《混合办公安全白皮书》发布：以零信任应对混合办公工作变革

随着数字化转型的不断深入以及混合办公模式走向常态化，以“持续验证 永不信任”为核心的零信任安全架构，正成为企业应对终端安全风险的重要利器。

6月22日，在腾讯安全主办的2022零信任产业发展论坛上，腾讯研究院、腾讯安全携手Gartner发布了《2022年混合办公安全白皮书》（以下简称《白皮书》）。《白皮书》表示，在混合办公常态化的背景下，企业需要以零信任应对混合办公工作变革。

据了解，《白皮书》围绕混合办公特征、安全风险、安全要素等维度展开技术解读，提出了混合办公安全五要素"i-DEAN"，成熟度评估模型以及通过零信任理念实现混合办公安全的最佳实践路径，帮助企业通过零信任实现更安全、更高效的混合办公。

混合办公正风靡全球，据远程工作空间提供商IWG估计，全球70%的员工每周至少远程工作一次；此外，IDC数据显示至2023年，全球2000家企业或组织中，70%将采用远程或混合办公优先的工作模式。

《白皮书》认为，通信技术和互联网技术的发展为混合办公提供了技术支撑，尤其是互联网平台、数字化工具的广泛应用，更是进一步推动混合办公的发展。混合办公模式的变革赋予了工作者更多的自主性以及在办公时间、办公地点选择上的弹性，使得混合办公呈现数字化、协同化、弹性化三大特性。

然而，混合办公的常态化也使得企业网络传统安全边界被打破，加剧了数据泄露、钓鱼攻击、勒索软件攻击的风险。腾讯安全副总裁方斌在白皮书序言提到，混合办公可能带来新的安全风险，需要企业和员工着手重新建立新的安全意识、安全机制、安全壁垒，采取新的工具和理念来监督访问控制，确保企业和员工的数据、网络、终端安全可信。

白皮书指出，混合办公虽然缓解了当前疫情防控的燃眉之急，但是也突破了传统企业网络边界，导致网络边界更加模糊，接入公司网络的终端更加多样、复杂，这对网络安全和数据安全均提出了更高的要求。

具体而言，混合办公面临的安全风险主要体现在以下六点：

对于企业而言，如若不能保护数据、业务、客户及其他关键资产在终端访问中的安全性，那么数字化转型和混合办公的意义将大打折扣。

面对混合办公模式下愈演愈烈的安全风险，如何促使混合办公与业务安全“双轮驱动”，实现“以万全，应万变”？打破传统边界防御模型的零信任，成为安全厂商和企业应对混合办公安全风险的关键。

后疫情时代，所有的企业都在思考、探索或正在加速进行数字化转型，而网络安全是数字化转型的底座。数字化转型技术一旦无法保护业务、客户或者其他关键资产，就会变得毫无意义。

而零信任始终基于所有可用数据对用户的身份进行验证和授权，包括身份、位置、设备、数据源、服务等，通过分段访问和减少攻击面、验证端到端加密，并实时监控网络，限制由于入侵引起的潜在损害范围，从而在发生漏洞的时候将影响降到最低。此外，零信任的最低访问权限原则，涵盖家庭网络、公共Wi-Fi、企业内部网络，是混合办公模式下降低安全风险的一种有效方法。

白皮书指出，混合办公安全包含i-DEAN5大要素，即身份安全（Identity Security）、数据安全（Data Security）、设备安全（Equipment Security）、应用安全（Application Security）和网络安全（Network Scurity），实现这五大要素，能使企业在混合办公新模式之下，依然保证企业的多维度安全，为企业保驾护航、为员工提供更好更安全的工作环境和场景，为混合办公安全构建“新底座”。

腾讯iOA零信任安全管理系统，基于腾讯最佳实践，以持续访问控制为核心，围绕身份安全、设备安全、应用安全、链路安全等要素，对终端访问过程进行权限控制；并持续检测关键要素的安全状态，根据安全状态动态调整访问权限，提供访问过程中全生命周期的安全保护，实现终端在任意网络环境中安全、稳定、高效的访问企业资源及数据。

在访问控制、行为安全、身份安全、终端安全、数据安全上具备五大优势，其通过持续监控终端可信环境保障企业业务安全，构建异常行为检测模块进行监测，帮助管理员高效完成精细化授权，同时从事前管控、事中检测响应、事后调查处理全方位保护终端安全。

腾讯iOA在落地实践环节，已实现100万终端的部署规模，产品的商业成熟度和交付能力取得了市场的验证和认可。此外，腾讯iOA基于全球1500+个加速节点、2700+个按需调度合作节点集成全球加速服务，并依托10余年技术沉淀，结合哈勃、TAV、内容安全、云检测四大安全引擎守护终端安全。

在2020年新冠疫情防控期间，有效支撑了全网10W+终端的全负荷工作，目前已被应用于医疗、物流、教育、能源、金融、政府、酒店、地产等十大行业、数百家企业，为企业内网安全和应用上云打造统一、安全、高效的访问入口，构建全方位、一站式零信任安全体系。

混合办公能够顺利推广和执行的关键是保证混合办公安全，尤其是应用访问安全和终端数据安全，“零信任”则正好保障了这些安全需求。未来，腾讯安全将不断投入研发和革新技术，推动零信任在中国的落地，助力企业更好地应对混合办公新未来！

本文精选自腾讯研究院、腾讯安全&Gartner联合发布的白皮书，可点击文末“阅读原文”至Gartner官网阅读完整版。

GARTNER is a registered trademark and service mark of Gartner, Inc. and/or its affiliates in the U.S. and internationally and is used herein with permission. All rights reserved.[K1]