​online公开课实录丨腾讯远程办公安全最佳实践分享

因疫情波动截止到目前，远程办公仍然是很多企业复工的主要方式。然而，在远程办公场景下，大量员工使用私人设备，通过家中Wi-Fi热点访问企业内部系统，身份、终端、网络、应用等多方面的不确定性，令安全风险倍增。

近日，腾讯云「云加社区沙龙」线上举办，邀请了腾讯iOA高级产品经理张亮，为大家介绍在远程办公场景下，面对开放网络边界所带来的各种问题与挑战，腾讯安全如何基于“零信任”安全原则，通过无边界访问控制系统（iOA）进行应对和解决。

远程办公场景下，

企业网络安全面临哪些挑战？

伴随远程办公需求的迅速增长，企业办公访问行为发生巨大变化。来自外网终端的访问请求大量增加，内部的企业系统和资源需要对外发布，对企业的安全管理提出更高的要求：

首先是居家办公终端如何管理。远程办公中，企业员工使用家用PC、个人移动终端等设备复杂多样，无法全面了解和监控接入终端安全状况。各种接入人员的身份难以确认和管理混乱，给企业网络带来极大的风险。

其次是外网接入链路如何建立。企业数据在公网链路传输，面临劫持和监听的风险。员工基础网络千差万别，安全性和访问效率难以保障，以及在弱网络、海外网络下，如何保证链接稳定性，是安全管理迫切需要解决的问题。

最后是访问权限限制如何执行。针对内部的企业资源，采取全接入或全开放，业务系统或资源访问权限缺乏有效管理办法。开放在公网的访问暴露出更多的攻击面，一旦检测到威胁和入侵，无法进行快速响应。

由此可见，企业远程办公安全挑战主要体现在终端安全、链路安全、链路稳定性和访问控制四个方面。传统的基于边界的网络安全架构，已经无法满足企业的安全防护需求。

保障远程办公安全，零信任的应用是关键

面对越来越复杂的网络安全形势，零信任架构应运而生。“零信任”概念是在2010年由著名研究机构Forrester的首席分析师约翰.金德维格提出，指的是默认不信任网络内外部的任何人/设备/系统，基于身份认证和授权重构访问控制的信任基础。

其核心思想在于，在任何网络环境下，对访问的发起方进行多种维度的识别、验证和授权，对整个访问过程进行持续的监控、检测，打造无边界的安全网络。

近年来，零信任已经发展成为全球主流的网络安全架构之一，Google、微软、亚马逊等国外知名厂商都在大力推动零信任的应用。腾讯很早之前就已经关注到了这块IT基础建设和基础架构方面的变化，是国内最早展开相关研究的厂商之一。基于“零信任”安全理念，结合自身终端安全经验以及服务政企客户的实践，腾讯打造了无边界访问控制系统（iOA），助力企业网络的统一安全管理。

腾讯iOA

如何应对和解决远程办公安全问题

在企业安全运营实践中，腾讯无边界访问控制系统（iOA）依赖可信设备、可信身份、可信应用，将身份安全、终端安全与链路安全形成完整闭环，可实现终端在任意网络环境中安全、稳定、高效访问企业资源及数据，为远程办公保驾护航。

首先，身份安全作为“零信任”架构的第一关。有多种认证方式来确保访问是来自可信用户：如企业微信扫码、token双因子认证、本地身份、域身份以及自定义账号体系等适配不同企业组织架构；而在用户体验上，全应用系统单点登录（SSO）让使用更加便捷。

其次，在终端安全上，集成了病毒查杀、合规保护、安全加固、数据防泄露DLP、补丁分发等全方位的终端管控功能模块。其中，杀毒模块中采用了新一代的AI动态杀毒引擎， 海量样本可实时发现最威胁；EDR入侵检测基于腾讯多年来成熟的终端检测与响应技术，预设有300多种检测规则，可秒即发现入侵隐患，并通过云端联动最新威胁情报，实时推送检测规则与专家策略，为用户及时应对热点安全事件提供决策支持。

在链路安全上，独有的访问链路加密/解密网关，可针对终端指定WEB或应用程序流量层层加密，对不稳定网络做网络传输协议优化；同时支持访问控制管理、单链接请求授权，及时阻断违规访问与网络风险。

腾讯内部的每台终端上都有两个节点，一是腾讯iOA，包含身份认证（双因子认证TOF\自研Token）、访问流量加解密网关，访问控制策略引擎(人-应用-系统)、安全管理控制（资产盘点、安全加固、合规检测、数据保护、外设管控、EDR-终端入侵威胁检测与响应等）；二是腾讯终端安全管理系统，负责病毒查杀和补丁管理，抗击针对企业内网的外在攻击和现存漏洞；通过这两道利器，严格保障每一台终端的安全可信。

基于腾讯iOA

的企业安全应用实践

在内部应用实践中，腾讯iOA的应用规模达到了服务100+职场，60000+正式员工，10万+电脑终端，每日处理800亿+的全网安全大数据。腾讯员工可采用基于原有的VPN或通过腾讯iOA两种方式接入企业内网，而70%的员工都自主选择了腾讯iOA方式，不仅验证效率和验证速度提高了很多，VPN的访问场景也得到了改善。

基于腾讯iOA的可信终端和可信用户的控制体系，腾讯安全还处理了3个比较典型的安全事件：

1.2017年“永恒之蓝”病毒爆发，各行各业都受到了严重的冲击，在爆发期间腾讯10万台终端只有1台从外面环境中感染，且整个事件在5分钟内发现和阻隔处理完成，15分钟内把相应端口或者风险隔离策略下发到全网，没有对公司造成任何实际危害。

2.2019年6月爆发海莲花APT攻击潮，腾讯安全在某保护行动中遭到了一次来自APT32海莲花组织的反向域名的鱼叉式攻击，安全团队在2个小时内就发现其轨迹并迅速拔除，经普查腾讯10万台终端未有其他终端受到海莲花样本的鱼叉式攻击感染。

3.2018年行业大规模爆发Xshell后门软件供应链攻击事件时，腾讯早于业界24小时发现，利用终端和网络上的数据发现有PC异常的DNS通信，一天内对全网进行了Xshell软件供应链排查和处理工作，在整个行业爆发事件之前把700台终端的潜在威胁风险全部解除。

目前，基于腾讯iOA的安全体系已在政务、医疗、交通、金融等多行业应用，帮助客户构建了一站式的零信任安全体系，实现了安全管理效率和水准的升级。

更多零信任安全的分享，可以点击《产业安全专家谈丨远程办公背后，企业如何通过“零信任”保障办公安全？》

                      Tencent iOA