产业安全专家谈丨远程办公背后，企业如何通过“零信任”保障办公安全？

疫情隔离的需求促使远程办公成为很多企业复工的主要方式。大量企业员工使用私人设备，通过家中的WiFi热点访问企业内部系统，身份、终端、网络、应用等多方面的不确定性，使得企业信息安全面临严峻挑战。

与此同时，网络黑客也在蠢蠢欲动。自新冠肺炎病毒疫情爆发以来，借“疫情防控指南”、“健康信息收集表”等题材大肆传播的木马病毒、网络攻击也来势汹汹。

当终端数量日益增多，网络环境以及内部架构不断升级和复杂化，企业的网络安全边界正日渐瓦解，传统的基于边界的安全防护体系已开始失效。不信任网络内部和外部的任何人/设备/系统，基于认证和授权重构访问控制的“零信任”架构，成为全球主流的网络安全框架之一。

以“零信任”原则换取系统的“可信安全”，是护航远程办公安全的前提。那么，远程办公场景下，如何高效安全地访问内网？如何防止财务、代码库等敏感信息外泄？如何保障个人PC与移动终端设备“零信任”安全接入？腾讯安全联合云+社区打造的「产业安全专家谈」第十二期，邀请到腾讯iOA技术负责人、高级安全工程师蔡东赟，为大家解答以上问题。

蔡东赟，腾讯高级安全工程师，腾讯无边界访问控制系统（iOA）技术架构负责人。9年信息安全领域从业经验，主导参与桌面UI框架和服务器类开源项目，拥有信息安全方向产品自主研发专利26项。

Q：远程办公已是企业信息化办公的大势所趋，相较于传统的企业信息化办公，远程办公给企业的网络信息安全带来哪些新的要求和挑战？

蔡东赟：远程办公由于物理空间不可控，从而衍生一系列的安全风险。具体而言，主要表现在终端、链路以及企业服务器三个方面：

• 从终端和链路的角度来看，远程办公中员工访问的身份、设备、网络都是不可控的：访问者的身份不明，可能被简单侵入访问窃取机密；终端没有安装杀毒软件，存在高危安全漏洞；发起访问的应用是否存在供应链利用的问题，如使用带有问题的xshell版本；终端的网络安全环境不确定，所在网络环境未必有传统的网络安全防护设备，可能是接入了恶意WiFi，也可能有中间人，可能访问有问题的钓鱼网站，也可能存在敏感资产访问扫描、大流量泄密等等。
• 从企业服务器的角度，远程访问时，企业服务暴露在公网上，此时传统的安全边界被打破，传统企业的安全防护措施如防火墙等难以抵御，可能面临DDoS攻击，伪造终端协议注入或探测等安全风险。

Q：针对不同行业的远程办公用户，比如说互联网企业，政府机构、金融行业等，在远程办公安全防护需求方面有没有差异点或者需要特别关注的地方？

蔡东赟：不同的行业由于保密标准不同，其远程办公的开放程度也是不一样的。以金融行业中的保险企业为例，保险安全防护最重要的是保单，因为每个业务员的操作，以及涉及中间的一个流转过程，终端都会保存保单信息的访问以及使用信息；同时对于涉及被保险人个人隐私的部分，要遵循明确的行业规范保密要求，因此对数据安全的要求较高。

对于通用行业，一般可以根据职业属性进行管理。例如文员类员工，在远程办公中可能产生文件、商业机密这类内容级别的数据泄露；企业运维人员，则可能涉及影响公司生产活动的信息泄露。需要结合员工身份认证管理，进行访问权限管理以及相应办公操作方面的限制。

Q：对于企业网络安全管理员，可以通过哪些措施，提升公司远程办公的安全性？

蔡东赟：正如上面所说，伴随工作流逐渐移动化和云端化，产生了各种新的安全隐患。要保证企业内网的安全，除了要扼守内网边界防线，对于企业系统内外部的一切都不可掉以轻心。

腾讯在企业安全运营上践行的零信任安全管理理念正是如此： 默认不信任企业网络内外的任何人/设备/系统，基于身份认证和授权重新构建访问控制的信任基础，从而确保设备可信、用户可信、应用可信。

企业安全管理人员也可以基于“零信任”的安全理念，从以下三个方面着手提升企业网络的安全性：

• 第一是确保终端和链路安全。对于远程办公中不可控的终端以及访问网络，建立从身份识别、设备安全到行为安全的全流程管控。对接入远程办公的员工做好身份认证，至少采取双因子认证，防止黑客冒用身份侵入内部系统，对于高价值和高风险目标，需要启用更高级别的硬件密钥或生物认证；对发起访问的应用做安全检测，确保发起应用的合规和安全性，例如我们用了应用白名单，避免未知代码和供应链攻击；对远程办公的接入员工权限进行系统性梳理，按照“最小授权”原则进行授权，降低安全风险，对员工的系统操作行为做好审计留存，保证安全事件可追溯；对外部访问设备做好安全检测，保障接入设备的安全。
• 第二是确保网络环境的安全。由于移动办公涉及公共移动运营商网络，若缺乏有效的移动终端身份认证机制及接入权限控制措施，则存在来自非法终端或恶意用户对办公信息系统进行非授权或异常访问的风险；要对核心数据传输进行加密，防止数据被窃取。
• 第三是办公后端系统的安全。要重点关注外部攻击防护和后端数据防泄密，也建议重点关注系统的可用性问题。例如疫情特殊时期可能会造成系统访问量的激增，需及时评估系统资源负载，必要时对系统资源进行提前扩容。

Q：在远程办公安全防护方面，腾讯安全的防护策略和产品配置是怎样的？

蔡东赟：刚才提到了，远程办公中，企业的数据资产安全是最为核心的安全问题，可以按“零信任”原则进行统一的安全管理。

腾讯是率先在国内落地零信任安全架构的企业之一。经过多年应用实践的积累，2019年，由腾讯主导的“服务访问过程持续保护参考框架”国际标准在瑞士日内瓦通过立项，形成了国际上首个零信任的安全技术标准。

在企业安全运营中，腾讯安全践行零信任的安全理念，结合20年运营实践能力，打造了腾讯iOA。它基于身份认证和授权重新构建访问控制的信任基础，确保设备可信、用户可信、应用可信，让终端在任意网络环境中都可以安全、稳定、高效地访问企业资源及数据。

从具体的产品架构来说，腾讯内部的每台终端上都有两个节点，一是腾讯iOA，包含身份认证（双因子认证TOF\自研Token）、访问流量加解密网关，访问控制策略引擎(人-应用-系统)、安全管理控制（资产盘点、安全加固、合规检测、数据保护、外设管控、EDR-终端入侵威胁检测与响应等）；二是腾讯终端安全管理系统，负责病毒查杀和补丁管理，抗击针对企业内网的外在攻击和现存漏洞；通过这两道利器，严格保障每一台终端的安全可信。这套方案在腾讯内部应用中进行了多年的锤炼，并在政务、医疗、交通、金融等多个行业成功落地。

Q：能否讲讲在疫情期间，腾讯安全帮助企业处理远程办公安全问题的实践措施？

蔡东赟：疫情期间，企业远程办公需求高涨。尤其是对于大量传统行业人员来说，由于公司此前信息化程度不够，相关网络安全措施没有随之调整等原因，导致在远程办公时安全运维压力负担很大。近期我们留意到一些地产公司，对于远程办公，尤其是文档数据防泄漏存在较大的需求。同时，我们也帮助了一些具备一定信息化基础的互联网企业如游戏公司，接入了腾讯iOA，解决远程办公中的身份认证问题，并支持适配企业微信、自定义等多种认证方式，既保障了员工的访问体验，也提升了企业的安全管理效率。

在承担社会责任方面，为了更好地帮助企业解决远程办公安全问题，腾讯安全面向广大政府、企业及机构用户，启动了「网络安全护航计划」（详情可戳>>>《腾讯安全面向广大企业免费开放远程办公安全保障服务》），企业可根据自身的安全需求，在腾讯云官网上找到相对应的服务，在疫情期间享受限时免费政策。此外，我们还协助全国多个省市政府，做好疫情服务小程序的安全防护工作。

Q：随着移动办公的兴起，尤其在这次疫情期间，很多人使用私人电脑或者移动设备接入内网办公，在进行防护时移动终端安全和PC终端安全有什么区别，如何高效保障多终端远程办公安全？腾讯安全在这方面有什么解决方案？

蔡东赟：移动终端安全的管理，相对PC终端安全管理而言更加复杂，同时两者又有许多相同的特征表现。

对于移动终端来说，基础安全问题包括以下两个方面：

• 移动终端具有离散化特征。移动终端设备随用户移动流转，其数据访问管理、跟踪审计难，可能出现监管死角；
• 其次，移动终端设备易丢失、且更换频繁。因此增加了信息被窃取、泄露的概率，如果设备回收或销毁不当，还可能在二手市场流传，造成更大的隐患。

而移动终端和PC终端的安全管理也存在共同的威胁，主要表现在以下三个方面：

• 应用程序不可控。终端使用者可能从不受监管的第三方下载并安装应用程序，这些应用程序可能预先被感染或被篡改，同时后续的升级、新增、下架应用程序等操作，也缺乏统一管理手段；
• 终端存储数据未加密。若终端上的办公数据不加密进行存储，且未与终端私人运行环境隔离，一旦被木马、病毒等恶意程序感染，则存在办公系统登录账号、密码被窃取，敏感办公信息被泄露的风险；
• 办公数据在终端上缺乏隔离措施。普通的家用办公终端未对办公应用运行环境与个人应用运行环境进行区别对待，但在远程办公场景下，对个人用户而言，易出现同一终端公私混用的情况。若缺乏有效的隔离措施，容易产生互联网恶意代码窃取办公敏感数据的风险。

针对电脑端远程办公，腾讯终端安全管理系统和腾讯iOA将提供身份认证、网络准入、病毒防护、补丁下发等多重安全保障，同时也方便企业安全管理员进行协同管理；针对手机等移动设备，腾讯移动终端安全管理系统基于自研的「虚拟安全域」技术和多年的病毒防护能力，可在员工个人设备中创建独立的安全工作空间，保障员工设备的数据安全、抵御黑客攻击，并可通过统一的后台管理系统，协助企业提升远程设备的可控性，防止应用被破解，准确识别员工身份，提升管理应用权限的效率。

Q：对于企业普通员工而言，远程办公需要注意哪些网络安全问题，怎么样避免给企业以及自身造成不必要的损失？

蔡东赟：首先要保障自身设备的安全。推荐部署腾讯iOA、腾讯终端安全管理系统及腾讯移动终端安全管理系统，抵御电脑端及手机端病毒木马入侵，提升设备的安全性。

其次，要通过正规官方渠道下载安装软件，并确保邮件、共享文件分发链接的安全性，谨防共享文件成为病毒载体。

第三，积极参与远程办公的安全培训。主动掌握必要的远程办公安全知识，共同创造一个高免疫力的办公环境，让每个人都可以积极主动地应对安全威胁。