战“疫”下的远程办公，足够安全吗？|| 科技抗疫

新春伊始，由新型冠状病毒引发的肺炎疫情成为全球焦点，从防疫一线的各级医疗机构人员、到支撑社会正常运转的各行业从业者，都在这场防疫战中贡献着自己的力量。

全民抗“疫”时期，远程办公成为了众多企业的选择。据央视《新闻联播》报道，全国上千万企业、近两亿人开启在家办公模式。

根据德勤发布的《新型冠状病毒疫情人力资源政策调研报告》显示，接近七成的调研企业员工认为在疫情中公司最需要为员工提供在线工作的工具。

远程办公顿时成为了疫情之下确保企业正常运作的刚需，众多互联网公司纷纷推出疫情之下的远程办公免费产品和解决方案：

l 2020年1月29日，钉钉宣布对1000万家企业组织发布支持“在家办公”的全套免费解决方案，涉及远程视频会议、群直播等;

l 字节跳动飞书宣布，2020年1月28日-5月1日期间，面向所有用户免费提供远程办公及视频会议服务;

l 华为云为用户免费提供在线视频会议，供1000账号使用及100方不限时长会议;

l 腾讯会议面向所有用户免费开放100人规模不限时长会议，免费升级开放300人会议协同能力；

l ……

远程办公保证了企业的复工复产，但也随之出现了诸多安全问题。无论是信息泄露，还是黑客势力“趁火打劫”，无论是远程访问内网的安全需求，还是“全员上云”带来的数据安全、访问安全、终端安全、个人隐私保护等等问题，都让远程办公面临网络安全的新考验。

远程办公下的信息安全风险

1、远程办公下的内网数据访问风险

相比日常办公场景，远程办公可能意味着办公设备、网络环境的改变。远程办公中，很多企业有内网访问的需求，企业员工通过VPN进入企业内网，登录ERP系统进行业务流转，通过OA系统进行协同办公，登录财务系统开展财务管理.......

这些都将成为远程办公场景下信息安全的不可控因素，远程访问内网系统的安全防护，就显得尤为重要。

当基于边界网络下，风险还处在可控范围，一旦企业应用系统开放至互联网，这些问题带来的安全风险将会以指数级增加。

如：“ 账户认证强度弱，容易被攻破？采用明文传输账户密码，容易被窃取？大量遗留账号，容易被渗透？” 这些安全问题，可能是您在远程办公时不曾留意到的。

2、远程办公下的IT运维风险

远程办公的时候，大量的内网资源和云资源被集中访问和调用，企业运维人员同样需要对企业的IT基础设施和系统进行日常运维。

企业运维人员的账号，通常属于特权账号，一旦存在特权账号管理漏洞甚至账号密码泄露，将对企业的IT安全和业务运营，造成不可估量的风险。

最近，微盟的事件，就给了我们一个很大的安全警示：

2月23日，微盟对外发布公告：服务器大面积服务集群无法响应，生产环境及数据遭受严重破坏，而事件的原因是研发中心运维人员通过VPN登录云服务器后进行恶意破坏造成的。

截止2020年2月25日12点，微盟集团在股市报5.660港元，一天时间内，微盟市值蒸发了约9.63亿港元，目前微盟正在拟定商户赔付方案，截止到发文前，微盟仍未完全恢复。

微盟事件的发生，可以归因于对特权账号缺乏管理机制，以及边界防御模式对内网的过度信任而造成的。此次事件给其他企业敲响了警钟，企业需要加强对特权账号远程访问行为的管理，保障这些账号的访问安全和行为追溯。

3、远程办公下的SaaS平台数据风险

疫情之下，SaaS行业被带上了风口。ERP、CRM、OA、财务系统、企业邮箱等，越来越多的应用向云端迁移；钉钉、企业微信、飞书等互联网巨头，也实时推出了整合型的云平台办公解决方案。

众多SaaS应用为远程办公提供便捷性的同时，也带来了一定的信息安全隐患。

企业的内网信息，一旦开放至互联网，随之而来的黑客攻击、渗透攻击等都将威胁到这些信息的安全。

同时，企业的系统和数据在往云端迁移的过程中，各个云服务商之间相互独立，我们如何统一管理这些云端应用账号？如何实现单点登录？如何解决云端数据与内网数据的互联互通？如何确保云端应用接口的安全性？也成为了很多企业部署云端应用的安全痛点。

远程办公下

企业信息安全如何防护？

以上列举的众多风险，都绕不开访问控制。从访问安全的角度来看，远程办公打破了传统网络安全的防护边界，无边界的业务访问越来越多，企业经营数据、办公流程、网络资源都面临身份识别、认证鉴权、合规审计各方面的安全风险和隐患，需要实现高级别的安全可信。

随着远程办公的开展，企业信息安全将面临安全边界的模糊化、访问设备的可信度缺失、大量的第三方外部访问、海量的运维量，而企业的基础架构却无法瞬时改变，运维人员数量也无法马上提升，现有的传统的安全架构无法满足当下的业务及运维需求。

基于“零信任”架构的安全方案，能很好的满足远程办公对信息安全的需求。

1、远程办公场景下，“零信任”安全架构的防护机制

什么是零信任安全？零信任是一个安全概念，中心思想是企业不应自动信任内部或外部的任何人/事/物，应在授权前对任何试图接入企业系统的人/事/物进行验证。

“零信任”安全的本质就是以身份为中心的访问控制，摆脱原有企业以网络为中心的安全防护体系，建立基于身份安全的企业身份边界，并基于用户-设备的认证突破企业安全网络边界的限制，重建企业信息化信任体系。

2、基于零信任架构的可信身份治理，提升远程办公安全

企业通过构建基于零信任架构的可信身份治理平台，将企业所有信息系统、所有用户都进行集中化管理，将原本分散式、低效率的管理模式集中化。

并通过构建以企业用户身份为中心的动态访问控制，重构企业信息化安全体系，为远程办公保驾护航。

重构企业安全体系：远程办公打破了传统网络安全的防护边界，无边界的业务访问越来越多，企业经营数据、办公流程、网络资源都面临前所未有的风险。

我们通过构建基于零信任架构的可信身份治理平台，将企业的所有用户都纳入统一管理，基于以身份为中心的动态访问控制和基于用户-设备的智能认证体系，突破企业安全网络边界的限制，重建企业信息化信任体系，满足企业当下远程办公及未来常态化运营的安全要求。

促进企业提效降本：企业通过构建基于零信任架构的可信身份治理平台，融合企业本地化应用、基础设施、线上SaaS应用的集中化管理，将普通用户、运维人员、外部伙伴、互联网用户都纳入到可信身份治理平台上集中管理，通过细粒度授权机制，提供差异化的远程办公服务。

同时，通过集中化访问控制中心，引入流程自动化手段，大大减少管理压力，缩短调整流程，减少人为失误，提升企业信息系统安全能力和管理效率。

实现可管可控运维模式：“人的因素”是今年RSAC2020网络安全大会的主题，而微盟删库事件再次强调了这一点：企业面临的最大威胁往往不是外部攻击，而是内部威胁（包括供应链风险）。

企业通过构建特权账号管理体系，将运维安全纳入整体身份管理的范畴，对企业运维人员账户、基础资源进行集中化全生命周期的管理。

通过集中化的账户、认证、权限、审计的管理，实现运维的一体化事前预警、事中控制和事后追溯的全流程风险控制和监督。

提升用户使用体验：企业通过构建基于零信任架构的可信身份治理平台，员工远程办公不再受空间、网络的约束，随时随地高效办公。

建立用户访问应用系统的统一入口，集中访问，单点登录，引入多种认证手段，提高用户工作效率和用户使用体验。

远程上线助力远程办公

携手共同战疫

天九共享集团创办于1991年，在全球40个城市拥有100多家全资公司和控股公司。

近几年，随着天九共享集团业务的迅猛发展，大量toB、toC对外业务分布于互联网，加大了对合作企业、个人身份、员工访问、业务开展等的管理难度，对企业的信息安全防护也造成了挑战。

值得一提的是，年后上班第一周，在天九共享发布的“天九共享控股集团关于抗灾自救、化危为机的十项决定”中，重点关注了在线业务和在线办公：

在线业务：疫情期间，天九将继续践行“做好事，走正道，谋幸福”的为商原则，全力支持国家抗灾，全力进行抗灾自救；同时，充分利用天九的线上优势、平台优势和技术优势，支援中国企业抗灾自救，转危为机。

在线办公：天九继2016年1月1日实行四六工作制，成为全球最短工时公司之后，公司将继续深入践行天九幸福企业理念，于2020年2月4日起正式实施全员永久性候鸟工作制。

为了全面支持集团的在线业务和在线办公，天九共享携手派拉软件共同战疫，在2天时间内完成了天九共享身份准入安全管理平台的远程上线工作，实现人员账号的统一管理和集中认证，构建天九共享全集团的统一用户身份标识、统一机构标识、统一身份认证、统一密码管理、统一授权管控、统一单点访问、统一审计分析、自动风险识别、风险预警等为一体的统一安全管控体系。

这样可以形成以“用户为中心”的“前端可信、后端管理”的零信任安全认证服务体系，同时对远程运维中需要涉及的应用系统相关主机、数据库、网络设备以及应用后台管理模块的特权账号实现统一管理，全面保障集团数据安全，推进集团在线业务和远程办公的常态化开展。

除了远程办公带来的直接安全需求，在线业务中涉及的个人隐私保护，也是安全治理的重中之重，国家对企业信息安全和数据合规的监管力度也日益加强。

不仅需要满足《中华人民共和国网络安全法》（2017年6月颁布）和等级保护标准（2019年5月颁布2.0版本），涉及境外业务的企业，还需要遵从如欧盟GDPR等合规需求，这些法案，都对个人身份数据的采集、使用、保护、监管提出了严格的标准。

一旦违反，将面临巨额的经济赔偿和名誉损失。IBM发布的全球数据泄露成本报告显示，企业数据泄露的成本在5年内上升了12%，平均成本已达392万美元。

信息安全已经成为企业、机构在经营发展中不可忽视的重要环节。有信息安全保障的远程办公，才是当下真正的刚需。

除了通过IT技术加固信息安全防线，提高员工的安全防范意识，加强远程办公信息安全宣传教育，也是确保远程办公信息安全的基本条件。

远程办公很美好，需要你、我、大家一起努力，构建安全的远程办公环境。