一、背景

2020年的1月一場(chǎng)疫情的突然來襲，由于病毒傳播的特性，為了避免群體聚集，保障生命安全。遠(yuǎn)程辦公就成為了一場(chǎng)如火如荼又勢(shì)在必行人人參與的工程。做為一個(gè)互聯(lián)網(wǎng)公司的安全人員，我僅從在線會(huì)議、即時(shí)通信、文檔協(xié)作、遠(yuǎn)程運(yùn)維等典型遠(yuǎn)程辦公應(yīng)用場(chǎng)景中存在的主要安全風(fēng)險(xiǎn)，從安全管理、安全運(yùn)維等方面，給出了具體的安全控制措施建議，為遠(yuǎn)程辦公安全防護(hù)提供參考。

二、限制和范圍

人員范圍

為普通員工和運(yùn)維人員、在線運(yùn)營人員開展安全遠(yuǎn)程辦公提供指導(dǎo)。不適合需要硬件維修或人員接觸才能完成的工作。

常見工作模式

系統(tǒng)后臺(tái)操作；

遠(yuǎn)程登錄服務(wù)器運(yùn)維；

文檔/代碼協(xié)作;

多方參與的在線會(huì)議;

 即時(shí)通信工具。

三、安全風(fēng)險(xiǎn)分析

遠(yuǎn)程辦公的最大特點(diǎn)及時(shí)接入系統(tǒng)和人員物理環(huán)境的不確定性。（第3部分大部分摘自《網(wǎng)絡(luò)安全標(biāo)準(zhǔn)實(shí)踐指南—遠(yuǎn)程辦公安全防護(hù)》）

供應(yīng)商安全風(fēng)險(xiǎn)。目前，提供遠(yuǎn)程辦公系統(tǒng)的供應(yīng)商安全能力參差不齊，部分供應(yīng)商在安全開發(fā)運(yùn)維、數(shù)據(jù)保護(hù)、個(gè)人信息保護(hù)等方面能力較弱，難以滿足使用方開展安全遠(yuǎn)程辦公的要求。這里主要指非自建項(xiàng)目，如OA、在線會(huì)議、即時(shí)通信、文檔協(xié)助的提供方。

遠(yuǎn)程辦公系統(tǒng)自身安全風(fēng)險(xiǎn)。在線會(huì)議、即時(shí)通信、文檔協(xié)作等辦公場(chǎng)景下系統(tǒng)安全功能不完備，系統(tǒng)自身的安全漏洞，不合適的安全配置等問題，將直接影響使用方和用戶的遠(yuǎn)程辦公安全。

數(shù)據(jù)安全風(fēng)險(xiǎn)。遠(yuǎn)程辦公場(chǎng)景中，通過遠(yuǎn)程辦公系統(tǒng)可訪問使用方的數(shù)據(jù)，由于數(shù)據(jù)訪問權(quán)限的不合理設(shè)置、遠(yuǎn)程辦公系統(tǒng)自身的安全漏洞、用戶不當(dāng)操作等，可能導(dǎo)致使用方數(shù)據(jù)泄漏。此外，由于遠(yuǎn)程辦公系統(tǒng)基于云計(jì)算平臺(tái)部署，使用方可能失去對(duì)數(shù)據(jù)的直接管理和控制能力，存在數(shù)據(jù)被非授權(quán)訪問和使用的風(fēng)險(xiǎn)。

設(shè)備風(fēng)險(xiǎn)。用于遠(yuǎn)程辦公的設(shè)備，特別是用戶自有設(shè)備，在接入遠(yuǎn)程辦公系統(tǒng)時(shí)，由于未安裝或及時(shí)更新安全防護(hù)軟件，未啟用適當(dāng)?shù)陌踩呗?，被植入惡意軟件等原因，可能將?quán)限濫用、數(shù)據(jù)泄露等風(fēng)險(xiǎn)引入使用方內(nèi)部網(wǎng)絡(luò)。

個(gè)人信息保護(hù)風(fēng)險(xiǎn)。遠(yuǎn)程辦公系統(tǒng)的部分功能（例如，企業(yè)通信錄、健康情況匯總、活動(dòng)軌跡填報(bào)等），可能收集、存儲(chǔ)用戶的個(gè)人信息（例如，姓名、電話、位置信息、***件號(hào)碼、生物特征識(shí)別數(shù)據(jù)等），存在被濫采、濫用和泄露的風(fēng)險(xiǎn)。

網(wǎng)絡(luò)通信風(fēng)險(xiǎn)。用戶和遠(yuǎn)程辦公系統(tǒng)通常利用公用網(wǎng)絡(luò)進(jìn)行通信， 存在通信中斷，通信數(shù)據(jù)被篡改、被竊聽的風(fēng)險(xiǎn)。同時(shí)，遠(yuǎn)程辦公系統(tǒng)可能遭受惡意攻擊，導(dǎo)致辦公活動(dòng)難以進(jìn)行。

環(huán)境風(fēng)險(xiǎn)。遠(yuǎn)程辦公通常在居家環(huán)境或公共場(chǎng)所進(jìn)行。居家環(huán)境中，由于家用網(wǎng)絡(luò)設(shè)備安全防護(hù)能力和網(wǎng)絡(luò)通信保障能力較弱，存在網(wǎng)絡(luò)入侵和通信中斷風(fēng)險(xiǎn)。公共場(chǎng)所中，由于網(wǎng)絡(luò)環(huán)境和人員組成復(fù)雜，存在設(shè)備接入不安全網(wǎng)絡(luò)、數(shù)據(jù)被竊取、設(shè)備丟失或被盜等風(fēng)險(xiǎn)。

業(yè)務(wù)連續(xù)性風(fēng)險(xiǎn)。遠(yuǎn)程辦公增加了使用方關(guān)鍵業(yè)務(wù)、高風(fēng)險(xiǎn)業(yè)務(wù)的安全風(fēng)險(xiǎn)，遠(yuǎn)程辦公系統(tǒng)可能由于負(fù)載能力、訪問控制措施、容災(zāi)備份、應(yīng)急能力等方面的不足導(dǎo)致業(yè)務(wù)連續(xù)性風(fēng)險(xiǎn)。

人員風(fēng)險(xiǎn)。用戶可能由于安全意識(shí)缺失或未嚴(yán)格遵守使用方的管理要求，引入安全風(fēng)險(xiǎn)，例如，將設(shè)備、賬號(hào)與他人共享導(dǎo)致對(duì)使用方業(yè)務(wù)系統(tǒng)的惡意攻擊；采用弱口令造成身份仿冒等。

四、安全控制措施

采用零信任框架（英文簡(jiǎn)稱：ZTA）可以更好的解決目前大部分企業(yè)所面臨的問題。但是ZTA實(shí)施的代價(jià)是需要一整套網(wǎng)站體系來進(jìn)行支持。ZTA是一種端到端的網(wǎng)絡(luò)安全體系，包含身份、憑據(jù)、訪問管理、操作、終端、托管環(huán)境與關(guān)聯(lián)基礎(chǔ)設(shè)施。零信任是一種側(cè)重于數(shù)據(jù)保護(hù)的體系結(jié)構(gòu)方法。企業(yè)如果沒有準(zhǔn)備好完整實(shí)施ZTA之前可以先簡(jiǎn)單的引入ZTA的一部分理念進(jìn)行自己安全設(shè)計(jì)完善響應(yīng)的安全措施。根據(jù)實(shí)際情況，我們將不再認(rèn)可內(nèi)網(wǎng)即是安全的這種錯(cuò)誤的理念，結(jié)合傳統(tǒng)邊界防護(hù)和ZTA資源授權(quán)訪問的理念進(jìn)行相應(yīng)的控制措施。

4.1.遠(yuǎn)程辦公需求分析和梳理

不加限制的任意接入，會(huì)產(chǎn)生巨大的安全隱患，因此企業(yè)要對(duì)業(yè)務(wù)、數(shù)據(jù)、應(yīng)用系統(tǒng)進(jìn)行安全風(fēng)險(xiǎn)分析，明確可用于遠(yuǎn)程辦公的業(yè)務(wù)、數(shù)據(jù)和業(yè)務(wù)系統(tǒng)，以及相關(guān)安全需求。哪些系統(tǒng)適合開放互聯(lián)網(wǎng)入口，哪些系統(tǒng)或工作需要接入企業(yè)內(nèi)容才能操作，需要做詳細(xì)的梳理。當(dāng)然這個(gè)過程中需要考慮行業(yè)的監(jiān)管要求，特別是金融證券、銀行等監(jiān)管是要求系統(tǒng)不能開放互聯(lián)網(wǎng)入口的。

4.2.遠(yuǎn)程接入的方式選擇

4.2.1. 內(nèi)網(wǎng)接入方案一

通過VPN直接撥入內(nèi)容，但是一旦連入內(nèi)網(wǎng)則繞過了所有的內(nèi)外網(wǎng)隔離，個(gè)人機(jī)上的桌管軟件就失效了。于是就有了下方的一個(gè)解決方案，簡(jiǎn)單來說就是先撥上VPN，再上堡壘機(jī)訪問自己的工作PC進(jìn)行內(nèi)網(wǎng)辦公。VPN如果能夠引入雙因素認(rèn)證將會(huì)更有保障（下方圖片由某堡壘機(jī)產(chǎn)商提供）

這個(gè)方案優(yōu)點(diǎn)是員工所有操作全監(jiān)控全記錄。缺點(diǎn)是通過堡壘機(jī)后所有的訪問全都轉(zhuǎn)化為視頻流。幾兆的文本變成了視頻流量，即便有強(qiáng)大的視頻壓縮技術(shù)流量也會(huì)翻個(gè)5到10倍。人少帶寬大的企業(yè)使用的確不錯(cuò)，需要大量人員同時(shí)接入辦公的公司出口流量就頂不住了，畢竟很少有公司會(huì)把公司出口做成互聯(lián)網(wǎng)機(jī)房那么大。還有經(jīng)過多層跳轉(zhuǎn)內(nèi)網(wǎng)系統(tǒng)的打開會(huì)有明顯的卡頓和操作不便。

4.2.2. 內(nèi)網(wǎng)方案二

使用SSO單點(diǎn)登錄方式，先做身份鑒證。公網(wǎng)系統(tǒng)可采用雙因子認(rèn)證來確定用戶身份即“你擁有的東西”，以及“你知道的東西”?？刹捎萌缍绦呕蛘Z音驗(yàn)證碼，電子令牌，軟令牌驗(yàn)證器等方式來實(shí)現(xiàn)?？紤]到成本問題以及高可用來說freeOTP或Google身份驗(yàn)證器都是不錯(cuò)的選擇。

通過SSO單點(diǎn)登錄方式，先做身份鑒證，再按照不同的用戶身份分別提供不同的訪問方式。

將內(nèi)網(wǎng)系統(tǒng)做區(qū)分類別：

監(jiān)控系統(tǒng)和管理后臺(tái)系統(tǒng)，提供互聯(lián)網(wǎng)訪問；

存放敏感信息的CRM系統(tǒng)和合同管理系統(tǒng)的訪問，提供VPN登陸受控終端訪問；

需要登錄PC桌面的開發(fā)操作或綁定硬件設(shè)備才能行進(jìn)的操作，提供VPN登陸受控終端訪問；

服務(wù)器及網(wǎng)絡(luò)設(shè)備通過VPN撥入，登錄堡壘機(jī)進(jìn)行操作。

堡壘機(jī)及VPN應(yīng)具備完善的日志系統(tǒng)，以便后續(xù)回溯操作。在必要是設(shè)置命令屏蔽或雙重授權(quán)才能進(jìn)行高權(quán)限命令執(zhí)行。

4.3.三方遠(yuǎn)程辦公系統(tǒng)的選擇

在選擇供應(yīng)商時(shí)，不僅僅是遠(yuǎn)程辦公系統(tǒng)，所有的辦公系統(tǒng)都應(yīng)遵循以下原則。

供應(yīng)商的安全能力；

供應(yīng)商的應(yīng)急響應(yīng)能力；

供應(yīng)商的安全信譽(yù)；

以及供應(yīng)商對(duì)系統(tǒng)的安全承諾。

在目前已知的在線會(huì)議系統(tǒng)和聊天簽到工具中，騰訊、華為、阿里等大廠商都有不錯(cuò)的工具可供選擇，目前很多都是免費(fèi)的，處于搶占市場(chǎng)的環(huán)節(jié)。

4.4.運(yùn)維管理

應(yīng)有專職的人員或部門負(fù)責(zé)安全事務(wù)，實(shí)時(shí)運(yùn)維遠(yuǎn)程辦公的相關(guān)系統(tǒng)。如果系統(tǒng)較多時(shí)應(yīng)該區(qū)分底層運(yùn)維和應(yīng)用運(yùn)維，不同系統(tǒng)或業(yè)務(wù)之間的運(yùn)維也應(yīng)做一定分離。

制定操作流程以及巡檢制度，對(duì)響應(yīng)的系統(tǒng)、設(shè)備和網(wǎng)絡(luò)進(jìn)行定期檢查和測(cè)試。

配置管理、變更管理、數(shù)據(jù)備份策略及測(cè)試都應(yīng)形成常態(tài)制度進(jìn)行操作執(zhí)行。

應(yīng)急預(yù)案的編制和演練。

三方廠商的接入管理，即供應(yīng)商管理，在必要時(shí)允許三方人員接入系統(tǒng)，但保障其行為得到監(jiān)控和必要的授權(quán)。

員工操作規(guī)范，如接入設(shè)備的基礎(chǔ)安全維護(hù)，接入系統(tǒng)后的正常使用都應(yīng)尊崇企業(yè)的管理制度。

4.5.管理制度

管理制度可以參考ISO27001和等級(jí)保護(hù)相關(guān)要求依照企業(yè)實(shí)際情況來進(jìn)行制定。相關(guān)參考標(biāo)準(zhǔn)有GB/T 22239 《信息安全技術(shù) 網(wǎng)絡(luò)安全等級(jí)保護(hù)基本要求》、GB/T 31168 《信息安全技術(shù)云計(jì)算服務(wù)安全能力要求》、GB/T 35273《信息安全技術(shù) 個(gè)人信息安全規(guī) 范》的相關(guān)要求。

個(gè)人操作的終端應(yīng)遵循組織要求，安裝殺毒軟件，定期更新補(bǔ)丁等操作。

其中最為重要的是定期開展遠(yuǎn)程辦公安全教育和培訓(xùn)，提升用戶安全意識(shí)。

五、監(jiān)控和改進(jìn)

完善的監(jiān)控能夠幫助企業(yè)盡快發(fā)現(xiàn)存在的不足和漏洞。通過持續(xù)的監(jiān)控和改進(jìn)才能不斷完善安全防護(hù)。如果進(jìn)行相應(yīng)的監(jiān)控，我們之后進(jìn)行討論。