對於IT網際網路企業來說遠端辦公並不陌生，但是疫情的突然爆發，直接大規模的使用遠端辦公應用，勢必會帶來一系列的安全問題，尤其是大量隱私資料安全問題，因為此次的疫情，大量的企業內部人員，需要從企業安全邊界外部訪問任何能夠支援正常工作的賬戶文件或者資料，而如果相關的網路安全措施規則沒有隨之調整將產生巨大的安全隱患。另一方面的挑戰來源於辦公模式改變帶來的安全威脅，現在要求既要滿足遠端辦公的短時便利性需求，又不能過分的喪失安全性。

安全同事主要是配合遠端辦公下部分業務系統的網路變更工作，比如防火牆的實施工作、策略的開通等，這部分工作在2月2號之前都順利驗收透過，確保開工日遠端辦公的客服同事可以正常進行語音等工作。同時，正式遠端辦公前，對VPN這類關鍵的網路裝置，進行了安全掃描，包括管理員頁面、系統版本是否存在高危漏洞等。

之前大家多數是在下班後或臨時不在職場時，使用VPN接入公司內網解決臨時遠端辦公的需求，這個場景下的訪問次數和人數都相對較小而分散。但是這次面對疫情下的遠端辦公模式，則是“全民皆兵”，各個方面的規模提升至少是之前的十倍、二十倍以上。對公司的安全設計來說，“遠端接入”的威脅本來就大於“本地接入”的威脅，所以，對我們來說的變化就是：以前要對日常的遠端使用者做檢查，做好防護工作，現在一下子變成了全體員工，因此檢查手段、應對方式都得更新，否則很可能在遠端辦公期間發生安全事故。

由於很多人之前沒有使用過遠端辦公這一整套系統，所以為了減輕大家上手時的工作量，我們當即決定簡化了一些安全驗證的手段和環節，優先確保大家可以正常接入公司網路。但是簡化不等於放縱，所以我們比平時針對遠端接入這部分場景進行了更深入、更密集的監控工作。針對VPN、堡壘機這兩個關鍵的入口處，我們透過安全大資料平臺，做了人員統計、訪問資源統計的視覺化，也包括了一些異常行為的統計分析和告警，比如：多次嘗試登入失敗可能意味著暴力破解使用者口令、同一天一個賬號關聯到不同地區的IP可能意味著賬號被盜用等。

《圖：訪問統計視覺化》

《圖：異常行為分析》

遠端辦公第一天，一大早我們就進行了防病毒的應急響應，這個是我們提前就預料到的，因為遠端辦公勢必有大量的非公司電腦接入，病毒威脅會有所上升。透過監控告警，發現有幾臺終端嘗試訪問了內網上千個IP資源，同時關聯發現防火牆有攔截到部分到伺服器的請求，第一時間判斷是計算機病毒在發起蠕蟲攻擊。我們隨即將上午發現的攜帶病毒的計算機，進行了封禁賬號，並通知員工對個人電腦安裝防病毒軟體進行防毒後再使用VPN，並進行了遠端辦公期間安裝防病毒軟體的推廣。

《圖：訪問資源數量異常》

《圖：遠端辦公期間宣導安裝防病毒軟體》

疫情期間遠端辦公，還得重點防禦一些偽裝當前熱點資訊進行的郵件攻擊，如在附件中植入病毒檔案、傳送釣魚郵件等，這些攻擊在遠端辦公期間的威脅也會比平時更大。所以對郵件主題、附件文件等，也加強了監控，比如“武漢”、“衛生部”這些關鍵字等等。

幾周的遠端辦公下來，整體還是比較順利的，離不開之前的準備和大家的相互配合，當然也還有很多需要提升的地方。最大的收穫應該是改變了之前的一些觀念上的限制。比如，如果長期維持在這種“零信任”的遠端網路環境下，如何來設計安全的架構，都是值得繼續更深入思考的課題。借用一起配合的郵件組的一位技術同事的話：“平時技術儲備足，到了打硬仗的時候才能不慌”。

擴充閱讀：

宜信如何做到既滿足遠端辦公的短時便利性需求，又不喪失安全性

相關文章