疫情隔离的需求促使远程办公成为很多企业复工的主要方式。大量企业员工使用私人设备,通过家中的WiFi热点访问企业内部系统,身份、终端、网络、应用等多方面的不确定性,使得企业信息安全面临严峻挑战。与此同时,网络黑客也在蠢蠢欲动。自新冠肺炎病毒疫情爆发以来,借“疫情防控指南”、“健康信息收集表”等题材大肆传播的木马病毒、网络攻击也来势汹汹。当终端数量日益增多,网络环境以及内部架构不断升级和复杂化,企业的网络安全边界正日渐瓦解,传统的基于边界的安全防护体系已开始失效。不信任网络内部和外部的任何人/设备/系统,基于认证和授权重构访问控制的“零信任”架构,成为全球主流的网络安全框架之一。以“零信任”原则换取系统的“可信安全”,是护航远程办公安全的前提。那么,远程办公场景下,如何高效安全地访问内网?如何防止财务、代码库等敏感信息外泄?如何保障个人PC与移动终端设备“零信任”安全接入?腾讯安全联合云+社区打造的「产业安全专家谈」第十二期,邀请到腾讯iOA技术负责人、高级安全工程师蔡东赟,为大家解答以上问题。蔡东赟,腾讯高级安全工程师,腾讯无边界访问控制系统(iOA)技术架构负责人。9年信息安全领域从业经验,主导参与桌面UI框架和服务器类开源项目,拥有信息安全方向产品自主研发专利26项。Q:远程办公已是企业信息化办公的大势所趋,相较于传统的企业信息化办公,远程办公给企业的网络信息安全带来哪些新的要求和挑战?蔡东赟:远程办公由于物理空间不可控,从而衍生一系列的安全风险。具体而言,主要表现在终端、链路以及企业服务器三个方面:从终端和链路的角度来看,远程办公中员工访问的身份、设备、网络都是不可控的:访问者的身份不明,可能被简单侵入访问窃取机密;终端没有安装杀毒软件,存在高危安全漏洞;发起访问的应用是否存在供应链利用的问题,如使用带有问题的xshell版本;终端的网络安全环境不确定,所在网络环境未必有传统的网络安全防护设备,可能是接入了恶意WiFi,也可能有中间人,可能访问有问题的钓鱼网站,也可能存在敏感资产访问扫描、大流量泄密等等。从企业服务器的角度,远程访问时,企业服务暴露在公网上,此时传统的安全边界被打破,传统企业的安全防护措施如防火墙等难以抵御,可能面临DDoS攻击,伪造终端协议注入或探测等安全风险。Q:针对不同行业的远程办公用户,比如说互联网企业,政府机构、金融行业等,在远程办公安全防护需求方面有没有差异点或者需要特别关注的地方?蔡东赟:不同的行业由于保密标准不同,其远程办公的开放程度也是不一样的。以金融行业中的保险企业为例,保险安全防护最重要的是保单,因为每个业务员的操作,以及涉及中间的一个流转过程,终端都会保存保单信息的访问以及使用信息;同时对于涉及被保险人个人隐私的部分,要遵循明确的行业规范保密要求,因此对数据安全的要求较高。对于通用行业,一般可以根据职业属性进行管理。例如文员类员工,在远程办公中可能产生文件、商业机密这类内容级别的数据泄露;企业运维人员,则可能涉及影响公司生产活动的信息泄露。需要结合员工身份认证管理,进行访问权限管理以及相应办公操作方面的限制。Q:对于企业网络安全管理员,可以通过哪些措施,提升公司远程办公的安全性?蔡东赟:正如上面所说,伴随工作流逐渐移动化和云端化,产生了各种新的安全隐患。要保证企业内网的安全,除了要扼守内网边界防线,对于企业系统内外部的一切都不可掉以轻心。腾讯在企业安全运营上践行的零信任安全管理理念正是如此: