產業安全專家談丨遠端辦公背後，企業如何通過“零信任”保障辦公安全？

疫情隔離的需求促使遠端辦公成為很多企業復工的主要方式。大量企業員工使用私人裝置，通過家中的WiFi熱點訪問企業內部系統，身份、終端、網路、應用等多方面的不確定性，使得企業資訊保安面臨嚴峻挑戰。

與此同時，網路黑客也在蠢蠢欲動。自新冠肺炎病毒疫情爆發以來，借“疫情防控指南”、“健康資訊收集表”等題材大肆傳播的木馬病毒、網路攻擊也來勢洶洶。

當終端數量日益增多，網路環境以及內部架構不斷升級和複雜化，企業的網路安全邊界正日漸瓦解，傳統的基於邊界的安全防護體系已開始失效。不信任網路內部和外部的任何人/裝置/系統，基於認證和授權重構訪問控制的“零信任”架構，成為全球主流的網路安全框架之一。

以“零信任”原則換取系統的“可信安全”，是護航遠端辦公安全的前提。那麼，遠端辦公場景下，如何高效安全地訪問內網？如何防止財務、程式碼庫等敏感資訊外洩？如何保障個人PC與移動終端裝置“零信任”安全接入？騰訊安全聯合雲+社群打造的「產業安全專家談」第十二期，邀請到騰訊iOA技術負責人、高階安全工程師蔡東贇，為大家解答以上問題。

蔡東贇，騰訊高階安全工程師，騰訊無邊界訪問控制系統（iOA）技術架構負責人。9年資訊保安領域從業經驗，主導參與桌面UI框架和伺服器類開源專案，擁有資訊保安方向產品自主研發專利26項。

蔡東贇：遠端辦公由於物理空間不可控，從而衍生一系列的安全風險。具體而言，主要表現在終端、鏈路以及企業伺服器三個方面：

• 從終端和鏈路的角度來看，遠端辦公中員工訪問的身份、裝置、網路都是不可控的：訪問者的身份不明，可能被簡單侵入訪問竊取機密；終端沒有安裝防毒軟體，存在高危安全漏洞；發起訪問的應用是否存在供應鏈利用的問題，如使用帶有問題的xshell版本；終端的網路安全環境不確定，所在網路環境未必有傳統的網路安全防護裝置，可能是接入了惡意WiFi，也可能有中間人，可能訪問有問題的釣魚網站，也可能存在敏感資產訪問掃描、大流量洩密等等。
• 從企業伺服器的角度，遠端訪問時，企業服務暴露在公網上，此時傳統的安全邊界被打破，傳統企業的安全防護措施如防火牆等難以抵禦，可能面臨DDoS攻擊，偽造終端協議注入或探測等安全風險。

Q：針對不同行業的遠端辦公使用者，比如說網際網路企業，政府機構、金融行業等，在遠端辦公安全防護需求方面有沒有差異點或者需要特別關注的地方？

蔡東贇：不同的行業由於保密標準不同，其遠端辦公的開放程度也是不一樣的。以金融行業中的保險企業為例，保險安全防護最重要的是保單，因為每個業務員的操作，以及涉及中間的一個流轉過程，終端都會儲存保單資訊的訪問以及使用資訊；同時對於涉及被保險人個人隱私的部分，要遵循明確的行業規範保密要求，因此對資料安全的要求較高。

對於通用行業，一般可以根據職業屬性進行管理。例如文員類員工，在遠端辦公中可能產生檔案、商業機密這類內容級別的資料洩露；企業運維人員，則可能涉及影響公司生產活動的資訊洩露。需要結合員工身份認證管理，進行訪問許可權管理以及相應辦公操作方面的限制。

Q：對於企業網路安全管理員，可以通過哪些措施，提升公司遠端辦公的安全性？

蔡東贇：正如上面所說，伴隨工作流逐漸移動化和雲端化，產生了各種新的安全隱患。要保證企業內網的安全，除了要扼守內網邊界防線，對於企業系統內外部的一切都不可掉以輕心。

騰訊在企業安全運營上踐行的零信任安全管理理念正是如此： 預設不信任企業網路內外的任何人/裝置/系統，基於身份認證和授權重新構建訪問控制的信任基礎，從而確保裝置可信、使用者可信、應用可信。

企業安全管理人員也可以基於“零信任”的安全理念，從以下三個方面著手提升企業網路的安全性：

• 第一是確保終端和鏈路安全。對於遠端辦公中不可控的終端以及訪問網路，建立從身份識別、裝置安全到行為安全的全流程管控。對接入遠端辦公的員工做好身份認證，至少採取雙因子認證，防止黑客冒用身份侵入內部系統，對於高價值和高風險目標，需要啟用更高階別的硬體金鑰或生物認證；對發起訪問的應用做安全檢測，確保發起應用的合規和安全性，例如我們用了應用白名單，避免未知程式碼和供應鏈攻擊；對遠端辦公的接入員工許可權進行系統性梳理，按照“最小授權”原則進行授權，降低安全風險，對員工的系統操作行為做好審計留存，保證安全事件可追溯；對外部訪問裝置做好安全檢測，保障接入裝置的安全。
• 第二是確保網路環境的安全。由於移動辦公涉及公共移動運營商網路，若缺乏有效的移動終端身份認證機制及接入許可權控制措施，則存在來自非法終端或惡意使用者對辦公資訊系統進行非授權或異常訪問的風險；要對核心資料傳輸進行加密，防止資料被竊取。
• 第三是辦公後端系統的安全。要重點關注外部攻擊防護和後端資料防洩密，也建議重點關注系統的可用性問題。例如疫情特殊時期可能會造成系統訪問量的激增，需及時評估系統資源負載，必要時對系統資源進行提前擴容。

Q：在遠端辦公安全防護方面，騰訊安全的防護策略和產品配置是怎樣的？

蔡東贇：剛才提到了，遠端辦公中，企業的資料資產安全是最為核心的安全問題，可以按“零信任”原則進行統一的安全管理。

騰訊是率先在國內落地零信任安全架構的企業之一。經過多年應用實踐的積累，2019年，由騰訊主導的“服務訪問過程持續保護參考框架”國際標準在瑞士日內瓦通過立項，形成了國際上首個零信任的安全技術標準。

在企業安全運營中，騰訊安全踐行零信任的安全理念，結合20年運營實踐能力，打造了騰訊iOA。它基於身份認證和授權重新構建訪問控制的信任基礎，確保裝置可信、使用者可信、應用可信，讓終端在任意網路環境中都可以安全、穩定、高效地訪問企業資源及資料。

從具體的產品架構來說，騰訊內部的每臺終端上都有兩個節點。

• 一是騰訊iOA，包含身份認證（雙因子認證TOF\自研Token）、訪問流量加解密閘道器，訪問控制策略引擎(人-應用-系統)、安全管理控制（資產盤點、安全加固、合規檢測、資料保護、外設管控、EDR-終端入侵威脅檢測與響應等）；
• 二是騰訊終端安全管理系統，負責病毒查殺和補丁管理，抗擊針對企業內網的外在攻擊和現存漏洞；通過這兩道利器，嚴格保障每一臺終端的安全可信。這套方案在騰訊內部應用中進行了多年的錘鍊，並在政務、醫療、交通、金融等多個行業成功落地。

Q：能否講講在疫情期間，騰訊安全幫助企業處理遠端辦公安全問題的實踐措施？

蔡東贇：疫情期間，企業遠端辦公需求高漲。尤其是對於大量傳統行業人員來說，由於公司此前資訊化程度不夠，相關網路安全措施沒有隨之調整等原因，導致在遠端辦公時安全運維壓力負擔很大。近期我們留意到一些地產公司，對於遠端辦公，尤其是文件資料防洩漏存在較大的需求。同時，我們也幫助了一些具備一定資訊化基礎的網際網路企業如遊戲公司，接入了騰訊iOA，解決遠端辦公中的身份認證問題，並支援適配企業微信、自定義等多種認證方式，既保障了員工的訪問體驗，也提升了企業的安全管理效率。

在承擔社會責任方面，為了更好地幫助企業解決遠端辦公安全問題，騰訊安全面向廣大政府、企業及機構使用者，啟動了「網路安全護航計劃」（詳情可戳>>>《騰訊安全面向廣大企業免費開放遠端辦公安全保障服務》），企業可根據自身的安全需求，在騰訊雲官網上找到相對應的服務，在疫情期間享受限時免費政策。此外，我們還協助全國多個省市政府，做好疫情服務小程式的安全防護工作。

Q：隨著移動辦公的興起，尤其在這次疫情期間，很多人使用私人電腦或者移動裝置接入內網辦公，在進行防護時移動終端安全和PC終端安全有什麼區別，如何高效保障多終端遠端辦公安全？騰訊安全在這方面有什麼解決方案？

蔡東贇：移動終端安全的管理，相對PC終端安全管理而言更加複雜，同時兩者又有許多相同的特徵表現。

對於移動終端來說，基礎安全問題包括以下兩個方面：

• 移動終端具有離散化特徵。移動終端裝置隨使用者移動流轉，其資料訪問管理、跟蹤審計難，可能出現監管死角；
• 其次，移動終端裝置易丟失、且更換頻繁。因此增加了資訊被竊取、洩露的概率，如果裝置回收或銷燬不當，還可能在二手市場流傳，造成更大的隱患。

而移動終端和PC終端的安全管理也存在共同的威脅，主要表現在以下三個方面：

• 應用程式不可控。終端使用者可能從不受監管的第三方下載並安裝應用程式，這些應用程式可能預先被感染或被篡改，同時後續的升級、新增、下架應用程式等操作，也缺乏統一管理手段；
• 終端儲存資料未加密。若終端上的辦公資料不加密進行儲存，且未與終端私人執行環境隔離，一旦被木馬、病毒等惡意程式感染，則存在辦公系統登入賬號、密碼被竊取，敏感辦公資訊被洩露的風險；
• 辦公資料在終端上缺乏隔離措施。普通的家用辦公終端未對辦公應用執行環境與個人應用執行環境進行區別對待，但在遠端辦公場景下，對個人使用者而言，易出現同一終端公私混用的情況。若缺乏有效的隔離措施，容易產生網際網路惡意程式碼竊取辦公敏感資料的風險。

針對電腦端遠端辦公，騰訊終端安全管理系統和騰訊iOA將提供身份認證、網路准入、病毒防護、補丁下發等多重安全保障，同時也方便企業安全管理員進行協同管理；針對手機等移動裝置，騰訊移動終端安全管理系統基於自研的「虛擬安全域」技術和多年的病毒防護能力，可在員工個人裝置中建立獨立的安全工作空間，保障員工裝置的資料安全、抵禦黑客攻擊，並可通過統一的後臺管理系統，協助企業提升遠端裝置的可控性，防止應用被破解，準確識別員工身份，提升管理應用許可權的效率。

Q：對於企業普通員工而言，遠端辦公需要注意哪些網路安全問題，怎麼樣避免給企業以及自身造成不必要的損失？

蔡東贇：首先要保障自身裝置的安全。推薦部署騰訊iOA、騰訊終端安全管理系統及騰訊移動終端安全管理系統，抵禦電腦端及手機端病毒木馬入侵，提升裝置的安全性。

其次，要通過正規官方渠道下載安裝軟體，並確保郵件、共享檔案分發連結的安全性，謹防共享檔案成為病毒載體。

第三，積極參與遠端辦公的安全培訓。主動掌握必要的遠端辦公安全知識，共同創造一個高免疫力的辦公環境，讓每個人都可以積極主動地應對安全威脅。