一、背景

2020年的1月一場疫情的突然來襲，由于病毒傳播的特性，為了避免群體聚集，保障生命安全。遠程辦公就成為了一場如火如荼又勢在必行人人參與的工程。做為一個互聯(lián)網(wǎng)公司的安全人員，我僅從在線會議、即時通信、文檔協(xié)作、遠程運維等典型遠程辦公應(yīng)用場景中存在的主要安全風(fēng)險，從安全管理、安全運維等方面，給出了具體的安全控制措施建議，為遠程辦公安全防護提供參考。

[[322255]]

二、限制和范圍

人員范圍：為普通員工和運維人員、在線運營人員開展安全遠程辦公提供指導(dǎo)。不適合需要硬件維修或人員接觸才能完成的工作。

常見工作模式：

• 系統(tǒng)后臺操作;
• 遠程登錄服務(wù)器運維;
• 文檔/代碼協(xié)作;
• 多方參與的在線會議;
• 即時通信工具。

三、安全風(fēng)險分析

遠程辦公的最大特點及時接入系統(tǒng)和人員物理環(huán)境的不確定性。(第3部分大部分摘自《網(wǎng)絡(luò)安全標(biāo)準(zhǔn)實踐指南—遠程辦公安全防護》)

• 供應(yīng)商安全風(fēng)險。目前，提供遠程辦公系統(tǒng)的供應(yīng)商安全能力參差不齊，部分供應(yīng)商在安全開發(fā)運維、數(shù)據(jù)保護、個人信息保護等方面能力較弱，難以滿足使用方開展安全遠程辦公的要求。這里主要指非自建項目，如OA、在線會議、即時通信、文檔協(xié)助的提供方。
• 遠程辦公系統(tǒng)自身安全風(fēng)險。在線會議、即時通信、文檔協(xié)作等辦公場景下系統(tǒng)安全功能不完備，系統(tǒng)自身的安全漏洞，不合適的安全配置等問題，將直接影響使用方和用戶的遠程辦公安全。
• 數(shù)據(jù)安全風(fēng)險。遠程辦公場景中，通過遠程辦公系統(tǒng)可訪問使用方的數(shù)據(jù)，由于數(shù)據(jù)訪問權(quán)限的不合理設(shè)置、遠程辦公系統(tǒng)自身的安全漏洞、用戶不當(dāng)操作等，可能導(dǎo)致使用方數(shù)據(jù)泄漏。此外，由于遠程辦公系統(tǒng)基于云計算平臺部署，使用方可能失去對數(shù)據(jù)的直接管理和控制能力，存在數(shù)據(jù)被非授權(quán)訪問和使用的風(fēng)險。
• 設(shè)備風(fēng)險。用于遠程辦公的設(shè)備，特別是用戶自有設(shè)備，在接入遠程辦公系統(tǒng)時，由于未安裝或及時更新安全防護軟件，未啟用適當(dāng)?shù)陌踩呗裕恢踩霅阂廛浖仍?，可能將?quán)限濫用、數(shù)據(jù)泄露等風(fēng)險引入使用方內(nèi)部網(wǎng)絡(luò)。
• 個人信息保護風(fēng)險。遠程辦公系統(tǒng)的部分功能(例如，企業(yè)通信錄、健康情況匯總、活動軌跡填報等)，可能收集、存儲用戶的個人信息(例如，姓名、電話、位置信息、***件號碼、生物特征識別數(shù)據(jù)等)，存在被濫采、濫用和泄露的風(fēng)險。
• 網(wǎng)絡(luò)通信風(fēng)險。用戶和遠程辦公系統(tǒng)通常利用公用網(wǎng)絡(luò)進行通信， 存在通信中斷，通信數(shù)據(jù)被篡改、被竊聽的風(fēng)險。同時，遠程辦公系統(tǒng)可能遭受惡意攻擊，導(dǎo)致辦公活動難以進行。
• 環(huán)境風(fēng)險。遠程辦公通常在居家環(huán)境或公共場所進行。居家環(huán)境中，由于家用網(wǎng)絡(luò)設(shè)備安全防護能力和網(wǎng)絡(luò)通信保障能力較弱，存在網(wǎng)絡(luò)入侵和通信中斷風(fēng)險。公共場所中，由于網(wǎng)絡(luò)環(huán)境和人員組成復(fù)雜，存在設(shè)備接入不安全網(wǎng)絡(luò)、數(shù)據(jù)被竊取、設(shè)備丟失或被盜等風(fēng)險。
• 業(yè)務(wù)連續(xù)性風(fēng)險。遠程辦公增加了使用方關(guān)鍵業(yè)務(wù)、高風(fēng)險業(yè)務(wù)的安全風(fēng)險，遠程辦公系統(tǒng)可能由于負載能力、訪問控制措施、容災(zāi)備份、應(yīng)急能力等方面的不足導(dǎo)致業(yè)務(wù)連續(xù)性風(fēng)險。
• 人員風(fēng)險。用戶可能由于安全意識缺失或未嚴格遵守使用方的管理要求，引入安全風(fēng)險，例如，將設(shè)備、賬號與他人共享導(dǎo)致對使用方業(yè)務(wù)系統(tǒng)的惡意攻擊;采用弱口令造成身份仿冒等。

四、安全控制措施

采用零信任框架(英文簡稱：ZTA)可以更好的解決目前大部分企業(yè)所面臨的問題。但是ZTA實施的代價是需要一整套網(wǎng)站體系來進行支持。ZTA是一種端到端的網(wǎng)絡(luò)安全體系，包含身份、憑據(jù)、訪問管理、操作、終端、托管環(huán)境與關(guān)聯(lián)基礎(chǔ)設(shè)施。零信任是一種側(cè)重于數(shù)據(jù)保護的體系結(jié)構(gòu)方法。企業(yè)如果沒有準(zhǔn)備好完整實施ZTA之前可以先簡單的引入ZTA的一部分理念進行自己安全設(shè)計完善響應(yīng)的安全措施。根據(jù)實際情況，我們將不再認可內(nèi)網(wǎng)即是安全的這種錯誤的理念，結(jié)合傳統(tǒng)邊界防護和ZTA資源授權(quán)訪問的理念進行相應(yīng)的控制措施。

1. 遠程辦公需求分析和梳理

不加限制的任意接入，會產(chǎn)生巨大的安全隱患，因此企業(yè)要對業(yè)務(wù)、數(shù)據(jù)、應(yīng)用系統(tǒng)進行安全風(fēng)險分析，明確可用于遠程辦公的業(yè)務(wù)、數(shù)據(jù)和業(yè)務(wù)系統(tǒng)，以及相關(guān)安全需求。哪些系統(tǒng)適合開放互聯(lián)網(wǎng)入口，哪些系統(tǒng)或工作需要接入企業(yè)內(nèi)容才能操作，需要做詳細的梳理。當(dāng)然這個過程中需要考慮行業(yè)的監(jiān)管要求，特別是金融證券、銀行等監(jiān)管是要求系統(tǒng)不能開放互聯(lián)網(wǎng)入口的。

2. 遠程接入的方式選擇

(1) 內(nèi)網(wǎng)接入方案一

通過VPN直接撥入內(nèi)容，但是一旦連入內(nèi)網(wǎng)則繞過了所有的內(nèi)外網(wǎng)隔離，個人機上的桌管軟件就失效了。于是就有了下方的一個解決方案，簡單來說就是先撥上VPN，再上堡壘機訪問自己的工作PC進行內(nèi)網(wǎng)辦公。VPN如果能夠引入雙因素認證將會更有保障(下方圖片由某堡壘機產(chǎn)商提供)

這個方案優(yōu)點是員工所有操作全監(jiān)控全記錄。缺點是通過堡壘機后所有的訪問全都轉(zhuǎn)化為視頻流。幾兆的文本變成了視頻流量，即便有強大的視頻壓縮技術(shù)流量也會翻個5到10倍。人少帶寬大的企業(yè)使用的確不錯，需要大量人員同時接入辦公的公司出口流量就頂不住了，畢竟很少有公司會把公司出口做成互聯(lián)網(wǎng)機房那么大。還有經(jīng)過多層跳轉(zhuǎn)內(nèi)網(wǎng)系統(tǒng)的打開會有明顯的卡頓和操作不便。

(2) 內(nèi)網(wǎng)方案二

使用SSO單點登錄方式，先做身份鑒證。公網(wǎng)系統(tǒng)可采用雙因子認證來確定用戶身份即“你擁有的東西”，以及“你知道的東西”?？刹捎萌缍绦呕蛘Z音驗證碼，電子令牌，軟令牌驗證器等方式來實現(xiàn)?？紤]到成本問題以及高可用來說freeOTP或Google身份驗證器都是不錯的選擇。

通過SSO單點登錄方式，先做身份鑒證，再按照不同的用戶身份分別提供不同的訪問方式。

將內(nèi)網(wǎng)系統(tǒng)做區(qū)分類別：

• 監(jiān)控系統(tǒng)和管理后臺系統(tǒng)，提供互聯(lián)網(wǎng)訪問;
• 存放敏感信息的CRM系統(tǒng)和合同管理系統(tǒng)的訪問，提供VPN登陸受控終端訪問;
• 需要登錄PC桌面的開發(fā)操作或綁定硬件設(shè)備才能行進的操作，提供VPN登陸受控終端訪問;
• 服務(wù)器及網(wǎng)絡(luò)設(shè)備通過VPN撥入，登錄堡壘機進行操作。

堡壘機及VPN應(yīng)具備完善的日志系統(tǒng)，以便后續(xù)回溯操作。在必要是設(shè)置命令屏蔽或雙重授權(quán)才能進行高權(quán)限命令執(zhí)行。

(3) 三方遠程辦公系統(tǒng)的選擇

在選擇供應(yīng)商時，不僅僅是遠程辦公系統(tǒng)，所有的辦公系統(tǒng)都應(yīng)遵循以下原則。

• 供應(yīng)商的安全能力;
• 供應(yīng)商的應(yīng)急響應(yīng)能力;
• 供應(yīng)商的安全信譽;
• 以及供應(yīng)商對系統(tǒng)的安全承諾。

在目前已知的在線會議系統(tǒng)和聊天簽到工具中，騰訊、華為、阿里等大廠商都有不錯的工具可供選擇，目前很多都是免費的，處于搶占市場的環(huán)節(jié)。

(4) 運維管理

應(yīng)有專職的人員或部門負責(zé)安全事務(wù)，實時運維遠程辦公的相關(guān)系統(tǒng)。如果系統(tǒng)較多時應(yīng)該區(qū)分底層運維和應(yīng)用運維，不同系統(tǒng)或業(yè)務(wù)之間的運維也應(yīng)做一定分離。

• 制定操作流程以及巡檢制度，對響應(yīng)的系統(tǒng)、設(shè)備和網(wǎng)絡(luò)進行定期檢查和測試。
• 配置管理、變更管理、數(shù)據(jù)備份策略及測試都應(yīng)形成常態(tài)制度進行操作執(zhí)行。
• 應(yīng)急預(yù)案的編制和演練。
• 三方廠商的接入管理，即供應(yīng)商管理，在必要時允許三方人員接入系統(tǒng)，但保障其行為得到監(jiān)控和必要的授權(quán)。
• 員工操作規(guī)范，如接入設(shè)備的基礎(chǔ)安全維護，接入系統(tǒng)后的正常使用都應(yīng)尊崇企業(yè)的管理制度。

(5) 管理制度

管理制度可以參考ISO27001和等級保護相關(guān)要求依照企業(yè)實際情況來進行制定。相關(guān)參考標(biāo)準(zhǔn)有GB/T 22239 《信息安全技術(shù) 網(wǎng)絡(luò)安全等級保護基本要求》、GB/T 31168 《信息安全技術(shù)云計算服務(wù)安全能力要求》、GB/T 35273《信息安全技術(shù) 個人信息安全規(guī) 范》的相關(guān)要求。

個人操作的終端應(yīng)遵循組織要求，安裝殺毒軟件，定期更新補丁等操作。

其中最為重要的是定期開展遠程辦公安全教育和培訓(xùn)，提升用戶安全意識。

五、監(jiān)控和改進

完善的監(jiān)控能夠幫助企業(yè)盡快發(fā)現(xiàn)存在的不足和漏洞。通過持續(xù)的監(jiān)控和改進才能不斷完善安全防護。如果進行相應(yīng)的監(jiān)控，我們之后進行討論。