鑽石舞台

疫情防控逐步常態化，對於傳統金融機構來說，遠程辦公已從原來的可選項變成了必選項，安全攻擊面驟然放大了很多，如何平衡遠程辦公的效率與信息安全自然成為安全團隊必須面對和思考的問題。

首先，按照以業務為中心的安全架構設計原則，我們需要了解和對比實施遠程辦公前後的差異情況(此處只討論PC場景，暫不考慮移動設備場景)。以傳統金融機構為例，實施遠程辦公之前，辦公網和開發網、辦公網和生產網之間包括服務端和終端在內都是隔離的，只有辦公網可以通過郵件審批的方式向互聯網轉發資料，此時辦公安全的機制是相對比較完善的。而實施遠程辦公之後，我們需要通過遠程連接到內網的終端上進行開發和辦公，傳統的方式是採用VPN（虛擬專用網絡）方式實現遠程連接。

表 1傳統金融機構遠程辦公示意圖

遠程辦公之前，VPN僅用於少部分場景，遠程辦公之後，VPN的使用場景、使用時長和使用人員角色、使用人數都大幅增加。VPN在遠程辦公大規模使用時存在很多問題，如網絡帶寬不足、個人設備安全機制欠缺、蘋果系列設備終端管控軟件缺失、遠程桌面不支持音頻傳輸、內網IP地址不固定、網絡不穩定導致卡頓等問題，這些問題的解決過程必然與安全工作產生很多衝突和碰撞。常見的安全風險有以下這些：

（一）打破傳統網絡邊界

互聯網方式接入企業內網，傳統的網絡邊界就變得模糊複雜，隨時隨地的接入需求，多種多樣的接入方式，身份難辨的接入設備，對企業網絡安全體系的建設帶來巨大的考驗。

（二）接入終端設備管控難度高

Gartner研究報告指出，2019年企業辦公中自帶設備與企業配發設備已成主流，自帶設備占比逐步上升。接入設備多樣化，使得企業設備的管控難度和安全風險大增，企業應用的兼容性和穩定性也難以保障。

（三）公有雲協同辦公軟件數據泄露風險高

雖然公有雲協同辦公軟件使用非常便捷，但數據泄露風險很高，尤其因為軟件是免費的，對企業的數據保護職責缺乏明確約束。

為了更好地平衡性安全與工作效率，VPN的遠程辦公方案應進行體系化設計和建設，主要從以下幾個方面進行考慮:

（一）遠程接入安全方面

遠程接入通常採用SSL VPN的方式，我們應選擇一家成熟的廠商接入其產品進行部署。關於用戶認證，通常使用靜態密碼結合短信驗證碼雙因子方式進行認證。接入時應選擇綁定設備的方式，VPN軟件會採集本地設備信息，每個賬戶僅允許綁定一台設備。另外應定期對VPN的連接情況進行事後審計，及時發現連接異常情況。

由於VPN連接不穩定且對外暴露固定端口，有些企業已經部署了零信任SDP安全網關。零信任網關的控制中心對包括用戶、設備、網絡、時間、位置等多因素的身份信息進行驗證，確認身份的可信度和可靠性。在默認不可信的前提下，只有全部身份信息符合安全要求，才能夠認證通過，客戶端才能夠與安全網關建立加密的隧道連接，由安全網關代理可訪問的服務。針對異地登錄、新設備登錄等風險行為，系統將追加二次驗證，防止賬號信息泄露而導致的內網入侵。

（二）終端安全方面

經調研了解，Windows平台的管控軟件相對比較成熟，而蘋果系列設備的管控軟件缺失問題突出。為了避免終端設備接入VPN後，終端可以同時連接內網和互聯網遭遇攻擊，建議連上VPN後就通過VPN客戶端程序屏蔽掉除VPN地址之外的其他互聯網連接，同時為了防止連接惡意網址，終端上也可安裝ONE DNS Agent等軟件。除了網絡連接之外，也可以安裝USB接口管控軟件對USB接口進行管控，避免通過USB接口泄露數據。

連接VPN方式可以分為VPN直連和遠程桌面連接。VPN直連方式可以提供相對更好的工作體驗和更高的工作效率，但由於可以將文件直接下載到本地終端，所以對終端本地安全有較高的要求，適用於統一配發終端的場景。遠程桌面連接方式在終端無法統一配發的情況下推薦使用，如對於合作廠商的人員通常是不會統一配發終端設備的。

另外在數據安全方面，終端應該採用文檔加密、數字水印、終端DLP軟件等方式對本地數據進行保護，避免敏感數據泄露。

（三）協同軟件安全方面

遠程辦公時，項目過程中涉及的代碼評審、項目進度對齊、方案評審、聯調問題溝通等都需要改為線上溝通，所以IM、網絡會議、共享文檔等協同軟件是必不可少的。

圖 2協同軟件助力工作效率提升

較大的組織機構通常會在內網私有化部署IM、網絡會議、共享文檔等軟件，遠程辦公以後，出於安全考量，如果通過VPN連接到內網使用，便會對互聯網的接入帶寬提出較高的要求，如果帶寬不夠，則會對辦公效率產生較大的影響。如果使用企業微信、釘釘、騰訊會議等公有雲軟件的，則可能引發信息泄露風險，特別是如果涉及到文件投影，由於文件在內網和禁止終端同時連接內外網的原因，則會陷入連上VPN可以獲取數據卻無法使用公有雲協同軟件，或者不連接VPN可以使用公有雲協同軟件卻無法獲取數據的尷尬境地。

如果要實現高效率的辦公效果，必須實現協同軟件與數據同步，或者互聯網終端同時支持連接VPN和白名單內的協同辦公軟件URL地址，或者內網私有化部署完備的各類協同辦公軟件且保障VPN帶寬可供使用。至於使用哪種方式，建議參照數據分類分級的思路，以制度規範的形式約定不同的業務場景採用不同的方式。

對於安全工作來講，遠程辦公最大的困難是如何實現工作效率和安全的平衡。要實現這種平衡我們必須深入調研遠程辦公的各類場景，從網絡接入、終端安全和協同辦公安全等方面進行規劃設計，整合相關安全產品的安全能力，從事前、事中和事後管控遠程辦公風險。