疫情隔离的需求促使远程办公成为很多企业复工的主要方式。大量企业员工使用私人设备,通过家中的WiFi热点访问企业内部系统,身份、终端、网络、应用等多方面的不确定性,使得企业信息安全面临严峻挑战。
与此同时,网络黑客也在蠢蠢欲动。自新冠肺炎病毒疫情爆发以来,借“疫情防控指南”、“健康信息收集表”等题材大肆传播的木马病毒、网络攻击也来势汹汹。当终端数量日益增多,网络环境以及内部架构不断升级和复杂化,企业的网络安全边界正日渐瓦解,传统的基于边界的安全防护体系已开始失效。不信任网络内部和外部的任何人/设备/系统,基于认证和授权重构访问控制的“零信任”架构,成为全球主流的网络安全框架之一。以“零信任”原则换取系统的“可信安全”,是护航远程办公安全的前提。那么,远程办公场景下,如何高效安全地访问内网?如何防止财务、代码库等敏感信息外泄?如何保障个人PC与移动终端设备“零信任”安全接入?腾讯安全联合云+社区打造的「产业安全专家谈」第十二期,邀请到腾讯iOA技术负责人、高级安全工程师蔡东赟,为大家解答以上问题。
蔡东赟,腾讯高级安全工程师,腾讯无边界访问控制系统(iOA)技术架构负责人。9年信息安全领域从业经验,主导参与桌面UI框架和服务器类开源项目,拥有信息安全方向产品自主研发专利26项。Q:远程办公已是企业信息化办公的大势所趋,相较于传统的企业信息化办公,远程办公给企业的网络信息安全带来哪些新的要求和挑战?蔡东赟:远程办公由于物理空间不可控,从而衍生一系列的安全风险。具体而言,主要表现在终端、链路以及企业服务器三个方面:Q:针对不同行业的远程办公用户,比如说互联网企业,政府机构、金融行业等,在远程办公安全防护需求方面有没有差异点或者需要特别关注的地方?
蔡东赟:不同的行业由于保密标准不同,其远程办公的开放程度也是不一样的。以金融行业中的保险企业为例,保险安全防护最重要的是保单,因为每个业务员的操作,以及涉及中间的一个流转过程,终端都会保存保单信息的访问以及使用信息;同时对于涉及被保险人个人隐私的部分,要遵循明确的行业规范保密要求,因此对数据安全的要求较高。对于通用行业,一般可以根据职业属性进行管理。例如文员类员工,在远程办公中可能产生文件、商业机密这类内容级别的数据泄露;企业运维人员,则可能涉及影响公司生产活动的信息泄露。需要结合员工身份认证管理,进行访问权限管理以及相应办公操作方面的限制。Q:对于企业网络安全管理员,可以通过哪些措施,提升公司远程办公的安全性?蔡东赟:正如上面所说,伴随工作流逐渐移动化和云端化,产生了各种新的安全隐患。要保证企业内网的安全,除了要扼守内网边界防线,对于企业系统内外部的一切都不可掉以轻心。腾讯在企业安全运营上践行的零信任安全管理理念正是如此: 默认不信任企业网络内外的任何人/设备/系统,基于身份认证和授权重新构建访问控制的信任基础,从而确保设备可信、用户可信、应用可信。企业安全管理人员也可以基于“零信任”的安全理念,从以下三个方面着手提升企业网络的安全性:Q:在远程办公安全防护方面,腾讯安全的防护策略和产品配置是怎样的?蔡东赟:刚才提到了,远程办公中,企业的数据资产安全是最为核心的安全问题,可以按“零信任”原则进行统一的安全管理。腾讯是率先在国内落地零信任安全架构的企业之一。经过多年应用实践的积累,2019年,由腾讯主导的“服务访问过程持续保护参考框架”国际标准在瑞士日内瓦通过立项,形成了国际上首个零信任的安全技术标准。在企业安全运营中,腾讯安全践行零信任的安全理念,结合20年运营实践能力,打造了腾讯iOA。它基于身份认证和授权重新构建访问控制的信任基础,确保设备可信、用户可信、应用可信,让终端在任意网络环境中都可以安全、稳定、高效地访问企业资源及数据。
从具体的产品架构来说,腾讯内部的每台终端上都有两个节点,一是腾讯iOA,包含身份认证(双因子认证TOF\自研Token)、访问流量加解密网关,访问控制策略引擎(人-应用-系统)、安全管理控制(资产盘点、安全加固、合规检测、数据保护、外设管控、EDR-终端入侵威胁检测与响应等);二是腾讯终端安全管理系统,负责病毒查杀和补丁管理,抗击针对企业内网的外在攻击和现存漏洞;通过这两道利器,严格保障每一台终端的安全可信。这套方案在腾讯内部应用中进行了多年的锤炼,并在政务、医疗、交通、金融等多个行业成功落地。Q:能否讲讲在疫情期间,腾讯安全帮助企业处理远程办公安全问题的实践措施?蔡东赟:疫情期间,企业远程办公需求高涨。尤其是对于大量传统行业人员来说,由于公司此前信息化程度不够,相关网络安全措施没有随之调整等原因,导致在远程办公时安全运维压力负担很大。近期我们留意到一些地产公司,对于远程办公,尤其是文档数据防泄漏存在较大的需求。同时,我们也帮助了一些具备一定信息化基础的互联网企业如游戏公司,接入了腾讯iOA,解决远程办公中的身份认证问题,并支持适配企业微信、自定义等多种认证方式,既保障了员工的访问体验,也提升了企业的安全管理效率。在承担社会责任方面,为了更好地帮助企业解决远程办公安全问题,腾讯安全面向广大政府、企业及机构用户,启动了「网络安全护航计划」(详情可戳>>>《腾讯安全面向广大企业免费开放远程办公安全保障服务》),企业可根据自身的安全需求,在腾讯云官网上找到相对应的服务,在疫情期间享受限时免费政策。此外,我们还协助全国多个省市政府,做好疫情服务小程序的安全防护工作。Q:随着移动办公的兴起,尤其在这次疫情期间,很多人使用私人电脑或者移动设备接入内网办公,在进行防护时移动终端安全和PC终端安全有什么区别,如何高效保障多终端远程办公安全?腾讯安全在这方面有什么解决方案?蔡东赟:移动终端安全的管理,相对PC终端安全管理而言更加复杂,同时两者又有许多相同的特征表现。而移动终端和PC终端的安全管理也存在共同的威胁,主要表现在以下三个方面:针对电脑端远程办公,腾讯终端安全管理系统和腾讯iOA将提供身份认证、网络准入、病毒防护、补丁下发等多重安全保障,同时也方便企业安全管理员进行协同管理;针对手机等移动设备,腾讯移动终端安全管理系统基于自研的「虚拟安全域」技术和多年的病毒防护能力,可在员工个人设备中创建独立的安全工作空间,保障员工设备的数据安全、抵御黑客攻击,并可通过统一的后台管理系统,协助企业提升远程设备的可控性,防止应用被破解,准确识别员工身份,提升管理应用权限的效率。
Q:对于企业普通员工而言,远程办公需要注意哪些网络安全问题,怎么样避免给企业以及自身造成不必要的损失?蔡东赟:首先要保障自身设备的安全。推荐部署腾讯iOA、腾讯终端安全管理系统及腾讯移动终端安全管理系统,抵御电脑端及手机端病毒木马入侵,提升设备的安全性。其次,要通过正规官方渠道下载安装软件,并确保邮件、共享文件分发链接的安全性,谨防共享文件成为病毒载体。第三,积极参与远程办公的安全培训。主动掌握必要的远程办公安全知识,共同创造一个高免疫力的办公环境,让每个人都可以积极主动地应对安全威胁。
、