一、背景
2020年的1月一场疫情的突然来袭,由于病毒传播的特性,为了避免群体聚集,保障生命安全。远程办公就成为了一场如火如荼又势在必行人人参与的工程。做为一个互联网公司的安全人员,我仅从在线会议、即时通信、文档协作、远程运维等典型远程办公应用场景中存在的主要安全风险,从安全管理、安全运维等方面,给出了具体的安全控制措施建议,为远程办公安全防护提供参考。
二、限制和范围
人员范围:为普通员工和运维人员、在线运营人员开展安全远程办公提供指导。不适合需要硬件维修或人员接触才能完成的工作。
常见工作模式:
- 系统后台操作;
- 远程登录服务器运维;
- 文档/代码协作;
- 多方参与的在线会议;
- 即时通信工具。
三、安全风险分析
远程办公的最大特点及时接入系统和人员物理环境的不确定性。(第3部分大部分摘自《网络安全标准实践指南—远程办公安全防护》)
- 供应商安全风险。目前,提供远程办公系统的供应商安全能力参差不齐,部分供应商在安全开发运维、数据保护、个人信息保护等方面能力较弱,难以满足使用方开展安全远程办公的要求。这里主要指非自建项目,如OA、在线会议、即时通信、文档协助的提供方。
- 远程办公系统自身安全风险。在线会议、即时通信、文档协作等办公场景下系统安全功能不完备,系统自身的安全漏洞,不合适的安全配置等问题,将直接影响使用方和用户的远程办公安全。
- 数据安全风险。远程办公场景中,通过远程办公系统可访问使用方的数据,由于数据访问权限的不合理设置、远程办公系统自身的安全漏洞、用户不当操作等,可能导致使用方数据泄漏。此外,由于远程办公系统基于云计算平台部署,使用方可能失去对数据的直接管理和控制能力,存在数据被非授权访问和使用的风险。
- 设备风险。用于远程办公的设备,特别是用户自有设备,在接入远程办公系统时,由于未安装或及时更新安全防护软件,未启用适当的安全策略,被植入恶意软件等原因,可能将权限滥用、数据泄露等风险引入使用方内部网络。
- 个人信息保护风险。远程办公系统的部分功能(例如,企业通信录、健康情况汇总、活动轨迹填报等),可能收集、存储用户的个人信息(例如,姓名、电话、位置信息、***件号码、生物特征识别数据等),存在被滥采、滥用和泄露的风险。
- 网络通信风险。用户和远程办公系统通常利用公用网络进行通信, 存在通信中断,通信数据被篡改、被窃听的风险。同时,远程办公系统可能遭受恶意攻击,导致办公活动难以进行。
- 环境风险。远程办公通常在居家环境或公共场所进行。居家环境中,由于家用网络设备安全防护能力和网络通信保障能力较弱,存在网络入侵和通信中断风险。公共场所中,由于网络环境和人员组成复杂,存在设备接入不安全网络、数据被窃取、设备丢失或被盗等风险。
- 业务连续性风险。远程办公增加了使用方关键业务、高风险业务的安全风险,远程办公系统可能由于负载能力、访问控制措施、容灾备份、应急能力等方面的不足导致业务连续性风险。
- 人员风险。用户可能由于安全意识缺失或未严格遵守使用方的管理要求,引入安全风险,例如,将设备、账号与他人共享导致对使用方业务系统的恶意攻击;采用弱口令造成身份仿冒等。
四、安全控制措施
采用零信任框架(英文简称:ZTA)可以更好的解决目前大部分企业所面临的问题。但是ZTA实施的代价是需要一整套网站体系来进行支持。ZTA是一种端到端的网络安全体系,包含身份、凭据、访问管理、操作、终端、托管环境与关联基础设施。零信任是一种侧重于数据保护的体系结构方法。企业如果没有准备好完整实施ZTA之前可以先简单的引入ZTA的一部分理念进行自己安全设计完善响应的安全措施。根据实际情况,我们将不再认可内网即是安全的这种错误的理念,结合传统边界防护和ZTA资源授权访问的理念进行相应的控制措施。
1. 远程办公需求分析和梳理
不加限制的任意接入,会产生巨大的安全隐患,因此企业要对业务、数据、应用系统进行安全风险分析,明确可用于远程办公的业务、数据和业务系统,以及相关安全需求。哪些系统适合开放互联网入口,哪些系统或工作需要接入企业内容才能操作,需要做详细的梳理。当然这个过程中需要考虑行业的监管要求,特别是金融证券、银行等监管是要求系统不能开放互联网入口的。
2. 远程接入的方式选择
(1) 内网接入方案一
通过VPN直接拨入内容,但是一旦连入内网则绕过了所有的内外网隔离,个人机上的桌管软件就失效了。于是就有了下方的一个解决方案,简单来说就是先拨上VPN,再上堡垒机访问自己的工作PC进行内网办公。VPN如果能够引入双因素认证将会更有保障(下方图片由某堡垒机产商提供)
这个方案优点是员工所有操作全监控全记录。缺点是通过堡垒机后所有的访问全都转化为视频流。几兆的文本变成了视频流量,即便有强大的视频压缩技术流量也会翻个5到10倍。人少带宽大的企业使用的确不错,需要大量人员同时接入办公的公司出口流量就顶不住了,毕竟很少有公司会把公司出口做成互联网机房那么大。还有经过多层跳转内网系统的打开会有明显的卡顿和操作不便。
(2) 内网方案二
使用SSO单点登录方式,先做身份鉴证。公网系统可采用双因子认证来确定用户身份即“你拥有的东西”,以及“你知道的东西”。可采用如短信或语音验证码,电子令牌,软令牌验证器等方式来实现。考虑到成本问题以及高可用来说freeOTP或Google身份验证器都是不错的选择。
通过SSO单点登录方式,先做身份鉴证,再按照不同的用户身份分别提供不同的访问方式。
将内网系统做区分类别:
- 监控系统和管理后台系统,提供互联网访问;
- 存放敏感信息的CRM系统和合同管理系统的访问,提供VPN登陆受控终端访问;
- 需要登录PC桌面的开发操作或绑定硬件设备才能行进的操作,提供VPN登陆受控终端访问;
- 服务器及网络设备通过VPN拨入,登录堡垒机进行操作。
堡垒机及VPN应具备完善的日志系统,以便后续回溯操作。在必要是设置命令屏蔽或双重授权才能进行高权限命令执行。
(3) 三方远程办公系统的选择
在选择供应商时,不仅仅是远程办公系统,所有的办公系统都应遵循以下原则。
- 供应商的安全能力;
- 供应商的应急响应能力;
- 供应商的安全信誉;
- 以及供应商对系统的安全承诺。
在目前已知的在线会议系统和聊天签到工具中,腾讯、华为、阿里等大厂商都有不错的工具可供选择,目前很多都是免费的,处于抢占市场的环节。
(4) 运维管理
应有专职的人员或部门负责安全事务,实时运维远程办公的相关系统。如果系统较多时应该区分底层运维和应用运维,不同系统或业务之间的运维也应做一定分离。
- 制定操作流程以及巡检制度,对响应的系统、设备和网络进行定期检查和测试。
- 配置管理、变更管理、数据备份策略及测试都应形成常态制度进行操作执行。
- 应急预案的编制和演练。
- 三方厂商的接入管理,即供应商管理,在必要时允许三方人员接入系统,但保障其行为得到监控和必要的授权。
- 员工操作规范,如接入设备的基础安全维护,接入系统后的正常使用都应尊崇企业的管理制度。
(5) 管理制度
管理制度可以参考ISO27001和等级保护相关要求依照企业实际情况来进行制定。相关参考标准有GB/T 22239 《信息安全技术 网络安全等级保护基本要求》、GB/T 31168 《信息安全技术云计算服务安全能力要求》、GB/T 35273《信息安全技术 个人信息安全规 范》的相关要求。
个人操作的终端应遵循组织要求,安装杀毒软件,定期更新补丁等操作。
其中最为重要的是定期开展远程办公安全教育和培训,提升用户安全意识。
五、监控和改进
完善的监控能够帮助企业尽快发现存在的不足和漏洞。通过持续的监控和改进才能不断完善安全防护。如果进行相应的监控,我们之后进行讨论。