㈠ 戴尔bios怎么样设置和进入
戴尔 笔记本 bios设置及戴尔笔记本进入bios的 方法 怎么设置,如何会设置这个很多功能都可以用到了,怎么设置好?下面由我给你做出详细的戴尔bios设置和进入方法介绍!希望对你有帮助!
戴尔bios设置和进入:操作方法
戴尔笔记本进入bios的方法:新版 BIOS 是在Phoniex BIOS的基础上改进而来,相对于其他品牌本本那千篇一律上下菜单式的BIOS,Dell不但加入了完善的硬件诊断系统,在界面易用性上、 说明文 字的详尽程度上也是更胜一筹。开机后,待屏幕上右上角出现提示信息时,可以按F2键直接进入BIOS;也可以按F12进入在引导设备选择菜单,从中选择“BIOS SETUP”进入。
BIOS的界面最上方显示本本的型号,左侧为功能树,右侧为目前状态及说明文字。
界面如此,操作方向也和Windows资源管理器类似:用方向键上下箭头移动光标,用左右箭头展开/折叠子项目,按回车键进入设置,再按回车返回。设置完后按ESC键,选择“Save/Exit”为保存退出,选择“Discard/Exit”为不保存退出。
有个小技巧,按Alt+F可快速恢复出厂设置。
戴尔笔记本bios设置功能介绍:
戴尔bios设置和进入:各设置项详解及设置建议
下面笔者对各项进行详细的介绍,并从个人用户出发,提供一些设置的建议。屏幕上条目的中文含义,我将按显示的顺序从上到下,从左到右的进行解释。
1.1 System Info 查看系统信息
查看本本型号、当前BIOS版本、服务编号、资产编号、所有权编号。
个人用户只会有服务编号,大客户批量购买的机器才会有资产编号(Asset Tag)和所有权编号(Ownership Tag)。
1.2 Processor Info 查看处理器信息
查看本本处理器类型、编号、当前频率、最低频率、最高频率、缓存大小、是否为双核。
Intel 的移动CPU为了省电考虑,会有不同的工作频率,注意这里的频率变化值只是CPU的设计变化值,允不允许变频在Performance→SpeedSetp Enable中设置。
1.3 Memory Info 查看内存信息
查看已经安装的内存数、可用内存数、内存工作频率、是否为双通道、内存类型。
可用内存比安装内存要少是正常的,32位的Windows XP最多管理2G内存。
1.4 Device Info 查看 其它 设备信息
查看主硬盘容量、可拆卸模块、显卡型号、显卡BIOS版本、显存、液晶屏类型、最适分辨率、声卡型号、调制解调器、无线局域网设备、无线广域网设备、蓝牙设备、迅盘模块、电源适配器功率。
可拆卸模块通常显示光驱型号。
1.5 Battery Info 查看电池容量
比较直观的电池容量图。
1.6 Battery Health 查看电池健康状态
电池工作正常时为Normally。
1.7 Date/Time 时间和日期设置
这个不用说了,修改会立即生效。
1.8 Boot Sequence 引导顺序设置
支持磁盘驱动器、硬盘、USB、光驱、网络五种引导方式。
按空格可以禁用某个设备的引导,平时把HDD设置为第一就行了,需要时启动按F12再临时改。
2.1 Integrated NIC 板载集成网卡设置
可将网卡设置为关闭、允许、允许并支持网络引导。
个人用户不需要网络引导,建议设置成允许(Enabled)即可。
2.2 External USB Ports USB端口设置
除非有安全保密的需要,禁用USB口以防止用U盘拷贝资料。否则设置成允许(Enabled),要不然你那么多USB设备插那儿呢?
2.3 Media Card and 1394 读卡器及1394接口
使用磁带式Dv的朋友不多,1394并非必须打开;但有闪存卡的朋友一定不少,还是允许(Enabled)吧。
2.4 SATA Operation 硬盘SATA/AHCI模式设置 (这里关注的朋友比较多)
Windows XP并不支持SATA硬盘,SATA模式是将SATA硬盘映射成IDE模式,这样装XP的时不需要装SATA驱动。AHCI模式则与SATA模式相反,装XP时需要安装SATA驱动,而AHCI模式是打开硬盘的NCQ(原生命令队列)功能的前提条件。
使用XP的朋友,在没有安装SATA驱动之前,不要把改为AHCI模式,否则开机必 蓝屏 。Vista支持AHCI,用Vista的朋友可以改为AHCI模式,以提高硬盘性能。
vostro 1400如何改AHCI
1.先改回ATA
2.安装附件.
3.重启计算机,进入BIOS,修改SATA Operation 为AHCI,保存退出。
4.下载驱动安装http://ftp.us.dell.com/SATA/R154198.EXE
5.OK了
2.5 Mole Bay Device 可拆卸模块设置
设置为Disable可以禁用本本上的可拆卸模块,通常是你的光驱。
2.6 Flash Cache Mole 迅盘模块设置
迅盘(Tubro Memory)技术是利用大容量闪存作为缓冲区,提高磁盘性能以及系统整体性能,需要购买专门的迅盘模块(如图2),才可以实现ReadyBoost和ReadyDrive功能。如有安装了迅盘,就启用(Enalbed)吧。
3.1 Brightness 屏幕亮度调整(使用电池时)
3.2 Brightness (AC) 屏幕亮度调整(使用电源时)
根据自己的使用习惯,在这里设置两种供电模式下,液晶屏的默认亮度。
4.1 Unlock Setup 解锁BIOS
4.2 Admin Password 管理密码设置
4.3 System Password 开机密码设置
4.4 Interanl HDD PW 硬盘密码设置
戴尔bios进入密码是设置:
Dell的本本密码分为三种,管理密码(Admin)、开机密码(System)和硬盘密码(Interanl HDD)。如果设置了管理密码,修改BIOS前,要先在Unlock Setup中输入管理密码解锁BIOS。
戴尔bios设置和进入:三种密码中,管理密码权限最高。需要开机密码和硬盘密码的时候,输入管理密码一样可以通过;清除管理密码时,会同时清除开机密码和硬盘密码。开机密码,默认情况下,仅在开机、唤醒时需要验证。设置了密码的硬盘,不能在其它电脑上读取;并且在默认情况下,只要硬盘通电时(如开机、唤醒),都需要验证硬盘密码。
开机密码和硬盘密码两者作用不同,权限同等,互相不能替代。验证开机密码和硬盘密码的时机,可以在Password Bypass中设置。
建议设置管理密码,对于保存机密数据的硬盘,加上硬盘密码,防止被盗导致数据泄露。开机密码根据需要设置。
4.5 Password Change 开机/硬盘密码修改权限
修改开机/硬盘密码之前,需不需要验证管理密码。改为“Denied”为需要,“Permitted”为不需要。
出于安全考虑,建议改为Denied。
4.6 Password Bypass 免密码验证的时机
不验证开机/硬盘密码的时机。重启时不验证(Reboot Bypass),唤醒时不验证(Resume Bypass),重启和唤醒时都不验证(Reboot & Resume Bypass),若为Off,则都验证。
建议改为Reboot & Resume Bypass,让自己少输入几次密码。
4.7 Wireless Switch Change 无线设备修改权限
修改无线设置时需不需要验证管理密码,Denied为先验证,Permitted为不验证直接修改。
改为Denied更安全。
4.8 Wi-Fi Catcher Change Wi-Fi Catcher技术修改权限
修改Wi-Fi Catcher设置时需不需要验证管理密码,Denied为先验证,Permitted为不验证,改为Denied更安全。
Wi-Fi Catcher是Dell开发的无线信号搜索技术。
4.9 CPU XD Support Cpu内存保护
Windows XP SP2中增加了一项安全新功能-数据执行保护(Date Execution Prevention,DEP),DEP能够对各种程序进行监视,阻止病毒在受保护的内存位置运行有害代码。这里的CPU XD功能是Intel为配合微软的DEP而开发的EDB(Execute Disable Bit,EDB)内存保护技术。建议允许(Enabled)。
4.10 Computrace 被盗追踪服务
支持Computrace的本本,装上Computrace LoJack软件之后,若该本本被盗,上面的Computrace LoJack软件便能自动向Absolute Software公司的监听中心提供该本本的IP地址或者电话号码,这样便可协助警方找回笔记本。Computrace LoJack软件还可自动对硬盘的内容进行删除。可惜的是,这一服务目前只在美国推出。中国大陆销售的本本都不支持此项服务,均为Disable,不能修改。
5.1 Multi Core Support 多核处理器支持
既然你为双核花了钱,为什么不允许(Enabled)它呢?除非你使用Linux之类的非主流系统,对双核处理器存在兼容性问题。单核本本的BIOS不会有这一选项。
5.2 Dynamic Acceleration IDA动态加速支持
即为IDA,为迅驰四代的新技术。对于单线程任务,或者大范围非并行指令的多线程任务,IDA技术能够更好的进行任务的分配,只由一个核心来处理器,从而提高性能,同时其它空闲的核心能够进入休眠状态,降低处理器的耗电,延长续航时间。而当有新的线程进入队列时,休眠的核心就会根据需要开始工作。
除非有兼容性问题,否则允许(Enabled)。
5.3 HDD Acoustic Mode 硬盘噪音控制
设置硬盘是偏重于安静(Quiet)还是偏重于性能(Performance)。如果使用老式硬盘有兼容性问题的话,请选择bypass。
噪音和速度真的不能两全?笔者实测,两种模式下传输速度是不相伯仲,但噪声大小却有较明显的区别,所以推荐设置为安静(Quiet)。
5.4 SpeedSetp Enable SpeedSetp技术设置
Intel的SpeedSetp技术可以根据Cpu的负载情况调整Cpu的工作频率,以达到省电的目的。不设置为允许(Enabled)还叫移动版Cpu么?
6.1 Power Management 电源管理
6.2 Auto On Mode 自动开机模式设置
6.3 Auto On Time 自动开机时间
需要本本自动开机的话,在Auto On Mode中设置成每天(Every Day)或者是周一到周五(Weekdays)自动开机,并在Auto On Time中,设置好开机的时间。
6.4 USB Wake Support USB唤醒支持
把数据保留在内存中,让笔记本进入低功耗等待状态,称为待机。让待机状态本本恢复工作,称为唤醒,Dell本本唤醒的方法是按电源键。
如果你不方便按电源键,想用外接的USB键盘唤醒本本的话,请把此处设置为允许(Enabled)。要注意的是,本本使用电池时,在待机状态下是不会给外接USB设备供电的,外接电源时才能使用USB唤醒。
7.1 Load Defaults 恢复BIOS出厂默认值
BIOS调乱了的话,从这里选择Continue恢复出厂默认值。
7.2 Service Tag 查看服务编码
报修时需要提供给Dell的编码,和System Info看到的一样。
8.1 Adapter Warnings 电源适配器功率警告
Vostro 1400这款本本有集成显卡和独立显卡之分,集成卡的电源功率为65W,独显本本需要用90W的适配器,如果你是独显本本而又插上了65W的电源,开机时机器会给你警告。问题是:谁会给自己的独显本本再买一个不能用的电源呢?所以设置成Off吧。
8.2 Fn Key Emulation Fn键模拟
外接键盘上通常没有Fn键,可以让Scroll Lock来代替Fn的功能。听上去对用户挺贴心的,可是用USB键盘的话,在Windows XP下并不能模拟,只能在Dos这类非ACPI的系统下才行。用PS/2接口的键盘倒是可以在XP下用,不过,Vostro 1400的PS/2接口在那儿?设置为Off吧。
8.3 Fast Boot 加电自检模式选择
本本加电自检有很多步骤,最小模式(Minimal)可以跳过某些步骤加速启动,完全模式(Thorough)则进行完整的自检。建议设置为最小模式,怀疑硬件不稳定时再改为完全模式,自动(Auto)模式不用考虑。
强烈推荐最小模式,减少启动时间。
8.4 Keypad (Embedded) 内置小键盘设置
设置为By Num LK,则按Num LK键,开启内置小键盘,或设置为Fn Key Only,则按Num LK键让灯亮起后,还需要按住Fn键才能使用小键盘。
对于很少使用小键盘的用户,建议为“Fn Key Only”。
8.5 Numlock LED 小键盘灯控制
启动时是否自动开启小键盘灯,建议为“Off”。
8.6 USB Emulation USB引导模拟
想要用USB软驱或者U盘来引导的话,请设置为“Enabled”,否则设置为“Off”。
9.1 Internal Bluetooth 内置蓝牙开关
有蓝牙模块的话,就允许(Enable)吧,想省点电就关掉。
9.2 Internal Wi-Fi 内置无线网卡开关
无线网卡开关。建议为“Enable“,要想省电就关掉。
9.3 Internal Cellular 无线广域网开关
取下本本电池,你可以看到有个SIM卡插槽,这就是Cellular装置,是广域无线上网技术。Cellular装置必须和WWAN(无线广域网)卡配合使用。因此,仅仅插入SIM卡并不能实现无线广域网连接。国内目前不提供3G频段手机接入,国内现在也没有开始销售WWAN。因此这项功能的实现还有待时日。中国目前此项服务,建议关闭。
9.4 Wireless Switch 无线开关信号控制
Vostro 1400机器前部有个无线开关,这里设置此开关控制无线信号类型。Wi-Fi为无线局域网信号,也就是802.11a/b/g、BT为蓝牙信号、Cell为无线广域网信号。建议设为“All“。
9.5 Wi-Fi Catcher Wi-Fi Catcher技术设置
搜索无线信号时,是否使用Wi-Fi Catcher技术,建议设置为Enabled。若设置为”Reset to Basic Mode“,则使用QuickSet软件中的设置。
如果使用Wi-Fi Catcher容易引起假死(笔者就是),那就设置为Off。
㈡ 如何解决企业远程办公网络安全问题
企业远程办公的网络安全常见问题及建议
发表时间:2020-03-06 11:46:28
作者:宁宣凤、吴涵等
来源:金杜研究院
分享到:微信新浪微博QQ空间
当前是新型冠状病毒防控的关键期,举国上下万众一心抗击疫情。为增强防控,自二月初以来,北京、上海、广州、杭州等各大城市政府公开表态或发布通告,企业通过信息技术开展远程协作办公、居家办公[1]。2月19日,工信部发布《关于运用新一代信息技术支撑服务疫情防控和复工复产工作的通知》,面对疫情对中小企业复工复产的严重影响,支持运用云计算大力推动企业上云,重点推行远程办公、居家办公、视频会议、网上培训、协同研发和电子商务等在线工作方式[2]。
面对国家和各地政府的呼吁,全国企业积极响应号召。南方都市报在2月中旬发起的网络调查显示,有47.55%的受访者在家办公或在线上课[3]。面对特殊时期庞大的远程办公需求,远程协作平台也积极承担社会担当,早在1月底,即有17家企业的21款产品宣布对全社会用户或特定机构免费开放其远程写作平台软件[4]。
通过信息技术实现远程办公,无论是网络层、系统层,还是业务数据,都将面临更加复杂的网络安全环境,为平稳有效地实现安全复工复产,降低疫情对企业经营和发展的影响,企业应当结合实际情况,建立或者适当调整相适应的网络与信息安全策略。
一、远程办公系统的类型
随着互联网、云计算和物联网等技术的深入发展,各类企业,尤其是互联网公司、律所等专业服务公司,一直在推动实现企业内部的远程协作办公,尤其是远程会议、文档管理等基础功能应用。从功能类型来看,远程办公系统可分为以下几类:[5]
综合协作工具,即提供一套综合性办公解决方案,功能包括即时通信和多方通信会议、文档协作、任务管理、设计管理等,代表软件企包括企业微信、钉钉、飞书等。
即时通信(即InstantMessaging或IM)和多方通信会议,允许两人或以上通过网络实时传递文字、文件并进行语音、视频通信的工具,代表软件包括Webex、Zoom、Slack、Skype等。
文档协作,可为多人提供文档的云存储和在线共享、修改或审阅功能,代表软件包括腾讯文档、金山文档、印象笔记等。
任务管理,可实现任务流程、考勤管理、人事管理、项目管理、合同管理等企业办公自动化(即OfficeAutomation或OA)功能,代表软件包括Trello、Tower、泛微等。
设计管理,可根据使用者要求,系统地进行设计方面的研究与开发管理活动,如素材、工具、图库的管理,代表软件包括创客贴、Canvas等。
二、远程办公不同模式下的网络安全责任主体
《网络安全法》(“《网安法》”)的主要规制对象是网络运营者,即网络的所有者、管理者和网络服务提供者。网络运营者应当承担《网安法》及其配套法规下的网络运行安全和网络信息安全的责任。
对于远程办公系统而言,不同的系统运营方式下,网络安全责任主体(即网络运营者)存在较大的差异。按照远程办公系统的运营方式划分,企业远程办公系统大致可以分为自有系统、云办公系统和综合型系统三大类。企业应明确区分其与平台运营方的责任界限,以明确判断自身应采取的网络安全措施。
(1)自有系统
此类模式下,企业的远程办公系统部署在自有服务器上,系统由企业自主研发、外包研发或使用第三方企业级软件架构。此类系统开发成本相对较高,但因不存在数据流向第三方服务器,安全风险则较低,常见的企业类型包括国企、银行业等重要行业企业与机构,以及经济能力较强且对安全与隐私有较高要求的大型企业。
无论是否为企业自研系统,由于系统架构完毕后由企业单独所有并自主管理,因此企业构成相关办公系统的网络运营者,承担相应的网络安全责任。
(2)云办公系统
此类办公系统通常为SaaS系统或APP,由平台运营方直接在其控制的服务器上向企业提供注册即用的系统远程协作软件平台或APP服务,供企业用户与个人(员工)用户使用。此类系统构建成本相对经济,但往往只能解决企业的特定类型需求,企业通常没有权限对系统进行开发或修改,而且企业数据存储在第三方服务器。该模式的常见企业类型为相对灵活的中小企业。
由于云办公系统(SaaS或APP)的网络、数据库、应用服务器都由平台运营方运营和管理,因此,云办公系统的运营方构成网络运营者,通常对SaaS和APP的网络运行安全和信息安全负有责任。
实践中,平台运营方会通过用户协议等法律文本,将部分网络安全监管义务以合同约定方式转移给企业用户,如要求企业用户严格遵守账号使用规则,要求企业用户对其及其员工上传到平台的信息内容负责。
(3)综合型系统
此类系统部署在企业自有服务器和第三方服务器上,综合了自有系统和云办公,系统的运营不完全由企业控制,多用于有多地架设本地服务器需求的跨国企业。
云办公系统的供应商和企业本身都可能构成网络运营者,应当以各自运营、管理的网络系统为边界,对各自运营的网络承担相应的网络安全责任。
对于企业而言,为明确其与平台运营方的责任边界,企业应当首先确认哪些“网络”是企业单独所有或管理的。在远程办公场景下,企业应当考虑多类因素综合认定,分析包括但不限于以下:
办公系统的服务器、终端、网络设备是否都由企业及企业员工所有或管理;
企业对企业使用的办公系统是否具有最高管理员权限;
办公系统运行过程中产生的数据是否存储于企业所有或管理的服务器;
企业与平台运营方是否就办公系统或相关数据的权益、管理权有明确的协议约定等。
当然,考虑到系统构建的复杂性与多样性,平台运营方和企业在远程协作办公的综合系统中,可能不免共同管理同一网络系统,双方均就该网络承担作为网络运营者的安全责任。但企业仍应通过合同约定,尽可能固定网络系统中双方各自的管理职责以及网络系统的归属。因此,对于共同管理、运营远程协作办公服务平台的情况下,企业和平台运营方应在用户协议中明确双方就该系统各自管理运营的系统模块、各自对其管理的系统模块的网络安全责任以及该平台的所有权归属。
三、远程办公涉及的网络安全问题及应对建议
下文中,我们将回顾近期远程办公相关的一些网络安全热点事件,就涉及的网络安全问题进行简要的风险评估,并为企业提出初步的应对建议。
1.用户流量激增导致远程办公平台“短时间奔溃”,平台运营方是否需要承担网络运行安全责任?
事件回顾:
2020年2月3日,作为春节假期之后的首个工作日,大部分的企业都要求员工在家办公。尽管各远程办公系统的平台运营方均已经提前做好了应对预案,但是巨量的并发响应需求还是超出了各平台运营商的预期,多类在线办公软件均出现了短时间的“信息发送延迟”、“视频卡顿”、“系统奔溃退出”等故障[6]。在出现故障后,平台运营方迅速采取了网络限流、服务器扩容等措施,提高了平台的运载支撑能力和稳定性,同时故障的出现也产生一定程度的分流。最终,尽管各远程办公平台都在较短的时间内恢复了平台的正常运营,但还是遭到了不少用户的吐槽。
风险评估:
依据《网络安全法》(以下简称《网安法》)第22条的规定,网络产品、服务应当符合相关国家标准的强制性要求。网络产品、服务的提供者不得设置恶意程序;发现其网络产品、服务存在安全缺陷、漏洞等风险时,应当立即采取补救措施,按照规定及时告知用户并向有关主管部门报告。网络产品、服务的提供者应当为其产品、服务持续提供安全维护;在规定或者当事人约定的期限内,不得终止提供安全维护。
远程办公平台的运营方,作为平台及相关网络的运营者,应当对网络的运行安全负责。对于短时间的系统故障,平台运营方是否需要承担相应的法律责任或违约责任,需要结合故障产生的原因、故障产生的危害结果、用户协议中的责任约定等因素来综合判断。
对于上述事件而言,基于我们从公开渠道了解的信息,尽管多个云办公平台出现了响应故障问题,给用户远程办公带来了不便,但平台本身并未暴露出明显的安全缺陷、漏洞等风险,也没有出现网络数据泄露等实质的危害结果,因此,各平台很可能并不会因此而承担网络安全的法律责任。
应对建议:
在疫情的特殊期间,主流的远程办公平台产品均免费开放,因此,各平台都会有大量的新增客户。对于平台运营方而言,良好的应急预案和更好的用户体验,肯定更有利于平台在疫情结束之后留住这些新增的用户群体。
为进一步降低平台运营方的风险,提高用户体验,我们建议平台运营方可以:
将用户流量激增作为平台应急事件处理,制定相应的应急预案,例如,在应急预案中明确流量激增事件的触发条件、服务器扩容的条件、部署临时备用服务器等;
对用户流量实现实时的监测,及时调配平台资源;
建立用户通知机制和话术模板,及时告知用户系统响应延迟的原因及预计恢复的时间等;
在用户协议或与客户签署的其他法律文本中,尝试明确该等系统延迟或奔溃事件的责任安排。
2.在远程办公环境下,以疫情为主题的钓鱼攻击频发,企业如何降低外部网络攻击风险?
事件回顾:
疫情期间,某网络安全公司发现部分境外的黑客组织使用冠状病毒为主题的电子邮件进行恶意软件发送,网络钓鱼和欺诈活动。比如,黑客组织伪装身份(如国家卫健委),以“疫情防控”相关信息为诱饵,发起钓鱼攻击。这些钓鱼邮件攻击冒充可信来源,邮件内容与广大人民群众关注的热点事件密切相关,极具欺骗性。一旦用户点击,可能导致主机被控,重要信息、系统被窃取和破坏[7]。
风险评估:
依据《网安法》第21、25条的规定,网络运营者应当按照网络安全等级保护制度的要求,履行下列安全保护义务,保障网络免受干扰、破坏或者未经授权的访问,防止网络数据泄露或者被窃取、篡改:(1)制定内部安全管理制度和操作规程,确定网络安全负责人,落实网络安全保护责任;(2)采取防范计算机病毒和网络攻击、网络侵入等危害网络安全行为的技术措施;(3)采取监测、记录网络运行状态、网络安全事件的技术措施,并按照规定留存相关的网络日志不少于六个月;(4)采取数据分类、重要数据备份和加密等措施;(5)法律、行政法规规定的其他义务。同时,网络运营者还应当制定网络安全事件应急预案,及时处置系统漏洞、计算机病毒、网络攻击、网络侵入等安全风险;在发生危害网络安全的事件时,立即启动应急预案,采取相应的补救措施,并按照规定向有关主管部门报告。
远程办公的实现,意味着企业内网需要响应员工移动终端的外网接入请求。员工所处的网络安全环境不一,无论是接入网络还是移动终端本身,都更容易成为网络攻击的对象。一方面,公用WiFi、网络热点等不可信的网络都可能作为员工的网络接入点,这些网络可能毫无安全防护,存在很多常见的容易被攻击的网络漏洞,容易成为网络犯罪组织侵入企业内网的中转站;另一方面,部分员工的移动终端设备可能会安装设置恶意程序的APP或网络插件,员工在疏忽的情况下也可能点击伪装的钓鱼攻击邮件或勒索邮件,严重威胁企业内部网络的安全。
在计算机病毒或外部网络攻击等网络安全事件下,被攻击的企业尽管也是受害者,但如果企业没有按照《网安法》及相关法律规定的要求提前采取必要的技术防范措施和应急响应预案,导致网络数据泄露或者被窃取、篡改,给企业的用户造成损失的,很可能依旧需要承担相应的法律责任。
应对建议:
对于企业而言,为遵守《网安法》及相关法律规定的网络安全义务,我们建议,企业可以从网络安全事件管理机制、移动终端设备安全、数据传输安全等层面审查和提升办公网络的安全:
(1)企业应当根据其运营网络或平台的实际情况、员工整体的网络安全意识,制定相适应的网络安全事件管理机制,包括但不限于:
制定包括数据泄露在内的网络安全事件的应急预案;
建立应对网络安全事件的组织机构和技术措施;
实时监测最新的钓鱼网站、勒索邮件事件;
建立有效的与全体员工的通知机制,包括但不限于邮件、企业微信等通告方式;
制定与员工情况相适应的信息安全培训计划;
设置适当的奖惩措施,要求员工严格遵守公司的信息安全策略。
(2)企业应当根据现有的信息资产情况,采取以下措施,进一步保障移动终端设备安全:
根据员工的权限等级,制定不同的移动终端设备安全管理方案,例如,高级管理人员或具有较高数据库权限的人员仅能使用公司配置的办公专用移动终端设备;
制定针对移动终端设备办公的管理制度,对员工使用自带设备进行办公提出明确的管理要求;
定期对办公专用的移动终端设备的系统进行更新、漏洞扫描;
在终端设备上,对终端进行身份准入认证和安全防护;
重点监测远程接入入口,采用更积极的安全分析策略,发现疑似的网络安全攻击或病毒时,应当及时采取防范措施,并及时联系企业的信息安全团队;
就移动办公的信息安全风险,对员工进行专项培训。
(3)保障数据传输安全,企业可以采取的安全措施包括但不限于:
使用HTTPS等加密传输方式,保障数据传输安全。无论是移动终端与内网之间的数据交互,还是移动终端之间的数据交互,都宜对数据通信链路采取HTTPS等加密方式,防止数据在传输中出现泄漏。
部署虚拟专用网络(VPN),员工通过VPN实现内网连接。值得注意的是,在中国,VPN服务(尤其是跨境的VPN)是受到电信监管的,仅有具有VPN服务资质的企业才可以提供VPN服务。外贸企业、跨国企业因办公自用等原因,需要通过专线等方式跨境联网时,应当向持有相应电信业务许可证的基础运营商租用。
3.内部员工通过VPN进入公司内网,破坏数据库。企业应当如何预防“内鬼”,保障数据安全?
事件回顾:
2月23日晚间,微信头部服务提供商微盟集团旗下SaaS业务服务突发故障,系统崩溃,生产环境和数据遭受严重破坏,导致上百万的商户的业务无法顺利开展,遭受重大损失。根据微盟25日中午发出的声明,此次事故系人为造成,微盟研发中心运维部核心运维人员贺某,于2月23日晚18点56分通过个人VPN登入公司内网跳板机,因个人精神、生活等原因对微盟线上生产环境进行恶意破坏。目前,贺某被上海市宝山区公安局刑事拘留,并承认了犯罪事实[8]。由于数据库遭到严重破坏,微盟长时间无法向合作商家提供电商支持服务,此处事故必然给合作商户带来直接的经济损失。作为港股上市的企业,微盟的股价也在事故发生之后大幅下跌。
从微盟的公告可以看出,微盟员工删库事件的一个促成条件是“该员工作为运维部核心运维人员,通过个人VPN登录到了公司内网跳板机,并具有删库的权限”。该事件无论是对SaaS服务商而言,还是对普通的企业用户而言,都值得反思和自省。
风险评估:
依据《网安法》第21、25条的规定,网络运营者应当按照网络安全等级保护制度的要求,履行下列安全保护义务,保障网络免受干扰、破坏或者未经授权的访问,防止网络数据泄露或者被窃取、篡改:(1)制定内部安全管理制度和操作规程,确定网络安全负责人,落实网络安全保护责任;(2)采取防范计算机病毒和网络攻击、网络侵入等危害网络安全行为的技术措施;(3)采取监测、记录网络运行状态、网络安全事件的技术措施,并按照规定留存相关的网络日志不少于六个月;(4)采取数据分类、重要数据备份和加密等措施;(5)法律、行政法规规定的其他义务。同时,网络运营者还应当制定网络安全事件应急预案,及时处置系统漏洞、计算机病毒、网络攻击、网络侵入等安全风险;在发生危害网络安全的事件时,立即启动应急预案,采取相应的补救措施,并按照规定向有关主管部门报告。
内部员工泄密一直是企业数据泄露事故的主要原因之一,也是当前“侵犯公民个人信息犯罪”的典型行为模式。远程办公环境下,企业需要为大部分的员工提供连接内网及相关数据库的访问权限,进一步增大数据泄露甚至被破坏的风险。
与用户流量激增导致的系统“短时间崩溃”不同,“微盟删库”事件的发生可能与企业内部信息安全管理有直接的关系。如果平台内合作商户产生直接经济损失,不排除平台运营者可能需要承担网络安全相关的法律责任。
应对建议:
为有效预防员工恶意破坏、泄露公司数据,保障企业的数据安全,我们建议企业可以采取以下预防措施:
制定远程办公或移动办公的管理制度,区分办公专用移动设备和员工自有移动设备,进行分类管理,包括但不限于严格管理办公专用移动设备的读写权限、员工自有移动设备的系统权限,尤其是企业数据库的管理权限;
建立数据分级管理制度,例如,应当根据数据敏感程度,制定相适应的访问、改写权限,对于核心数据库的数据,应当禁止员工通过远程登录方式进行操作或处理;
根据员工工作需求,依据必要性原则,评估、审核与限制员工的数据访问和处理权限,例如,禁止员工下载数据到任何用户自有的移动终端设备;
建立数据泄露的应急管理方案,包括安全事件的监测和上报机制,安全事件的响应预案;
制定远程办公的操作规范,使用文件和材料的管理规范、应用软件安装的审批流程等;
组建具备远程安全服务能力的团队,负责实时监控员工对核心数据库或敏感数据的操作行为、数据库的安全情况;
加强对员工远程办公安全意识教育。
4.疫情期间,为了公共利益,企业通过系统在线收集员工疫情相关的信息,是否需要取得员工授权?疫情结束之后,应当如何处理收集的员工健康信息?
场景示例:
在远程办公期间,为加强用工管理,确保企业办公场所的健康安全和制定相关疫情防控措施,企业会持续地向员工收集各类疫情相关的信息,包括个人及家庭成员的健康状况、近期所在地区、当前住址、所乘航班或火车班次等信息。收集方式包括邮件、OA系统上报、问卷调查等方式。企业会对收集的信息进行统计和监测,在必要时,向监管部门报告企业员工的整体情况。如发现疑似病例,企业也会及时向相关的疾病预防控制机构或者医疗机构报告。
风险评估:
2020年1月20日,新型冠状病毒感染肺炎被国家卫健委纳入《中华人民共和国传染病防治法》规定的乙类传染病,并采取甲类传染病的预防、控制措施。《中华人民共和国传染病防治法》第三十一条规定,任何单位和个人发现传染病病人或者疑似传染病病人时,应当及时向附近的疾病预防控制机构或者医疗机构报告。
2月9日,中央网信办发布了《关于做好个人信息保护利用大数据支撑联防联控工作的通知》(以下简称《通知》),各地方各部门要高度重视个人信息保护工作,除国务院卫生健康部门依据《中华人民共和国网络安全法》、《中华人民共和国传染病防治法》、《突发公共卫生事件应急条例》授权的机构外,其他任何单位和个人不得以疫情防控、疾病防治为由,未经被收集者同意收集使用个人信息。法律、行政法规另有规定的,按其规定执行。
各地也陆续出台了针对防疫的规范性文件,以北京为例,根据《北京市人民代表大会常务委员会关于依法防控新型冠状病毒感染肺炎疫情坚决打赢疫情防控阻击战的决定》,本市行政区域内的机关、企业事业单位、社会团体和其他组织应当依法做好本单位的疫情防控工作,建立健全防控工作责任制和管理制度,配备必要的防护物品、设施,加强对本单位人员的健康监测,督促从疫情严重地区回京人员按照政府有关规定进行医学观察或者居家观察,发现异常情况按照要求及时报告并采取相应的防控措施。按照属地人民政府的要求,积极组织人员参加疫情防控工作。
依据《通知》及上述法律法规和规范性文件的规定,我们理解,在疫情期间,如果企业依据《中华人民共和国传染病防治法》、《突发公共卫生事件应急条例》获得了国务院卫生健康部门的授权,企业在授权范围内,应当可以收集本单位人员疫情相关的健康信息,而无需取得员工的授权同意。如果不能满足上述例外情形,企业还是应当依照《网安法》的规定,在收集前获得用户的授权同意。
《通知》明确规定,为疫情防控、疾病防治收集的个人信息,不得用于其他用途。任何单位和个人未经被收集者同意,不得公开姓名、年龄、身份证号码、电话号码、家庭住址等个人信息,但因联防联控工作需要,且经过脱敏处理的除外。收集或掌握个人信息的机构要对个人信息的安全保护负责,采取严格的管理和技术防护措施,防止被窃取、被泄露。具体可参考我们近期的文章《解读网信办<关于做好个人信息保护利用大数据支撑防疫联控工作的通知>》
应对建议:
在远程期间,如果企业希望通过远程办公系统收集员工疫情相关的个人信息,我们建议各企业应当:
制定隐私声明或用户授权告知文本,在员工初次提交相关信息前,获得员工的授权同意;
遵循最小必要原则,制定信息收集的策略,包括收集的信息类型、频率和颗粒度;
遵循目的限制原则,对收集的疫情防控相关的个人信息进行区分管理,避免与企业此前收集的员工信息进行融合;
在对外展示企业整体的健康情况时或者披露疑似病例时,对员工的相关信息进行脱敏处理;
制定信息删除管理机制,在满足防控目的之后,及时删除相关的员工信息;
制定针对性的信息管理和保护机制,将收集的员工疫情相关的个人信息,作为个人敏感信息进行保护,严格控制员工的访问权限,防止数据泄露。
5.远程办公期间,为有效监督和管理员工,企业希望对员工进行适当的监测,如何才能做到合法合规?
场景示例:
远程办公期间,为了有效监督和管理员工,企业根据自身情况制定了定时汇报、签到打卡、视频监控工作状态等措施,要求员工主动配合达到远程办公的监测目的。员工通过系统完成汇报、签到打卡时,很可能会反复提交自己的姓名、电话号码、邮箱、所在城市等个人基本信息用于验证员工的身份。
同时,在使用远程OA系统或App时,办公系统也会自动记录员工的登录日志,记录如IP地址、登录地理位置、用户基本信息、日常沟通信息等数据。此外,如果员工使用企业分配的办公终端设备或远程终端虚拟机软件开展工作,终端设备和虚拟机软件中可能预装了监测插件或软件,在满足特定条件的情况下,会记录员工在终端设备的操作行为记录、上网记录等。
风险评估:
上述场景示例中,企业会通过1)员工主动提供和2)办公软件自动或触发式收集两种方式收集员工的个人信息,构成《网安法》下的个人信息收集行为。企业应当根据《网安法》及相关法律法规的要求,遵循合法、正当、必要的原则,公开收集、使用规则,明示收集、使用信息的目的、方式和范围,并获取员工的同意。
对于视频监控以及系统监测软件或插件的使用,如果操作不当,并且没有事先取得员工的授权同意,很可能还会侵犯到员工的隐私,企业应当尤其注意。
应对建议:
远程办公期间,尤其在当前员工还在适应该等工作模式的情形下,企业根据自身情况采取适当的监督和管理措施,具有正当性。我们建议企业可以采取以下措施,以确保管理和监测行为的合法合规:
评估公司原有的员工合同或员工个人信息收集授权书,是否能够满足远程办公的监测要求,如果授权存在瑕疵,应当根据企业的实际情况,设计获取补充授权的方式,包括授权告知文本的弹窗、邮件通告等;
根据收集场景,逐项评估收集员工个人信息的必要性。例如,是否存在重复收集信息的情况,是否有必要通过视频监控工作状态,监控的频率是否恰当;
针对系统监测软件和插件,设计单独的信息收集策略,做好员工隐私保护与公司数据安全的平衡;
遵守目的限制原则,未经员工授权,不得将收集的员工数据用于工作监测以外的其他目的。
四、总结
此次疫情,以大数据、人工智能、云计算、移动互联网为代表的数字科技在疫情防控中发挥了重要作用,也进一步推动了远程办公、线上运营等业务模式的发展。这既是疫情倒逼加快数字化智能化转型的结果,也代表了未来新的生产力和新的发展方向[9]。此次“突发性的全民远程办公热潮”之后,远程办公、线上运营将愈发普及,线下办公和线上办公也将形成更好的统一,真正达到提升工作效率的目的。
加快数字化智能化升级也是推进国家治理体系和治理能力现代化的迫切需要。党的十九届四中全会对推进国家治理体系和治理能力现代化作出重大部署,强调要推进数字政府建设,加强数据共享,建立健全运用互联网、大数据、人工智能等技术手段进行行政管理的制度规则[10]。
为平稳加速推进数字化智能化发展,契合政府现代化治理的理念,企业务必需要全面梳理并完善现有的网络安全与数据合规策略,为迎接新的智能化管理时代做好准备。