遠(yuǎn)程辦公時(shí)代網(wǎng)絡(luò)安全風(fēng)險(xiǎn)與對(duì)策

杜興業(yè) 董寧 梁滿志

摘要：遠(yuǎn)程辦公，百度百科的解釋是，分“遠(yuǎn)程”和“辦公”兩部分，是指通過現(xiàn)代互聯(lián)網(wǎng)技術(shù)，實(shí)現(xiàn)非本地辦公：在家辦公、異地辦公、移動(dòng)辦公等遠(yuǎn)程辦公模式。遠(yuǎn)程辦公是有史以來有關(guān)辦公室的一場(chǎng)最大的革命，其優(yōu)勢(shì)不言自明。然而，在遠(yuǎn)程辦公新趨勢(shì)的背后，網(wǎng)絡(luò)安全形勢(shì)也面臨嚴(yán)峻的挑戰(zhàn)。

關(guān)鍵詞：隱患分析;對(duì)策;措施

中圖分類號(hào)：TN915.08 文獻(xiàn)標(biāo)識(shí)碼：A 文章編號(hào)：1007-9416（2020）05-0183-01

1遠(yuǎn)程辦公存在的風(fēng)險(xiǎn)隱患分析

（1）系統(tǒng)安全風(fēng)險(xiǎn)。目前，提供遠(yuǎn)程辦公系統(tǒng)的供應(yīng)商安全能力參差不齊，部分供應(yīng)商在安全開發(fā)運(yùn)維、數(shù)據(jù)保護(hù)、個(gè)人信息保護(hù)等方面能力較弱。這也造成了在線會(huì)議、即時(shí)通信、文檔協(xié)作等辦公場(chǎng)景下系統(tǒng)安全功能不完備，系統(tǒng)自身的安全漏洞，不合適的安全配置等問題，將直接影響使用方和用戶的遠(yuǎn)程辦公安全。另外，用于遠(yuǎn)程辦公的設(shè)備，特別是用戶自有設(shè)備，在接人遠(yuǎn)程辦公系統(tǒng)時(shí)，由于未安裝或及時(shí)更新安全防護(hù)軟件，未啟用適當(dāng)?shù)陌踩呗?，被植入惡意軟件等原因，可能將?quán)限濫用、數(shù)據(jù)泄露等風(fēng)險(xiǎn)引入使用方內(nèi)部網(wǎng)絡(luò)。

（2）數(shù)據(jù)安全風(fēng)險(xiǎn)。遠(yuǎn)程辦公場(chǎng)景中，通過遠(yuǎn)程辦公系統(tǒng)可訪問使用方的數(shù)據(jù)，由于數(shù)據(jù)訪問權(quán)限的不合理設(shè)置、遠(yuǎn)程辦公系統(tǒng)自身的安全漏洞、用戶不當(dāng)操作等，可能導(dǎo)致使用方數(shù)據(jù)泄漏。由于遠(yuǎn)程辦公系統(tǒng)基于云計(jì)算平臺(tái)部署，使用方可能失去對(duì)數(shù)據(jù)的直接管理和控制能力，存在數(shù)據(jù)被非授權(quán)訪問和使用的風(fēng)險(xiǎn)。另外，遠(yuǎn)程辦公系統(tǒng)的部分功能（例如，企業(yè)通信錄、健康情況匯總、活動(dòng)軌跡填報(bào)等），可能收集、存儲(chǔ)用戶的個(gè)人信息（例如，姓名、電話、位置信息等），存在被濫采、濫用和泄露的風(fēng)險(xiǎn)。

（3）通信安全風(fēng)險(xiǎn)。遠(yuǎn)程辦公通常在居家環(huán)境或公共場(chǎng)所進(jìn)行。居家環(huán)境中，由于家用網(wǎng)絡(luò)設(shè)備安全防護(hù)能力和網(wǎng)絡(luò)通信保障能力較弱，存在網(wǎng)絡(luò)入侵和通信中斷風(fēng)險(xiǎn)。公共場(chǎng)所中，用戶和遠(yuǎn)程辦公系統(tǒng)利用公用網(wǎng)絡(luò)進(jìn)行通信，由于網(wǎng)絡(luò)環(huán)境和人員組成復(fù)雜，存在設(shè)備接人不安全網(wǎng)絡(luò)、數(shù)據(jù)被竊取、通信數(shù)據(jù)被篡改、被竊聽、設(shè)備丟失或被盜等風(fēng)險(xiǎn)。同時(shí)，遠(yuǎn)程辦公系統(tǒng)可能遭受惡意攻擊，導(dǎo)致辦公活動(dòng)難以進(jìn)行。

（4）監(jiān)管弱化風(fēng)險(xiǎn)。在企事業(yè)單位集中辦公，一股都有一定的監(jiān)控和保密機(jī)制，對(duì)于員工數(shù)據(jù)泄露存在一定的監(jiān)視和抑制。但是在家辦公，員工隨意性很強(qiáng)，可以以工作需要為由隨意使用各種重要數(shù)據(jù)，大大增加數(shù)據(jù)泄露風(fēng)險(xiǎn)。員工可能由于安全意識(shí)缺失或未嚴(yán)格遵守使用方的管理要求，引入安全風(fēng)險(xiǎn)，例如，將設(shè)備、賬號(hào)與他人共享導(dǎo)致對(duì)使用方業(yè)務(wù)系統(tǒng)的惡意攻擊;采用弱口令造成身份仿冒等。

2對(duì)策措施

2.1審慎選擇供應(yīng)商

在選擇供應(yīng)商時(shí)，要充分考慮以下幾個(gè)因素：供應(yīng)商的安全能力;供應(yīng)商的應(yīng)急響應(yīng)能力;供應(yīng)商的安全信譽(yù);以及供應(yīng)商對(duì)系統(tǒng)的安全承諾。盡量選擇綜合實(shí)力較強(qiáng)的供應(yīng)商，如騰訊、華為、阿里等大廠商，他們開發(fā)的遠(yuǎn)程辦公系統(tǒng)功能強(qiáng)大，服務(wù)保障體系比較完善。

2.2加強(qiáng)運(yùn)維管理

安排專職人員或部門負(fù)責(zé)安全事務(wù)，實(shí)時(shí)運(yùn)維遠(yuǎn)程辦公的相關(guān)系統(tǒng)。如果系統(tǒng)較多時(shí)應(yīng)該區(qū)分底層運(yùn)維和應(yīng)用運(yùn)維，不同系統(tǒng)或業(yè)務(wù)之間的運(yùn)維也應(yīng)做一定分離。合理制定操作流程以及巡檢制度，對(duì)響應(yīng)的系統(tǒng)、設(shè)備和網(wǎng)絡(luò)進(jìn)行定期檢查和測(cè)試。配置管理、變更管理、數(shù)據(jù)備份策略及測(cè)試都應(yīng)形成常態(tài)制度進(jìn)行操作執(zhí)行。

2.3合理區(qū)分風(fēng)險(xiǎn)層級(jí)

使用方要對(duì)業(yè)務(wù)、數(shù)據(jù)、應(yīng)用系統(tǒng)進(jìn)行安全風(fēng)險(xiǎn)分析，明確可用于遠(yuǎn)程辦公的業(yè)務(wù)、數(shù)據(jù)和業(yè)務(wù)系統(tǒng)，以及相關(guān)安全需求。哪些系統(tǒng)適合開放互聯(lián)網(wǎng)入口，哪些系統(tǒng)或工作需要接人使用方內(nèi)容才能操作，需要做詳細(xì)的梳理?？梢愿鶕?jù)不同的用戶群體，定義相應(yīng)的終端安全基線標(biāo)準(zhǔn)：如，對(duì)設(shè)備是否越獄或root.鎖屏密碼是否滿足要求、應(yīng)用的黑白名單等進(jìn)行檢查，看終端設(shè)備的計(jì)算環(huán)境是否滿足企業(yè)要求，不合規(guī)的移動(dòng)終端，不允許接入內(nèi)部網(wǎng)絡(luò)等?？梢酝ㄟ^專門系統(tǒng)，管理哪些終端設(shè)備允許接入系統(tǒng)，哪個(gè)用戶ID可以在哪個(gè)移動(dòng)終端上接入系統(tǒng)等，從而確保只有經(jīng)過授權(quán)且合規(guī)的終端設(shè)備，才能接人系統(tǒng)，確保移動(dòng)訪問安全。

2.4高度重視數(shù)據(jù)庫(kù)安全

在應(yīng)對(duì)網(wǎng)絡(luò)安全風(fēng)險(xiǎn)中，數(shù)據(jù)庫(kù)作為關(guān)鍵一環(huán)則顯得尤為重要。要做好數(shù)據(jù)庫(kù)的安全配置，從單個(gè)數(shù)據(jù)庫(kù)節(jié)點(diǎn)的數(shù)據(jù)來看，應(yīng)該盡可能地進(jìn)行安全方面的配置來避免遭受黑客攻擊以及非法訪問等。要進(jìn)行高可用部署，盡可能地部署多節(jié)點(diǎn)來構(gòu)成的高可用數(shù)據(jù)庫(kù)服務(wù)，這樣就能夠應(yīng)對(duì)硬件故障的問題，當(dāng)單個(gè)節(jié)點(diǎn)出現(xiàn)問題的時(shí)候，可以直接啟用備用節(jié)點(diǎn)來頂上;當(dāng)軟件出現(xiàn)BuG導(dǎo)致數(shù)據(jù)庫(kù)崩潰的時(shí)候，也可以通過高可用將故障進(jìn)行轉(zhuǎn)移。最后，要做好數(shù)據(jù)備份，以應(yīng)對(duì)運(yùn)維失誤以及網(wǎng)絡(luò)攻擊等問題。

2.5加強(qiáng)員工教育監(jiān)管

定期開展遠(yuǎn)程辦公安全教育和培訓(xùn)，提升安全意識(shí)。規(guī)范員工操作，如接人設(shè)備的基礎(chǔ)安全維護(hù)，接入系統(tǒng)后的正常使用都應(yīng)遵守企業(yè)的管理制度。組織專人對(duì)員工個(gè)人操作的終端進(jìn)行監(jiān)督檢查，督促員工及時(shí)安裝殺毒軟件，定期更新補(bǔ)丁，嚴(yán)格落實(shí)安全防護(hù)規(guī)程等。