【51CTO.com原創(chuàng)稿件】2020年開年，新型冠狀病毒肺炎疫情讓中國各行業(yè)企業(yè)陷入了兩難境地：一方面，企業(yè)需要生存，生產復工不能耽誤;另一方面，疫情之下，要得到有效防控，就要減少人員流動和聚集，降低疫情擴散風險。

在這一特殊時期，海量的辦公需求之下，遠程辦公模式被推到了舞臺中央。眾多企事業(yè)單位選擇了讓員工居家辦公，遠程辦公突破了物理空間限制，保證了企業(yè)正常運轉。然而，與之對應的安全問題也緊隨而至。在開放VPN，讓員工遠程辦公之后，企業(yè)如何做到安全風險可控?在被迫遠程辦公之后，企業(yè)如何快速部署網絡安全設備?又如何快速實現對已有安全設備擴容?市面上遠程辦公安全產品琳瑯滿目，企業(yè)如何選擇呢?

近日， 51CTO記者采訪了來自360、騰訊安全、安恒信息、山石網科、藍信移動的五位安全專家，針對以上問題進入了深入溝通。

[[316554]]

疫情之下，遠程辦公安全威脅升級

由于物理空間的不可控，相較于傳統(tǒng)企業(yè)信息化辦公而言，遠程辦公讓企業(yè)面臨更多的信息安全風險。

比如：因疫情防控需要緊急上線的業(yè)務系統(tǒng)或因工作需要臨時映射到互聯網的業(yè)務系統(tǒng)防護不當，易遭網絡攻擊;缺少VPN、堡壘機等基礎安全手段，易產生接入安全和傳輸安全風險;為了方便遠程運維而開啟服務器管理端口，導致勒索軟件、蠕蟲病毒攻擊風險升級等等。

甚至有一些攻擊者利用新型冠狀病毒肺炎疫情相關熱詞開展的網絡攻擊行為，用戶一旦點擊“冠狀病毒”、“疫情”、“武漢” 等詞匯，病毒被激活后可使電腦聲音被竊聽，文件被竊取，以及刪除操作系統(tǒng)核心文件導致無法開機的嚴重后果。

對此，騰訊iOA技術負責人、高級安全工程師蔡東赟跟記者分析道：“從終端和鏈路的角度來看，遠程辦公中員工訪問的身份、設備、網絡都是不可控的。從企業(yè)服務器的角度，遠程訪問時，企業(yè)服務暴露在公網上，此時傳統(tǒng)的安全邊界被打破，防火墻等傳統(tǒng)安全防護措施難以抵御，可能面臨偽造終端協議注入或探測等安全風險。”

安恒信息網絡安全專家也表示：“遠程辦公模式需要將前期內網的訪問權限向互聯網開放，這增加了遠程安全運維的風險，可能存在權限控制不足、運維鏈路不安全、無審計不合規(guī)等風險。”

企業(yè)如何做到遠程辦公場景下的安全風險可控

面對嚴峻的安全風險形勢，遠程辦公場景下，尤其為了方便員工遠程登錄企業(yè)內網訪問業(yè)務的辦公需求，在開放VPN，讓員工居家遠程辦公之后，企業(yè)究竟該如何做到安全風險可控呢?

360企業(yè)安全高級產品經理薛歡表示，遠程VPN接入辦公情況下，企業(yè)仍需對員工的接入設備，接入網絡，及接入業(yè)務后的操作行為等，進行全面嚴密的風險感知和防御響應。此外，業(yè)務自身的安全性較集中辦公場景下也需要更大的提升，以防止企業(yè)數據發(fā)生泄露風險。

他跟記者打了個打比方：企業(yè)為員工開放VPN辦公，好比疫情期間社區(qū)為居民發(fā)放通行證，一人一證，憑證進入，但人員的體溫，旅行史這些敏感重要的信息仍需專人專職進行嚴格的采集和把控。”

對此，藍信移動CTO張庭認為，首先企業(yè)應確保VPN要按需開放，并且實現動態(tài)權限的管控，避免VPN一撥通就具備所有的內網權限。其次，VPN自身也要有多因子的鑒權方式，避免單一用戶名密碼的接入方式。再次，建議以業(yè)務和VPN結合的方式，由業(yè)務來驅動和控制VPN的鏈路。

針對遠程辦公場景下企業(yè)的安全風險防御，山石網科營銷資深總監(jiān)賈彬也給出了三點建議：一是，企業(yè)應對內部員工增加安全意識引導和教育。二是，企業(yè)應對內部現有安全設備的安全能力進行升級排查(原來很多企業(yè)并不具備遠程訪問能力，因此這個時期的網絡訪問是之前未經歷過的)。三是，通過技術手段對企業(yè)核心數據訪問情況做實時監(jiān)控。

對于以上觀點，安恒信息網絡安全專家也深表認同，他指出，訪問通道開放后，企業(yè)建立安全的傳輸通道和運維通道非常關鍵，建議使用“SSL VPN+堡壘機”相結合，保障遠程接入和遠程運維安全性。另外，建議企業(yè)采用雙因素認證和部署強大的端點檢測和響應(EDR)解決方案。前者是當前很多組織或企業(yè)進行數據安全管理的舉措之一，它能夠更好地保護數據或資源安全。后者能夠幫助企業(yè)遠程防止下一代惡意軟件、數據泄漏、快速響應威脅，以及自動管理軟件部署和補丁。

遠程辦公下的數據安全如何保障

其實，遠程訪問帶來的相對較大的安全問題還是數據泄露，這是企業(yè)必須重視的。

因為，員工使用的是自有終端設備，暴露在互聯網上，很容易成為攻擊目標。顯然，由于員工利用個人電腦使用VPN直連公司內網，訪問內網資源，或者使用遠程桌面方式連接內網，都容易發(fā)生機密信息被外泄的風險，包括機密文檔下載到私人電腦泄密，截屏或錄屏導致文檔內容泄露等等。

那么，在進行遠程維護和安全管控時，如何保證企業(yè)數據資產安全?

毫無疑問，這需要企業(yè)和員工來共同守護。員工應該嚴格遵守規(guī)章制度，提升個人安全意識，不亂點亂看，避免一切可能的危險行為。而企業(yè)則應采取一系列安全防護措施，保護數據資產安全。如果企業(yè)自身防護能力不足，不妨借助第三方的力量。

這個觀點得到了山石網科營銷資深總監(jiān)賈彬的認同，他補充說，企業(yè)做好網絡安全保障和風險監(jiān)控時，也應盡可能不要將數據資產下載到本地，數據資產一旦脫離公司網絡的防護環(huán)境就會存在泄漏風險。此外，還需部署相關數據防泄漏的安全產品，設置文檔權限，禁止截屏、拷貝，增加文檔水印等措施。

“企業(yè)可以基于‘零信任’的安全理念，從以下三方面出發(fā)來實現：確保終端和鏈路安全，確保網絡環(huán)境安全，確保辦公后端系統(tǒng)的安全。”騰訊iOA技術負責人、高級安全工程師蔡東赟則表示，近期我們留意到一些地產公司，對于遠程辦公，尤其是文檔數據防泄露存在較大的需求。同時，我們也幫助了一些具備一定信息化基礎的互聯網企業(yè)如游戲公司，接入了騰訊零信任無邊界訪問控制系統(tǒng)(iOA)，解決遠程辦公中的身份認證問題，并支持適配企業(yè)微信、自定義等多種認證方式，既保障了員工的訪問體驗，也提升了企業(yè)的安全管理效率。

特殊時期，企業(yè)應如何快速部署網絡安全設備

如上所述，面對安全風險，我們了解了企業(yè)可以采取的一些安全措施。那么，類似疫情這種突發(fā)緊急事件的情景下，企業(yè)應該如何快速部署網絡安全設備?又如何快速實現對已有安全設備擴容呢?

“這取決于企業(yè)實際情況。”騰訊iOA技術負責人、高級安全工程師表示，如果企業(yè)原本部署了VPN硬件盒子，則需要緊急聯系供應商，寄送硬件設備進行部署和擴容;如果企業(yè)已部署服務器，網絡安全設備屬于虛擬化部署，這樣流程會更快捷。面對疫情及突發(fā)風險時期的特殊需要，可以通過聯系運營商采購或租用足夠的服務器，購買更大帶寬，在此基礎上進行網絡安全軟件的部署和擴容。

山石網科營銷資深總監(jiān)賈彬表示，首先，選擇具備本地服務能力的企業(yè)。這些企業(yè)能夠幫助用戶快速升級、部署，并提供有效的現場或遠程支持。其次，選擇具備在線擴展性能的設備，此類設備通過安裝license或者在線增加設備板卡，就能夠提升服務能力和性能，不會對系統(tǒng)訪問造成中斷。最后，選擇具備云化訪問條件的企業(yè)，可以選擇增加虛擬安全設備的方式增加系統(tǒng)容量，同時利用負載均衡產品來為安全設備分擔流量，避免單臺設備訪問量過大。

另外，360企業(yè)安全高級產品經理薛歡建議，企業(yè)應優(yōu)先考慮安全服務商的實力以及資質，然后優(yōu)選可以提供體系化的安全防護方案，常態(tài)化安全監(jiān)測方案，以及完備的安全服務方案的安全服務廠商。這樣不僅可以減少不同服務商產品之間可能存在的兼容沖突問題，避免產品對接帶來的二次開發(fā)對時間和財力的消耗，還可以借助該安全廠商在客戶場景，產品兼容和問題定位上的豐富經驗和獨特優(yōu)勢，快速響應需求，保障產品品質，應急處理問題。

他們建議這樣選擇遠程辦公安全解決方案

說了這么多，也許有人會問：目前市面上有很多針對遠程辦公的安全產品，企業(yè)應該如何選擇合適的安全設備或解決方案?

對此，騰訊iOA技術負責人、高級安全工程師蔡東赟認為，首先要明確遠程辦公時較為核心的安全問題，也就是企業(yè)核心痛點：終端防護、鏈路保護、訪問控制(包括身份合法性、應用合法性、訪問權限管理等)以及數據安全。根據具體情況，企業(yè)應盡可能選擇能同時滿足多個或全部需求的網絡安全產品，從而有效提升企業(yè)遠程辦公安全的防護效率和質量。

360企業(yè)安全高級產品經理薛歡則表示，企業(yè)在選擇時應該考慮三個關鍵字：全面、主動、動態(tài)。首先是全面，遠程辦公安全解決方案應是整體全面的而非單點片面的，需要對接入的員工身份、設備、網境、行為、業(yè)務內容等進行全面的風險感知和防御;其次是主動，方案中應涵蓋主動感知業(yè)務風險的能力，被動防御、被動審計只是亡羊補牢，只有主動發(fā)現風險在哪里才能將防御策略落到實處，發(fā)揮其真正價值;再次是動態(tài)，方案需要對辦公安全進行動態(tài)持續(xù)的安全監(jiān)測，再加以精細化的響應決策。

目前，以釘釘、藍信、飛書為代表的移動辦公平臺已經成為眾多企業(yè)青睞的辦公新方式。但是對于琳瑯滿目的各種辦公平臺，我們如何選擇呢?

藍信移動 CTO 張庭建議，除了安全性，你還應考慮以下三大因素：一是，靈活性。比如是否可以與企業(yè)原有信息化系統(tǒng)順暢打通，實現數字化平穩(wěn)升級，降低改造成本;二是便捷性。各種功能操作是否便捷，以保證企業(yè)高效協同辦公;三是承載力。對于中大型企業(yè)來說，承載力是要考慮的因素之一。例如：能否實現大規(guī)模分級分權的組織管理，能否靈活設置復雜可見性策略等等。

寫在后面

其實，在這場戰(zhàn)“疫”中，不僅僅是在遠程辦公安全方面，在網絡信息安全的各個方面，以360、騰訊、奇安信、山石網科、安恒信息為代表的安全企業(yè)，都在積極應戰(zhàn)，不遺余力的發(fā)揮著自己的作用。

比如：360面向所有企、事業(yè)單位及政府監(jiān)管單位免費開放360巡天平臺;騰訊安全啟動了“網絡安全護航計劃”，面向廣大企業(yè)免費開放遠程辦公安全保障服務;山石網科免費提供穩(wěn)定安全的虛擬專用網產品、持續(xù)的網絡安全服務;安恒信息捐贈上千臺(套)網安設備，持續(xù)保障武漢與全國醫(yī)療機構網絡安全……(進入《抗疫鏖戰(zhàn)：科技企業(yè)傾力守望相助》專題了解更多)

【51CTO原創(chuàng)稿件，合作站點轉載請注明原文作者和出處為51CTO.com】