 모바일 사무실에 대한 관리 시스템을 개발하고, 사무실 전용 모바일 기기와 직원 소유 모바일 기기를 구분하고, 사무실의 읽기 및 쓰기 권한을 엄격하게 관리하는 등 분류된 관리를 수행합니다. 특정 모바일 장치 및 직원 소유 모바일 장치의 시스템 권한, 특히 기업 데이터베이스의 관리 권한;

예를 들어 계층적 데이터 관리 시스템을 구축해야 합니다. 데이터의 민감도. 핵심 데이터베이스에 있는 데이터의 경우 직원은 특정 방식으로 원격으로 로그인하거나 처리하는 것을 금지해야 합니다.

다음을 기준으로 직원의 데이터 액세스 및 처리 권한을 평가, 검토 및 제한해야 합니다. 예를 들어, 직원은 사용자 소유의 모바일 단말기에 데이터를 다운로드하는 것이 금지됩니다.

모니터링 및 보고 메커니즘을 포함하여 데이터 유출에 대한 비상 관리 계획을 수립합니다. 보안 사고 대비 및 보안 사고 대응 계획

원격 근무 운영 사양 개발, 문서 및 자료 사용 관리 사양, 응용 소프트웨어 설치 승인 절차 등

핵심 데이터베이스나 민감한 데이터에 대한 직원의 작업을 실시간 모니터링하고 데이터베이스 보안을 담당할 원격 보안 서비스 기능을 갖춘 팀을 구성하고,

직원의 원격 근무 안전 인식 교육을 강화합니다. .

4． 전염병 기간 동안 기업은 공익을 위해 직원의 전염병 관련 정보를 시스템을 통해 온라인으로 수집해야 합니까? 전염병이 끝난 후 수집된 직원 건강 정보를 어떻게 해야 합니까?

시나리오 예:

원격 근무 중에 회사는 노사 관리를 강화하고 회사 사무실 공간의 건강과 안전을 보장하며 관련 전염병 예방 및 통제 조치를 마련하기 위해 다음을 수행합니다. 직원으로부터 개인 및 가족의 건강 상태, 최근 위치, 현재 주소, 항공편 또는 기차 일정 등 유사한 전염병과 관련된 다양한 정보를 지속적으로 수집합니다. 수집방법에는 ​​이메일, OA시스템 보고, 설문조사 등이 있습니다. 회사는 수집된 정보를 통계화하고 모니터링하며, 필요한 경우 회사 직원의 전반적인 상황을 규제 당국에 보고합니다. 회사는 의심사례가 발견된 경우, 지체 없이 관련 방역당국이나 의료기관에 신고할 것입니다.

위험 평가:

2020년 1월 20일, 신형 코로나바이러스로 인한 폐렴이 '중화인민공화국 전염병 예방 및 통제에 관한 법률'에 포함되었습니다. 국가위생건강위원회 B급 전염병에 대해 규정하고 A급 전염병에 대한 예방 및 통제 조치를 취합니다. '중화인민공화국 전염병 예방 및 통제에 관한 법률' 제31조에서는 모든 단위나 개인이 전염병 환자 또는 의심 환자를 발견한 경우 즉시 인근 질병 예방 통제 기관에 보고해야 한다고 규정하고 있습니다. 기관이나 의료기관.

2월 9일, 중국 사이버 관리국은 '개인정보 보호 및 빅데이터 활용에 관한 공동 예방 및 통제 업무 지원에 관한 고시'(이하 '고시'라 함)를 발표했습니다. 개인 정보 보호는 국무원 위생 부서 외에 "중화인민공화국 사이버 보안법", "중화인민공화국 전염병 예방 및 통제에 관한 법률"에 따라 이루어지며, "공중위생 긴급상황 대응 규정" 》 에서 허가한 기관을 제외하고, 다른 기관이나 개인은 전염병 예방 및 통제 또는 질병 예방 및 통제를 이유로 수집 대상자의 동의 없이 개인정보를 수집하거나 사용할 수 없습니다. . 법률, 행정법규에 별도의 규정이 있는 경우 해당 규정에 따릅니다.

'신종 코로나바이러스 감염 예방 및 통제에 관한 베이징시 인민대표대회 상임위원회'에 따르면, 여러 지역에서도 베이징을 예로 들어 전염병 예방을 위한 규범 문서를 연속적으로 발행했습니다. 《전염병 예방통제》 《항전결단》법에 따라 이 시 행정구역 안의 기관, 기업소, 기관, 사회단체와 기타 조직들은 전염병 예방과 통제사업을 잘 벌려야 한다. 법에 따라 자체 단위를 통제하고 예방 및 통제 업무에 대한 책임 제도와 관리 시스템을 구축 및 개선하며 필요한 보호 장비, 시설을 갖추고 단위 인원의 건강 모니터링을 강화하며 베이징으로 돌아오도록 독려합니다. 심각하게 영향을 받은 지역에서 관련 정부 규정에 따라 의료 관찰 또는 가정 관찰을 받고, 필요한 경우 적시에 비정상적인 상황을 보고하고 상응하는 예방 및 통제 조치를 취합니다. 지방 인민정부의 요구에 따라 우리는 전염병 예방 및 통제 작업에 참여할 인력을 적극적으로 조직했습니다.

'통지'의 조항과 위에서 언급한 법률, 규정 및 규범 문서에 근거하여 우리는 전염병 기간 동안 기업이 '인민공화국 법률'에 따라 중국 전염병 예방 및 통제' 및 '공중 비상' ***보건사고 비상 규정은 국무원 위생 부서의 승인을 받았습니다. 승인 범위 내에서 기업은 관련 건강 정보를 수집할 수 있어야 합니다. 직원의 승인을 얻지 않고 자신의 직원을 전염병에 빠뜨렸습니다. 위의 예외 사항을 충족할 수 없는 경우에도 회사는 사이버 보안법의 조항을 준수하고 수집하기 전에 사용자 승인 및 동의를 얻어야 합니다.

'주의사항'에는 전염병 예방·관리 및 질병 예방·관리를 위해 수집한 개인정보를 다른 목적으로 이용하지 않음을 명확히 규정하고 있습니다. 어떠한 단위나 개인도 공동 방역 업무를 위해 필요한 경우와 탈감작 이후를 제외하고는 이름, 나이, 주민등록번호, 전화번호, 집 주소 등 개인정보를 수집 대상자의 동의 없이 공개할 수 없습니다. 개인정보를 수집 또는 보유하는 기관은 개인정보에 대한 안전성 확보에 대한 책임을 지고, 개인정보가 도난 또는 누출되지 않도록 엄격한 관리 및 기술적 보호조치를 취해야 합니다. 자세한 내용은 최근 기사 "공동 전염병 예방 및 통제 작업을 지원하기 위한 개인정보 보호 및 빅데이터 활용에 관한 중국 사이버 공간 관리국의 고시 해석"을 참조하세요.

대응 제안:

원격 상황 이 기간 동안 기업이 원격 근무 시스템을 통해 전염병과 관련된 직원의 개인정보를 수집하려는 경우 기업은 다음을 수행할 것을 권장합니다.

개인정보 취급방침 또는 사용자 승인 알림 텍스트를 개발하고, 직원이 처음으로 관련 정보를 제출하기 전에 정보를 얻습니다.

최소 필요성의 원칙을 따르고 수집된 정보의 유형, 빈도, 세분성을 포함한 정보 수집 전략을 수립합니다.

목적 제한의 원칙을 따르고, 수집된 정보에 대해 전염병 예방 및 통제를 수행합니다. 관련 개인정보는 회사가 이전에 수집한 직원 정보와 융합되지 않도록 별도로 관리해야 합니다.

회사의 전반적인 건강 상태를 표시하거나 의심 사례를 공개할 때 직원의 관련 정보를 둔감하게 해야 합니다.

예방 및 통제 목적을 충족한 후 관련 직원 정보를 즉시 삭제할 수 있는 정보 삭제 관리 메커니즘을 개발해야 합니다. ;

수집된 직원 전염병 정보를 수집하기 위한 타겟 정보 관리 및 보호 메커니즘을 개발합니다. 관련 개인 정보는 개인의 민감한 정보로 보호되며, 데이터 유출을 방지하기 위해 직원의 접근 권한을 엄격하게 통제합니다.

5. 원격 근무 중에 직원을 효과적으로 감독하고 관리하기 위해 회사는 직원을 적절하게 모니터링하기를 희망합니다. 법적 준수를 어떻게 달성할 수 있습니까?

시나리오 예:

원격 근무 중에 직원을 효과적으로 감독하고 관리하기 위해 회사에서는 정기적인 보고, 로그인, 작업 상태에 대한 비디오 모니터링 등의 조치를 수립했습니다. 상황에 따라 직원들이 주도적으로 협력해야 원격 사무실의 모니터링 목적을 달성할 수 있습니다.

직원들이 보고서를 작성하고 시스템을 통해 체크인할 때 직원의 신원을 확인하기 위해 이름, 전화번호, 이메일 주소, 도시 및 기타 기본 개인 정보를 반복적으로 제출할 가능성이 높습니다.

동시에 원격 OA 시스템이나 앱을 사용할 때 사무실 시스템은 직원의 로그인 로그, IP 주소, 로그인 지리적 위치, 기본 사용자 정보, 일일 커뮤니케이션과 같은 데이터를 자동으로 기록합니다. 정보 및 기타 데이터. 또한 직원이 업무를 수행하기 위해 기업이 할당한 사무실 터미널 장비 또는 원격 터미널 가상 머신 소프트웨어를 사용하는 경우 터미널 장비 및 가상 머신 소프트웨어에는 특정 조건이 충족되면 사전 설치된 모니터링 플러그인 또는 소프트웨어가 있을 수 있습니다. 단말 장비에서의 직원 활동 기록, 인터넷 접속 기록 등이 기록됩니다.

위험 평가:

위 시나리오 예에서 회사는 1) 직원이 적극적으로 제공하는 방법과 2) 사무용 소프트웨어가 자동으로 수집되거나 수집을 시작하는 두 가지 방법을 통해 직원의 개인정보를 수집합니다. , 이는 사이버보안법에 따른 개인정보 수집 행위에 해당합니다. 기업은 사이버 보안법 및 관련 법률과 규정의 요구 사항을 준수하고 적법성, 적법성 및 필요성의 원칙을 따르고 수집 및 사용 규칙을 공개하고 정보 수집 및 사용의 목적, 방법 및 범위를 명확하게 명시하고 동의를 얻어야 합니다. 직원의.

영상 감시 및 시스템 모니터링 소프트웨어나 플러그인을 직원의 사전 승인 없이 부적절하게 사용할 경우 직원의 개인정보가 침해될 가능성이 높으므로 기업은 이에 특별한 주의를 기울여야 합니다.

대응 제안:

원격 근무 중, 특히 직원이 여전히 이 근무 모드에 적응하고 있는 경우, 기업이 각자의 상황에 따라 적절한 감독 및 관리 조치를 취하는 것이 합법적입니다. 섹스. 회사는 관리 및 모니터링 행동의 법적 준수를 보장하기 위해 다음 조치를 취할 것을 권장합니다.

회사의 원래 직원 계약서 또는 직원 개인 정보 수집 승인서가 원격 근무에 대한 모니터링 요구 사항을 충족하는지 평가하고, 승인에 결함이 있는 경우, 승인 알림 텍스트 팝업, 이메일 알림 등을 포함하여 기업의 실제 상황에 따라 보충 승인을 얻는 방법을 설계해야 합니다.

직원 수집을 평가합니다. 수집 필요성에 따라 항목별로 개인정보를 수집합니다. 예를 들어, 정보의 반복 수집 여부, 작동 상태를 영상으로 모니터링할 필요가 있는지, 모니터링 빈도가 적절한지 여부,

시스템 모니터링 소프트웨어 및 플러그에 대한 별도의 정보 수집 전략을 설계합니다. - 직원의 개인 정보 보호를 보장합니다. 보호와 회사 데이터 보안의 균형을 유지합니다.

목적 제한 원칙을 준수하고 수집된 직원 데이터를 직원 승인 없이 업무 모니터링 이외의 목적으로 사용하지 않습니다.

IV. 요약

이번 전염병에서 빅데이터, 인공지능, 클라우드 컴퓨팅, 모바일 인터넷으로 대표되는 디지털 기술은 전염병 예방과 통제에 중요한 역할을 했으며, 또한 원격 사무실 및 온라인 운영과 같은 비즈니스 모델 개발을 더욱 촉진했습니다. 이는 디지털 및 지능적 변혁을 가속화하는 전염병의 결과일 뿐만 아니라 미래의 새로운 생산성과 새로운 개발 방향을 나타냅니다[9]. 이러한 "갑자기 전국적인 재택근무 붐" 이후에는 재택근무와 온라인 운영이 점점 더 대중화될 것이며, 오프라인과 온라인 사무실이 더욱 잘 통합되어 업무 효율성이 진정으로 향상될 것입니다.

국가 거버넌스 시스템과 거버넌스 역량의 현대화를 촉진하기 위해서는 디지털 및 지능형 업그레이드를 가속화하는 것도 시급합니다. 중국 공산당 제19기 중앙위원회 제4차 전체회의에서는 국가 거버넌스 시스템과 거버넌스 역량의 현대화를 촉진하기 위한 주요 조치를 마련하고, 디지털 정부 건설을 촉진하고, 데이터 공유를 강화하며, 구축 및 개선의 필요성을 강조했습니다. 관리 시스템 규칙을 위해 인터넷, 빅데이터, 인공지능 등 기술적 수단을 사용합니다.

디지털 인텔리전스의 발전을 꾸준히 가속화하고 현대 정부 거버넌스 개념에 부합하기 위해 기업은 기존 네트워크 보안 및 데이터 규정 준수 전략을 종합적으로 정리하고 개선하여 새로운 지능형 관리 시대를 준비해야 합니다. .