【51CTO.com原創(chuàng)稿件】2020年開(kāi)年，新型冠狀病毒肺炎疫情讓中國(guó)各行業(yè)企業(yè)陷入了兩難境地：一方面，企業(yè)需要生存，生產(chǎn)復(fù)工不能耽誤;另一方面，疫情之下，要得到有效防控，就要減少人員流動(dòng)和聚集，降低疫情擴(kuò)散風(fēng)險(xiǎn)。

在這一特殊時(shí)期，海量的辦公需求之下，遠(yuǎn)程辦公模式被推到了舞臺(tái)中央。眾多企事業(yè)單位選擇了讓員工居家辦公，遠(yuǎn)程辦公突破了物理空間限制，保證了企業(yè)正常運(yùn)轉(zhuǎn)。然而，與之對(duì)應(yīng)的安全問(wèn)題也緊隨而至。在開(kāi)放VPN，讓員工遠(yuǎn)程辦公之后，企業(yè)如何做到安全風(fēng)險(xiǎn)可控?在被迫遠(yuǎn)程辦公之后，企業(yè)如何快速部署網(wǎng)絡(luò)安全設(shè)備?又如何快速實(shí)現(xiàn)對(duì)已有安全設(shè)備擴(kuò)容?市面上遠(yuǎn)程辦公安全產(chǎn)品琳瑯滿目，企業(yè)如何選擇呢?

近日， 51CTO記者采訪了來(lái)自360、騰訊安全、安恒信息、山石網(wǎng)科、藍(lán)信移動(dòng)的五位安全專(zhuān)家，針對(duì)以上問(wèn)題進(jìn)入了深入溝通。

[[316554]]

疫情之下，遠(yuǎn)程辦公安全威脅升級(jí)

由于物理空間的不可控，相較于傳統(tǒng)企業(yè)信息化辦公而言，遠(yuǎn)程辦公讓企業(yè)面臨更多的信息安全風(fēng)險(xiǎn)。

比如：因疫情防控需要緊急上線的業(yè)務(wù)系統(tǒng)或因工作需要臨時(shí)映射到互聯(lián)網(wǎng)的業(yè)務(wù)系統(tǒng)防護(hù)不當(dāng)，易遭網(wǎng)絡(luò)攻擊;缺少VPN、堡壘機(jī)等基礎(chǔ)安全手段，易產(chǎn)生接入安全和傳輸安全風(fēng)險(xiǎn);為了方便遠(yuǎn)程運(yùn)維而開(kāi)啟服務(wù)器管理端口，導(dǎo)致勒索軟件、蠕蟲(chóng)病毒攻擊風(fēng)險(xiǎn)升級(jí)等等。

甚至有一些攻擊者利用新型冠狀病毒肺炎疫情相關(guān)熱詞開(kāi)展的網(wǎng)絡(luò)攻擊行為，用戶(hù)一旦點(diǎn)擊“冠狀病毒”、“疫情”、“武漢” 等詞匯，病毒被激活后可使電腦聲音被竊聽(tīng)，文件被竊取，以及刪除操作系統(tǒng)核心文件導(dǎo)致無(wú)法開(kāi)機(jī)的嚴(yán)重后果。

對(duì)此，騰訊iOA技術(shù)負(fù)責(zé)人、高級(jí)安全工程師蔡?hào)|赟跟記者分析道：“從終端和鏈路的角度來(lái)看，遠(yuǎn)程辦公中員工訪問(wèn)的身份、設(shè)備、網(wǎng)絡(luò)都是不可控的。從企業(yè)服務(wù)器的角度，遠(yuǎn)程訪問(wèn)時(shí)，企業(yè)服務(wù)暴露在公網(wǎng)上，此時(shí)傳統(tǒng)的安全邊界被打破，防火墻等傳統(tǒng)安全防護(hù)措施難以抵御，可能面臨偽造終端協(xié)議注入或探測(cè)等安全風(fēng)險(xiǎn)。”

安恒信息網(wǎng)絡(luò)安全專(zhuān)家也表示：“遠(yuǎn)程辦公模式需要將前期內(nèi)網(wǎng)的訪問(wèn)權(quán)限向互聯(lián)網(wǎng)開(kāi)放，這增加了遠(yuǎn)程安全運(yùn)維的風(fēng)險(xiǎn)，可能存在權(quán)限控制不足、運(yùn)維鏈路不安全、無(wú)審計(jì)不合規(guī)等風(fēng)險(xiǎn)。”

企業(yè)如何做到遠(yuǎn)程辦公場(chǎng)景下的安全風(fēng)險(xiǎn)可控

面對(duì)嚴(yán)峻的安全風(fēng)險(xiǎn)形勢(shì)，遠(yuǎn)程辦公場(chǎng)景下，尤其為了方便員工遠(yuǎn)程登錄企業(yè)內(nèi)網(wǎng)訪問(wèn)業(yè)務(wù)的辦公需求，在開(kāi)放VPN，讓員工居家遠(yuǎn)程辦公之后，企業(yè)究竟該如何做到安全風(fēng)險(xiǎn)可控呢?

360企業(yè)安全高級(jí)產(chǎn)品經(jīng)理薛歡表示，遠(yuǎn)程VPN接入辦公情況下，企業(yè)仍需對(duì)員工的接入設(shè)備，接入網(wǎng)絡(luò)，及接入業(yè)務(wù)后的操作行為等，進(jìn)行全面嚴(yán)密的風(fēng)險(xiǎn)感知和防御響應(yīng)。此外，業(yè)務(wù)自身的安全性較集中辦公場(chǎng)景下也需要更大的提升，以防止企業(yè)數(shù)據(jù)發(fā)生泄露風(fēng)險(xiǎn)。

他跟記者打了個(gè)打比方：企業(yè)為員工開(kāi)放VPN辦公，好比疫情期間社區(qū)為居民發(fā)放通行證，一人一證，憑證進(jìn)入，但人員的體溫，旅行史這些敏感重要的信息仍需專(zhuān)人專(zhuān)職進(jìn)行嚴(yán)格的采集和把控。”

對(duì)此，藍(lán)信移動(dòng)CTO張庭認(rèn)為，首先企業(yè)應(yīng)確保VPN要按需開(kāi)放，并且實(shí)現(xiàn)動(dòng)態(tài)權(quán)限的管控，避免VPN一撥通就具備所有的內(nèi)網(wǎng)權(quán)限。其次，VPN自身也要有多因子的鑒權(quán)方式，避免單一用戶(hù)名密碼的接入方式。再次，建議以業(yè)務(wù)和VPN結(jié)合的方式，由業(yè)務(wù)來(lái)驅(qū)動(dòng)和控制VPN的鏈路。

針對(duì)遠(yuǎn)程辦公場(chǎng)景下企業(yè)的安全風(fēng)險(xiǎn)防御，山石網(wǎng)科營(yíng)銷(xiāo)資深總監(jiān)賈彬也給出了三點(diǎn)建議：一是，企業(yè)應(yīng)對(duì)內(nèi)部員工增加安全意識(shí)引導(dǎo)和教育。二是，企業(yè)應(yīng)對(duì)內(nèi)部現(xiàn)有安全設(shè)備的安全能力進(jìn)行升級(jí)排查(原來(lái)很多企業(yè)并不具備遠(yuǎn)程訪問(wèn)能力，因此這個(gè)時(shí)期的網(wǎng)絡(luò)訪問(wèn)是之前未經(jīng)歷過(guò)的)。三是，通過(guò)技術(shù)手段對(duì)企業(yè)核心數(shù)據(jù)訪問(wèn)情況做實(shí)時(shí)監(jiān)控。

對(duì)于以上觀點(diǎn)，安恒信息網(wǎng)絡(luò)安全專(zhuān)家也深表認(rèn)同，他指出，訪問(wèn)通道開(kāi)放后，企業(yè)建立安全的傳輸通道和運(yùn)維通道非常關(guān)鍵，建議使用“SSL VPN+堡壘機(jī)”相結(jié)合，保障遠(yuǎn)程接入和遠(yuǎn)程運(yùn)維安全性。另外，建議企業(yè)采用雙因素認(rèn)證和部署強(qiáng)大的端點(diǎn)檢測(cè)和響應(yīng)(EDR)解決方案。前者是當(dāng)前很多組織或企業(yè)進(jìn)行數(shù)據(jù)安全管理的舉措之一，它能夠更好地保護(hù)數(shù)據(jù)或資源安全。后者能夠幫助企業(yè)遠(yuǎn)程防止下一代惡意軟件、數(shù)據(jù)泄漏、快速響應(yīng)威脅，以及自動(dòng)管理軟件部署和補(bǔ)丁。

遠(yuǎn)程辦公下的數(shù)據(jù)安全如何保障

其實(shí)，遠(yuǎn)程訪問(wèn)帶來(lái)的相對(duì)較大的安全問(wèn)題還是數(shù)據(jù)泄露，這是企業(yè)必須重視的。

因?yàn)椋瑔T工使用的是自有終端設(shè)備，暴露在互聯(lián)網(wǎng)上，很容易成為攻擊目標(biāo)。顯然，由于員工利用個(gè)人電腦使用VPN直連公司內(nèi)網(wǎng)，訪問(wèn)內(nèi)網(wǎng)資源，或者使用遠(yuǎn)程桌面方式連接內(nèi)網(wǎng)，都容易發(fā)生機(jī)密信息被外泄的風(fēng)險(xiǎn)，包括機(jī)密文檔下載到私人電腦泄密，截屏或錄屏導(dǎo)致文檔內(nèi)容泄露等等。

那么，在進(jìn)行遠(yuǎn)程維護(hù)和安全管控時(shí)，如何保證企業(yè)數(shù)據(jù)資產(chǎn)安全?

毫無(wú)疑問(wèn)，這需要企業(yè)和員工來(lái)共同守護(hù)。員工應(yīng)該嚴(yán)格遵守規(guī)章制度，提升個(gè)人安全意識(shí)，不亂點(diǎn)亂看，避免一切可能的危險(xiǎn)行為。而企業(yè)則應(yīng)采取一系列安全防護(hù)措施，保護(hù)數(shù)據(jù)資產(chǎn)安全。如果企業(yè)自身防護(hù)能力不足，不妨借助第三方的力量。

這個(gè)觀點(diǎn)得到了山石網(wǎng)科營(yíng)銷(xiāo)資深總監(jiān)賈彬的認(rèn)同，他補(bǔ)充說(shuō)，企業(yè)做好網(wǎng)絡(luò)安全保障和風(fēng)險(xiǎn)監(jiān)控時(shí)，也應(yīng)盡可能不要將數(shù)據(jù)資產(chǎn)下載到本地，數(shù)據(jù)資產(chǎn)一旦脫離公司網(wǎng)絡(luò)的防護(hù)環(huán)境就會(huì)存在泄漏風(fēng)險(xiǎn)。此外，還需部署相關(guān)數(shù)據(jù)防泄漏的安全產(chǎn)品，設(shè)置文檔權(quán)限，禁止截屏、拷貝，增加文檔水印等措施。

“企業(yè)可以基于‘零信任’的安全理念，從以下三方面出發(fā)來(lái)實(shí)現(xiàn)：確保終端和鏈路安全，確保網(wǎng)絡(luò)環(huán)境安全，確保辦公后端系統(tǒng)的安全。”騰訊iOA技術(shù)負(fù)責(zé)人、高級(jí)安全工程師蔡?hào)|赟則表示，近期我們留意到一些地產(chǎn)公司，對(duì)于遠(yuǎn)程辦公，尤其是文檔數(shù)據(jù)防泄露存在較大的需求。同時(shí)，我們也幫助了一些具備一定信息化基礎(chǔ)的互聯(lián)網(wǎng)企業(yè)如游戲公司，接入了騰訊零信任無(wú)邊界訪問(wèn)控制系統(tǒng)(iOA)，解決遠(yuǎn)程辦公中的身份認(rèn)證問(wèn)題，并支持適配企業(yè)微信、自定義等多種認(rèn)證方式，既保障了員工的訪問(wèn)體驗(yàn)，也提升了企業(yè)的安全管理效率。

特殊時(shí)期，企業(yè)應(yīng)如何快速部署網(wǎng)絡(luò)安全設(shè)備

如上所述，面對(duì)安全風(fēng)險(xiǎn)，我們了解了企業(yè)可以采取的一些安全措施。那么，類(lèi)似疫情這種突發(fā)緊急事件的情景下，企業(yè)應(yīng)該如何快速部署網(wǎng)絡(luò)安全設(shè)備?又如何快速實(shí)現(xiàn)對(duì)已有安全設(shè)備擴(kuò)容呢?

“這取決于企業(yè)實(shí)際情況。”騰訊iOA技術(shù)負(fù)責(zé)人、高級(jí)安全工程師表示，如果企業(yè)原本部署了VPN硬件盒子，則需要緊急聯(lián)系供應(yīng)商，寄送硬件設(shè)備進(jìn)行部署和擴(kuò)容;如果企業(yè)已部署服務(wù)器，網(wǎng)絡(luò)安全設(shè)備屬于虛擬化部署，這樣流程會(huì)更快捷。面對(duì)疫情及突發(fā)風(fēng)險(xiǎn)時(shí)期的特殊需要，可以通過(guò)聯(lián)系運(yùn)營(yíng)商采購(gòu)或租用足夠的服務(wù)器，購(gòu)買(mǎi)更大帶寬，在此基礎(chǔ)上進(jìn)行網(wǎng)絡(luò)安全軟件的部署和擴(kuò)容。

山石網(wǎng)科營(yíng)銷(xiāo)資深總監(jiān)賈彬表示，首先，選擇具備本地服務(wù)能力的企業(yè)。這些企業(yè)能夠幫助用戶(hù)快速升級(jí)、部署，并提供有效的現(xiàn)場(chǎng)或遠(yuǎn)程支持。其次，選擇具備在線擴(kuò)展性能的設(shè)備，此類(lèi)設(shè)備通過(guò)安裝license或者在線增加設(shè)備板卡，就能夠提升服務(wù)能力和性能，不會(huì)對(duì)系統(tǒng)訪問(wèn)造成中斷。最后，選擇具備云化訪問(wèn)條件的企業(yè)，可以選擇增加虛擬安全設(shè)備的方式增加系統(tǒng)容量，同時(shí)利用負(fù)載均衡產(chǎn)品來(lái)為安全設(shè)備分擔(dān)流量，避免單臺(tái)設(shè)備訪問(wèn)量過(guò)大。

另外，360企業(yè)安全高級(jí)產(chǎn)品經(jīng)理薛歡建議，企業(yè)應(yīng)優(yōu)先考慮安全服務(wù)商的實(shí)力以及資質(zhì)，然后優(yōu)選可以提供體系化的安全防護(hù)方案，常態(tài)化安全監(jiān)測(cè)方案，以及完備的安全服務(wù)方案的安全服務(wù)廠商。這樣不僅可以減少不同服務(wù)商產(chǎn)品之間可能存在的兼容沖突問(wèn)題，避免產(chǎn)品對(duì)接帶來(lái)的二次開(kāi)發(fā)對(duì)時(shí)間和財(cái)力的消耗，還可以借助該安全廠商在客戶(hù)場(chǎng)景，產(chǎn)品兼容和問(wèn)題定位上的豐富經(jīng)驗(yàn)和獨(dú)特優(yōu)勢(shì)，快速響應(yīng)需求，保障產(chǎn)品品質(zhì)，應(yīng)急處理問(wèn)題。

他們建議這樣選擇遠(yuǎn)程辦公安全解決方案

說(shuō)了這么多，也許有人會(huì)問(wèn)：目前市面上有很多針對(duì)遠(yuǎn)程辦公的安全產(chǎn)品，企業(yè)應(yīng)該如何選擇合適的安全設(shè)備或解決方案?

對(duì)此，騰訊iOA技術(shù)負(fù)責(zé)人、高級(jí)安全工程師蔡?hào)|赟認(rèn)為，首先要明確遠(yuǎn)程辦公時(shí)較為核心的安全問(wèn)題，也就是企業(yè)核心痛點(diǎn)：終端防護(hù)、鏈路保護(hù)、訪問(wèn)控制(包括身份合法性、應(yīng)用合法性、訪問(wèn)權(quán)限管理等)以及數(shù)據(jù)安全。根據(jù)具體情況，企業(yè)應(yīng)盡可能選擇能同時(shí)滿足多個(gè)或全部需求的網(wǎng)絡(luò)安全產(chǎn)品，從而有效提升企業(yè)遠(yuǎn)程辦公安全的防護(hù)效率和質(zhì)量。

360企業(yè)安全高級(jí)產(chǎn)品經(jīng)理薛歡則表示，企業(yè)在選擇時(shí)應(yīng)該考慮三個(gè)關(guān)鍵字：全面、主動(dòng)、動(dòng)態(tài)。首先是全面，遠(yuǎn)程辦公安全解決方案應(yīng)是整體全面的而非單點(diǎn)片面的，需要對(duì)接入的員工身份、設(shè)備、網(wǎng)境、行為、業(yè)務(wù)內(nèi)容等進(jìn)行全面的風(fēng)險(xiǎn)感知和防御;其次是主動(dòng)，方案中應(yīng)涵蓋主動(dòng)感知業(yè)務(wù)風(fēng)險(xiǎn)的能力，被動(dòng)防御、被動(dòng)審計(jì)只是亡羊補(bǔ)牢，只有主動(dòng)發(fā)現(xiàn)風(fēng)險(xiǎn)在哪里才能將防御策略落到實(shí)處，發(fā)揮其真正價(jià)值;再次是動(dòng)態(tài)，方案需要對(duì)辦公安全進(jìn)行動(dòng)態(tài)持續(xù)的安全監(jiān)測(cè)，再加以精細(xì)化的響應(yīng)決策。

目前，以釘釘、藍(lán)信、飛書(shū)為代表的移動(dòng)辦公平臺(tái)已經(jīng)成為眾多企業(yè)青睞的辦公新方式。但是對(duì)于琳瑯滿目的各種辦公平臺(tái)，我們?nèi)绾芜x擇呢?

藍(lán)信移動(dòng) CTO 張庭建議，除了安全性，你還應(yīng)考慮以下三大因素：一是，靈活性。比如是否可以與企業(yè)原有信息化系統(tǒng)順暢打通，實(shí)現(xiàn)數(shù)字化平穩(wěn)升級(jí)，降低改造成本;二是便捷性。各種功能操作是否便捷，以保證企業(yè)高效協(xié)同辦公;三是承載力。對(duì)于中大型企業(yè)來(lái)說(shuō)，承載力是要考慮的因素之一。例如：能否實(shí)現(xiàn)大規(guī)模分級(jí)分權(quán)的組織管理，能否靈活設(shè)置復(fù)雜可見(jiàn)性策略等等。

寫(xiě)在后面

其實(shí)，在這場(chǎng)戰(zhàn)“疫”中，不僅僅是在遠(yuǎn)程辦公安全方面，在網(wǎng)絡(luò)信息安全的各個(gè)方面，以360、騰訊、奇安信、山石網(wǎng)科、安恒信息為代表的安全企業(yè)，都在積極應(yīng)戰(zhàn)，不遺余力的發(fā)揮著自己的作用。

比如：360面向所有企、事業(yè)單位及政府監(jiān)管單位免費(fèi)開(kāi)放360巡天平臺(tái);騰訊安全啟動(dòng)了“網(wǎng)絡(luò)安全護(hù)航計(jì)劃”，面向廣大企業(yè)免費(fèi)開(kāi)放遠(yuǎn)程辦公安全保障服務(wù);山石網(wǎng)科免費(fèi)提供穩(wěn)定安全的虛擬專(zhuān)用網(wǎng)產(chǎn)品、持續(xù)的網(wǎng)絡(luò)安全服務(wù);安恒信息捐贈(zèng)上千臺(tái)(套)網(wǎng)安設(shè)備，持續(xù)保障武漢與全國(guó)醫(yī)療機(jī)構(gòu)網(wǎng)絡(luò)安全……(進(jìn)入《抗疫鏖戰(zhàn)：科技企業(yè)傾力守望相助》專(zhuān)題了解更多)

【51CTO原創(chuàng)稿件，合作站點(diǎn)轉(zhuǎn)載請(qǐng)注明原文作者和出處為51CTO.com】