诸子笔会2022 | 陈圣:企业远程办公安全所思所想
自2022年5月起,“诸子笔会第二季”正式拉开帷幕。经过对首届活动复盘,我们在坚持大原则、大框架、主体规则基础上,优化赛制特别是奖项设置和评奖方式。13位专家作者组成首批“笔友”,自拟每月主题,在诸子云知识星球做主题相关每日打卡,完成每月一篇原创。除了共同赢取10万元高额奖金,我们更要聚焦甲方关注,发掘最佳实践,弘扬分享精神,实现名利双收。本期发文,即诸子笔会月度主题来稿之一。
企业远程办公安全所思所想
企业远程办公安全所思所想
文 | 陈圣
陈圣
中通快递安全专家
在全国人民共同的努力下,疫情总算得到了一定的抑制,虽然时不时有小范围的反复,但是为了保证抗击疫情的努力不白费,很多企业单位都选择远程办公作为首要复工选项。在这种新的形势下,我们可以通过电话、笔记本甚至手持设备,用一根网线连接到办公室的网络环境中,从容不迫地完成工作。
随之而来的,可能是一系列的问题:沟通效率,安全,甚至是工作与生活的边界,这些问题都一一袭来……作为信息安全从业者,如何保障好企事业单位重要数据的安全,以及应采取哪些数据安全防护措施,成为我们首要考虑的问题。
先从远程办公场景下数据安全隐患的分析入手,并针对终端、网络及业务系统所涉及的主要数据安全威胁进行详细分析,再介绍针对威胁隐患涉及的常规安全措施,最后重点介绍几点需要加强的数据安全措施,以确保远程办公的数据具备基本安全保障。
话不多说,我们先来说说远程办公或居家办公的优点和缺点。
看来是“喜忧参半”了,无论是个人、企业、还是社区,人们都会更加关注由此引发的安全挑战。即便企业目前当前并没有受到疫情的困扰,但我们也可以回过头来仔细复盘和总结:当我们处于居家或移动办公的环境下,会存在哪些风险?会给公司带来什么样的安全或隐私问题?如何缓解或者转嫁这些风险?
笔者站在亲历者的视角,分析居家办公的风险,以及如何确保企业及员工可能面临的风险。首先,我们无法确保家庭办公室、咖啡馆或公共工作区的人身安全,也无法控制或确保员工使用的网络环境的安全,因为其他用户(家人、朋友、客人甚至陌生人)通常都可以访问公共网络及家庭网络。同时在信息安全方面,可能缺乏对最佳实践及相关意识的培训或了解,这对身处办公室和家里的员工面临同一个问题——很多普通非信息安全部门的员工并不了解他们在居家办公时所要必须知晓的角色及所担负的责任。
那么,我们可以通过哪些方式来缓解这些风险:
1、及时颁布居家办公的相关制度和政策
如果企业因为疫情允许员工在非办公室的其他地点工作或居家办公,则必须制定明确的“居家办公”或“远程办公”政策。通过建立一套员工居家必须遵守的程序,这样有助于减少远程办公的固有风险。尽可能将此策略与其他信息安全策略(比如《员工手册》)一起使用,以详细说明所有员工在涉及居家办公实施过程中应尽的责任。
居家办公策略中需要包含的一些过程示例包括:批准居家办公或远程办公工作人员的申请流程
●定义好员工的安全责任
●概述每个员工必须确保护其居家办公工作区的一些注意事项
●概述办公设备或网络设备操作步骤(这可以是单独的策略或参考其他安全策略)
●确保对存储和传输中的所有数据使用加密的(使用加密协议)
●强制远程接入使用专属VPN
●如果发生事故,明确向上级报告的相关程序或应急响应措施
虽然制定政策有助于降低风险,但相应的政策还应该及时更新,并且在创建或更新时,应获得信息技术团队或信息安全部门的确认。任何涉及信息技术或数据隐私的政策也应该及时更新符合企业现状。还需要注意,信息安全策略及制度不是静态文档,要随着威胁的变化和新技术的出现,而不断地迭代并保持最新。
2、确保使用恰当的安全工具
“君欲善其事必先利其器”,制定政策可以让员工知道他们需要做什么(what)以及如何做(how),使用哪个工具(which),遇到问题可以问谁(who)等操作,可以降低居家工作的风险。根据公司和员工的角色,这些工具可能会有所不同。以下是笔者在居家工作策略中引用的一些工具的示例:
EasyConnect或者SecoClient将确保网络流量得到加密,即使在使用4G和5G这种公共网络上也是如此。如果家庭WiFi网络与其他人(家人、朋友、客人)共享,也建议在家庭办公环境使用。
内置加密,苹果(FileVault)和微软(Bitlocker)都在其操作系统中提供本机工具,以支持设备上硬盘的加密。此工具可确保在硬盘丢失或设备被盗的情况下,从设备上提取数据会更加困难。
密码管理器(Bitwarden或Microsoft authenticator或1Password),这些工具将帮助员工存储密码并生成安全的密码。它们有助于降低员工在所有服务中使用相同密码的风险。
内置防火墙,苹果和微软都有一个防火墙,可以在他们的任何设备上启用。这对于防止恶意入站或出站请求非常有用。
3、在IM及公司公告中不断提醒员工的健康和安全意识
如果员工感到压力大、焦虑或情绪低落(居家办公3个月,哪里都不能去,甚至被隔离的这帮同事更加要帮助),这样有效提醒员工不给网络攻击者提供机会。由于我们在疫情期间接触到的信息源充斥着疫情播报、核酸检测、抗原检测、卫健委紧急指导意见、××发布等信息,员工很容易无意中打开一封虚假的协助抗原检测或者冒充隔离通知的电子邮件。
4、培训和最佳实践
制定一项政策并用工具为其提供支持可以让员工明确并知晓,对他们进行最佳实践方面的教育和培训将有助于解释和概述他们为什么需要遵循政策并使用相关工具。主要是为了让员工从意识上提高对网络安全和隐私保护的认知。很多公司提供某种形式的安全意识培训,然而,这种培训通常每年只进行一次,并且很快就会过时。建议考虑每月或每季度举办培训课程,以帮助员工了解相关风险和威胁,并在涉及到公司的信息安全宣传计划和远程办公时便于了解他们的责任。
远程办公对公司和员工来说是件好事,但也有风险。为了确保公司、数据和员工的安全,需要打好基础。该基础应包括远程办公策略(由其他信息安全策略补充)、保护员工的工具以及确保他们了解其职责的培训。
企业应该花点时间回顾一下公司内部的居家办公。未来排除疫情的影响,可能是一种新的正常发展趋势,因为国外已经有很多公司转向居家办公,员工似乎也很享受。然而,如果这是新的趋势,那么执行的相关政策是否仍然具备相应的条件?这些政策和操作程序是否只是暂定的?
如果企业正在转向更长期的居家或远程办公,那么企业的安全团队应当加强以下内容的审查:
●与员工讨论符合居家办公的条件有哪些?哪些条件更为有效?
●是否仍需遵循所制定的相关安全制度?
制度策略本身是否需要根据实际情况进行更新?
●如果居家办公是大多数员工的新常态,这是否需要更新其他安全策略?是否出现了新的威胁?
●哪些安全策略需要进行加固和升级?
通过这些问题的讨论可以帮助我们确保居家办公的基础安全,也有助于员工积极参与进来,使他们成为安全的一部分。
说了这么多,也提到很多次安全策略或安全协议。笔者多次参与安全制度和协议的编写工作,这些协议当中,明确列出希望员工遵守的各种安全条款,以及违反协议的后果。笔者认为,签署这些协议之前非常重要的一点,就是要向员工解释清楚公司打算如何将相关条款进行落地。一旦员工签署了此类政策文件,务必确保其遵守,并能够有效地进行落地。
其次为员工配备恰当的工具和技术。制定合适的居家办公安全政策仅仅是一个开始,第二步要确保员工拥有保持合规所需的工具和相关资源。如前文所述,从VPN到密码管理器,再到防病毒软件,确保远程员工拥有合规所必须的相关工具软件和环境,这样他们就可以少花时间,甚至不必担心法规的遵从性,多花时间专注于完成手头的工作。
确保实时更新网络安全系统。居家办公的员工用来访问公司或客户数据的任何设备都必须配备网络安全系统,如防火墙、防病毒软件、防垃圾邮件过滤工具甚至DLP(注:DLP应该让员工提前知晓),而且这些系统必须保持最新。甚至可以考虑投入一个移动设备管理平台,这样,如果设备丢失或被盗,就可以远程擦除其中的任何敏感数据。但是坦率地说,这是一笔不菲的投入。在不影响远程办公业务的前提下,企业对于重要的业务数据,有必要采取数据脱敏技术,确保员工远程办公所获取的数据是被脱敏过的,这样即使数据出现泄露,对企业业务的影响也有限,避免违反《网络安全法》等国家法律法规。
规范个人设备的使用。说到设备,在当今以技术独领风骚的世界中,许多组织都制定了某种“自携带设备”(BYOD-Bring Your Own Device)政策。虽然BYOD有很多优点,但它确实会给远程员工带来一定的安全风险。例如,个人设备可能没有密码保护或使用过时的防病毒软件。为此,如果企业有BYOD政策,尽量限制在线下办公的员工身上,并要求远程员工使用企业统一提供的设备。
“零信任”笔者就不做过多介绍,因为业界已经有非常多的场景、厂商和方案。笔者所在的企业已经自研出一种网络安全策略,它围绕着一个简单的原则:永远不要信任,总是验证。它被称为零信任方法,通过“基于身份、设备和服务的持续验证管理和授予访问权限”,可以建立自我提供保护的零信任策略,策略是将每个远程访问请求视为来自不受控制的网络,并相应地对其进行身份验证。
确保所有网络连接都是安全的。这意味着不允许使用不安全的WiFi网络。这并不意味着员工被禁止不能使用附近邻居家或者咖啡馆的公开WiFi,正好相反,我们要做的是要让员工清楚,如果他们决定在不受控的公共场所工作或家中办公,应该首先想到使用公司的VPN来保护他们的连接。
多因素身份验证。多因素身份验证(MFA)要求用户提供多种不同类型的信息以验证其身份。MFA的常见示例包括安全问题、推送通知、个人身份号码和生物特征识别。双因素身份验证可能是最广为人知的MFA形式,也是确保远程工作安全的一种简单方法。
监控员工的远程工作。笔者认为,在尽可能理想的情况下,员工将始终遵守远程工作安全最佳实践和相关规定。但事实上并非如此,无论是有意还是无意,远程办公的员工往往达不到预期的效果,这时企业就应当尽快识别和解决此类安全风险。市场上有很多远程监控系统,可以监视员工的活动。据笔者所知,欧美等外资企业在这方面表现得更为宽松。为了避免感觉自己被监视,有相关需求的企业需要提前让员工知晓你打算跟踪他们的活动,以确保他们遵守公司的远程(居家)工作安全政策。
网络安全防护。连接远程办公的相关网络通道的接口处需要部署网络防火墙及IPS(入侵防御系统),对远程办公网络连接进行相关的访问控制及各种网络入侵防护,确保非远程办公的其他网络流量无法进入业务系统内,同时可对各种通过网络入侵的行为进行实时检测与拦截。
应用安全防护。对于应用安全防护,笔者认为常规的防护措施一般聚焦在Web应用和数据库应用,主要防护Web页面被非法篡改、Web被挂马、数据库被拖库等,常见部署策略为WAF(Web应用防火墙)和数据库防火墙、数据库审计等产品。另外业务权限控制也是防范数据安全重要措施之一,确保员工在满足正常业务操作需求的前提下设置最小化的数 据访问权限,这样可以尽量降低数据被破坏或泄露的影响范围。
API接口的防护。对于Web方式,数据安全防护的重点是加强 Web系统的安全,等级保护相关标准都已有明确要求,因此满足等级保护相关要求的系统基本可以满足Web数据安全防护要求。但是对于API方式,很多的系统安全设计考虑还有欠缺的地方,因此API接口也常常成为安全攻击的突破口,笔者所在的行业就有过通过API接口攻击导致数据泄露或破坏的典型场景。
综上,任何一个企业的网络要想得到更好的运用,网络都要开放,尤其对于居家办公的需求,不开放意味着无法为员工提供更好的办公服务。然而一旦敞开网络大门,在网络资源优势得以充分发挥、网络技术得到发展、应用日渐广泛、服务质量和效率大大提高的同时,网络安全问题会逐步凸显。远程接入是现代化网络办公或网上信息交流很好的方式,其安全问题绝对不能忽视。
【6月主题:远程办公与安全】
王忠惠 于闽东 刘志诚 孙琦 朱文义
张增斌 肖文棣 杨文斌 张永宏 孙瑜
【5月主题:安全之变】
王忠惠 张永宏 朱文义 于闽东 刘志诚 杨文斌
孙琦 孙瑜 半藏咸鱼 肖文棣 王振东 陈圣
2021首届诸子笔会
齐心抗疫 与你同在