和两年前相比，今天的远程办公安全有何不同？

在远程办公环境中，网络边缘是员工远程工作的地方，企业会在远程办公的设备上设置安全功能以保护边缘，同时这些设备上的本地代理会提供防病毒、反恶意软件和本地防火墙软件。此外，企业也应在相关员工手册上注明，禁止员工在办公期间访问与工作内容无关的网站，因为许多网站可能会感染病毒或恶意软件，同时这样的行为也会降低办公效率。

远程办公环境使企业更多地会把系统、业务“上云”。最近几年中，云应用开始变得越来越多，很多运作都在往云平台上迁移，因此云安全必然是需要关注的重点之一。

而伴随着网络安全形势的变化，传统的反病毒模式面临着诸多无奈，近年来，恶意软件的增长率首次超过正常文件，病毒的网络化攻击、混合式攻击愈加明显，而且过程更为隐蔽，使用底层技术的病毒开始公然与杀毒软件对抗。在这种形式下，传统的“获取样本、分析特征码、更新部署”的方式已无法满足日益变化及增长的安全威胁，必须通过更有效的方法来弥补传统方式的不足，而“云安全”便是为此而发展。但当下的“云安全”仍旧只停留在“概念阶段”。

可以看到，基于云的软件服务(SaaS) 应用程序越来越受到企业的欢迎，它使员工更容易远程办公。但是，基于云的应用程序需要不同的安全方法，并且需要更改安全功能所在的位置，因此无论员工是在办公室工作，还是在家中使用个人接入点工作，云安全都是非常重要的，比如监控使用和进入云的流量，这样的安全功能可确保损坏的流量无法访问关键业务应用程序、敏感数据和其他基于云的资源。 

国外安全专家提出，最小权限原则是企业可用的最重要的基本安全策略之一。本质上，如果员工不需要访问资源或应用程序，他们就不会被授予访问权限。而对于需要更多访问权限的员工，企业得为他们提供更好的安全措施，比如对那些高阶的远程办公员工来说，为他们提供确保其远程接入点更为安全的设备，当然还可以为这些人提供改进的云和本地安全服务。

从2021年Business Technographics 安全调查中可以看到，63%的企业在过去12个月内遭遇攻击，并造成了资料外泄的情况。其中有45%的路径是由内部事件所造成的。内部事件的主要原因里，39% 的安全威胁源自访问控制问题和权限不当。

因此可以总结，传统安全架构的第一个难题在于，如何用一致化的管理模式去管理不同厂商所提供的解决方案或产品，并达到安全的状态；第二点，传统VPN的解决方案对网段里不同服务间沟通的可控性不足；第三点，外部连线的安全性不足；第四点，可扩展性不够；最后一点，员工设备因操作不当被外部恶意软件入侵。

为了避免在混合办公的模式下再次被这些痛点给搅扰，安全界提出了当下较为流行的概念—零信任。相关研究机构预计，到2023年将会有60%的企业采取零信任架构作为内部应用程序的存储模式，但如何建立安全的连线访问，以及该如何确保访问安全将会是企业的一大挑战。

另一方面，安全供应商Code42在他们的报告中发现，55% 的公司表示他们在疫情之后最大的担忧是员工可能会在网络安全实践中变得松懈。

众所周知，大多数安全事件都是由人们的忽略所导致的。为了使IT和安全团队取得成功，我们需要了解企业的每位人员，以便能够及时发现为什么会发生这些错误，并因此可主动采取适当的措施，以防止安全事件的严重性升级。

同时，Tessian 的报告补充道，与 2020 年相比，更多的员工将他们的错误归咎于疲劳和分心。最简单的道理，当人们疲劳时意识就会变得不堪重负，这是所有过错的源头，而企业需要对压力采取行动，并同时得了解压力等因素是如何影响员工的。相反，企业若能采取措施支持员工，就能使他们更高效、更安全地工作，这对企业和个人来说都是最好的选择。

国外安全专家表示，培训员工安全意识等同于为安全人员赋能，这可使他们更好地面对安全事件。同时他还提出：“我们所做的事情是崇高的，它有一个伟大的目标，就是为了让世界更安全！这是我们作为安全人员的使命！”

对此，安在新媒体提供了比较全面的CSO培训计划，比如上周，超级CSO研修班正式启幕了，届时各种“该如何培训员工安全意识”、“该如何为公司建设安全架构”等都会由专业的导师分享下来。而无论怎样的岗位，培训总是必要的，它和学校里所教授的理论知识不同，而是能高屋建瓴地教你如何在岗位上进行适当的操作。

回到主题。我们可以看到，没有一家安全供应商可以真正提供企业所需的所有的安全功能，换句话说，就是没有任何一种方法是可以保护一切的。 

QOS Networks 首席执行官 Frank Cittadino 表示：“安全的方法总是各种各样的。如果企业只依赖一个供应商来保证安全，那就一定会功亏一篑。企业应该依赖多个产品，依赖多维度的保护和不同层次的安全体系。”

作为企业的安全部门，CSO一定会想从安全供应商那里得到相应产品的安全功能，这是毋庸置疑的，因此CSO需要在和安全供应商沟通时将其目标明确说出，无论是参与范围、与KPI相关、性价比、可衡量可交付的项目成果，还是能总结出的数据报告、合规报告等都需要说清，因为安全服务、安全产品、解决方案的参与范围和其能提供的功能对于企业的发展和运营都有着举足轻重的影响，诸多前车之鉴告诉我们，若只考虑单一的漏洞问题，就很可能就会在合规上为企业带来不可承受的损失。

CISO可以在从各种供应商所提供的产品中找出“他们能解决什么”或同时找出“他们不能解决什么”，从产品、方案的流程中分辨，自己团队里的人员又需要执行哪些工作来启动和运行这些内容，甚至包括持续的运营中供应商的参与度，以及他们的这份技术又将往哪个趋势去发展。

关联安全指的是使用软件收集网络活动日志，将这些日志整合到相关数据中，并使用该数据为安全人员提供可操作的情报。比如，可以扫描网络上的设备，看有哪些设备感染了恶意软件，以及恶意软件被拾取的位置在哪里。一旦检测到了，这些设备就可以从网络中移除并由分析人员进行审查。

另一方面，也可以关联来自多个安全平台的信息，这正好符合上文中所提到的“与多个安全供应商保持合作”。安全供应商能够弥补同行留下的空缺，而最重要的是，他们能够关联所有这些来源的信息，并确保从边缘到云能有一个“看不见”的安全层。关联的过程可以通过软件实现自动化，IT 人员可以远程对信息进行操作，这无论对企业还是员工而言都是非常有效率的选择。

并非所有企业都能做到在每个员工的“家庭办公室”里设置一个安全接入点，成本太大也完全没必要，因此这就是 VPN 发挥作用的地方了。它们提供了从边缘到正在访问的云安全和加密连接，部分VPN还包括了身份验证服务。如果企业已经使用 Microsoft Active Directory、Okta 或 Duo Security 等身份验证服务，那些VPN还可以通过SAML代码与它们进行交互。

远程办公的 VPN 更具成本效益，也更容易启动，并且它可以用软件而不是物理设备的形式进行提供。这样，当远程办公人数激增时，使用 VPN 服务来保护员工会更为容易。

国外安全专家表示，安全方法最后都会归结为“企业该如何执行战略、计划和基础”。这种执行需要企业认真对待威胁，确保内部拥有具有良好的标准和基础工具，所执行的流程可以识别威胁、识别问题、隔离和量化事件，最后采取行动。 只有凭借强大的基础才可以快速识别威胁，才可以适时地从网络中删除设备，企业应该采取严格的安全策略来应对安全事件。

08

国内安全专家的建议

对于“疫情之下，企业应该怎样防护好远程办公网络的安全”，国内安全专家如此建议。

上汽集团安全专家冯斯恩表示，自己会从三个方面进行剖析，然后基于本企业的情况以及的风险的理解，再一一作答。

首先，什么是远程办公？冯斯恩认为，远程办公是指通过现代互联网技术，实现非本地办公：在家办公、异地办公、移动办公等远程办公模式，这就意味着办公系统、办公数据要开放或外传至远端。

其次，什么是网络安全？是指承载远程办公的网络不被恶意访问、不被入侵，其上的数据不被窃取、不被泄露。

最后，疫情与非疫情，远程办公的主要区别在哪里？非疫情的情况下，需要远程办公的员工数量、类别较少，涉及远程办公的信息系统较明确集中；而在疫情的情况下，全员远程办公，员工数据量、类别、办公信息系统与现场办公无过多的差别，需要全员、全量地开放。

所以，疫情之下，企业远程办公即是向internet做办公网络的延伸。冯斯恩认为，企业主要需要完善这三点：接入网络的安全、接入设备的安全和访问人员的安全。

1）接入网络的安全，就是确保接入入口安全和通信安全。接入入口安全，主要依赖接入入口安全认证和审计，通信安全主要依赖通信信道的加密传输实现；而先用的VPN技术，仍不失为理想的解决方案。

2）接入设备的安全，对于做过终端设备标准化的（系统标准化、权限标准化、安装软件标准化、网络准入、DLP），即使远程接入，也可当做本地接入办公，两者别无二致；对于未做过终端设备标准化的，远程办公接入的终端将只能作为不可信设备，主要依赖对开放的信息系统严格限制和访问用户身份的严格限制；而目前的零信任概念，将比较适用。

3）访问人员的安全，需要基于用户身份认证，用户行为分析和响应处理。

冯斯恩表示，理想的办公模式应为VPN+标准化终端+用户行为分析和响应处理。

另一方面，某金融科技企业安全专家胡恺健指出，在疫情的干扰下，不少企业增加了常态化远程办公的需求，但又不得不面临远程办公网络的网络延迟高、网络安全性低、数据泄露风险大等问题，而要降低上述问题的影响，应该加强企业远程办公基础架构和数据防泄漏的整体规划设计，可以参考安在的文章《百家 | 胡恺健：企业云原生数据防泄漏（DLP）架构与运营实践指南》进行整体架构规划设计，并了解DLP运营的最佳实践。

现在远程办公网络的技术百花齐放，网络安全行业频频“造新词”，企业很可能在多个不同技术的选型之中陷入迷惘，到底是用VPN、云桌面、RBI还是SASE+零信任，他们的改造成本企业又是否能够承担，又是否能达到IT可用性目标和安全目标的平衡，这都是企业IT和安全管理者的难题。

“面对这种问题，我们依然使用基于风险的方法来展开讨论。首先每个企业都会有风险偏好和风险容忍度，要将所有的风险都处置完毕，其投入产出比不高，且容易陷入什么都想解决，但什么都解决不了的死循环。我们可以考虑，在最极端的情况出现后，哪些风险我们是绝对不能接受的，可以把这个风险处置的最终结果，形成我们要实现的目标，并以此逐步落实场景识别、需求分析、实施落地和安全运营。”

01

场景识别

安全部门可以对企业内部在远程办公过程中涉及到的数据泄露场景，远程访问的IT基础设施进行调研和梳理，对各业务部门访问需求、数据泄露点、控制措施、传输路径进行罗列，并形成逻辑架构图，方便之后对风险进行定位和方案设计。

完成场景识别后，可以对上述的场景列表和逻辑架构图进行分析，并考虑利用哪些已有的IT基础设施和安全措施来满足目标，哪些仍然需要新建，最后形成远程办公的综合解决方案。

远程办公的IT基础设施，要根据企业的业务连续性计划、人员规模、分支机构地理位置、国内外网络延迟情况等进行分类分析，一个企业可能会存在互为备份的远程办公IT基础设施，能够提供及时恢复生产力的能力。在企业资源允许的情况下，应该合理区分受控设备与非受控设备，通过配发公司标准化的笔记本终端是一个更好的选择，因为BYOD的设备安全监控可能与隐私合规相冲突。

远程办公的数据安全性，可以从数据防泄漏（终端、网络、邮件、SaaS云原生）、SASE零信任接入、VDI数据不落地、远程浏览器隔离（RBI）、数据沙箱（远程和本地）、VPN等方面结合场景进行综合考虑。办公终端安全性，可以使用杀毒软件、EDR、安全桌管、域控管理、回收管理员权限、禁用邮件客户端、软件安装白名单等方面进行考虑。

落地实施前，应该对各类产品的集成效果进行充分的POC测试，再进行大规模推广。重点考虑各种IT基础设施和安全产品之间的兼容性问题，例如安全产品在普通PC运行正常，但是在VDI中运行就不正常，或者不同操作系统版本之间的差异，也会造成部署失败的情况。

数据防泄漏方面，一般建议先做审计策略，避免对业务造成太多的影响。但如果企业对于敏感数据的泄露风险是不可容忍的，适当的阻断策略则是必要的，这种情况下就必须考虑阻断策略对业务使用造成的影响。各类网站阻断、URL阻断、文件上传阻断、IM聊天软件禁用、可信IP接入都会产生不同程度的抵触，要提前与管理层做好心理建设和提供及时的例外放行措施，以提高推广部署的成功率。

04

安全运营

远程办公访问在正式部署完成后，就会进入安全运营阶段。这个阶段主要通过建立各类指标来进行监控，包括Agent的安装率、违规事件数、例外放行数、误报数、报障工单处理率、敏感数据命中率、敏感文档识别率、事件调查完成率等等。同时，也要与IT Helpdesk建立好应急处置的操作指南，使影响业务的故障能得到及时的处理。

最后，胡凯健表示，企业与安全供应商应该强调合作共赢。一方面甲方专家要多分享最佳实践，哪些产品组合运作良好，哪种场景适合用什么类型商业产品解决，甚至如何通过自研平台连接各类产品使技术措施真正落地，相信这类“干货”资讯是大家喜闻乐见的。另一方面安全供应商要有开放心态，建立良好的生态合作，加强不同供应商之间的产品集成度和连接能力，充分发挥各自厂商优势和特长。