遠程辦公時代網絡安全風險與對策

杜興業 董寧 梁滿志

摘要：遠程辦公，百度百科的解釋是，分“遠程”和“辦公”兩部分，是指通過現代互聯網技術，實現非本地辦公：在家辦公、異地辦公、移動辦公等遠程辦公模式。遠程辦公是有史以來有關辦公室的一場最大的革命，其優勢不言自明。然而，在遠程辦公新趨勢的背后，網絡安全形勢也面臨嚴峻的挑戰。

關鍵詞：隱患分析;對策;措施

中圖分類號：TN915.08 文獻標識碼：A 文章編號：1007-9416（2020）05-0183-01

1遠程辦公存在的風險隱患分析

（1）系統安全風險。目前，提供遠程辦公系統的供應商安全能力參差不齊，部分供應商在安全開發運維、數據保護、個人信息保護等方面能力較弱。這也造成了在線會議、即時通信、文檔協作等辦公場景下系統安全功能不完備，系統自身的安全漏洞，不合適的安全配置等問題，將直接影響使用方和用戶的遠程辦公安全。另外，用于遠程辦公的設備，特別是用戶自有設備，在接人遠程辦公系統時，由于未安裝或及時更新安全防護軟件，未啟用適當的安全策略，被植入惡意軟件等原因，可能將權限濫用、數據泄露等風險引入使用方內部網絡。

（2）數據安全風險。遠程辦公場景中，通過遠程辦公系統可訪問使用方的數據，由于數據訪問權限的不合理設置、遠程辦公系統自身的安全漏洞、用戶不當操作等，可能導致使用方數據泄漏。由于遠程辦公系統基于云計算平臺部署，使用方可能失去對數據的直接管理和控制能力，存在數據被非授權訪問和使用的風險。另外，遠程辦公系統的部分功能（例如，企業通信錄、健康情況匯總、活動軌跡填報等），可能收集、存儲用戶的個人信息（例如，姓名、電話、位置信息等），存在被濫采、濫用和泄露的風險。

（3）通信安全風險。遠程辦公通常在居家環境或公共場所進行。居家環境中，由于家用網絡設備安全防護能力和網絡通信保障能力較弱，存在網絡入侵和通信中斷風險。公共場所中，用戶和遠程辦公系統利用公用網絡進行通信，由于網絡環境和人員組成復雜，存在設備接人不安全網絡、數據被竊取、通信數據被篡改、被竊聽、設備丟失或被盜等風險。同時，遠程辦公系統可能遭受惡意攻擊，導致辦公活動難以進行。

（4）監管弱化風險。在企事業單位集中辦公，一股都有一定的監控和保密機制，對于員工數據泄露存在一定的監視和抑制。但是在家辦公，員工隨意性很強，可以以工作需要為由隨意使用各種重要數據，大大增加數據泄露風險。員工可能由于安全意識缺失或未嚴格遵守使用方的管理要求，引入安全風險，例如，將設備、賬號與他人共享導致對使用方業務系統的惡意攻擊;采用弱口令造成身份仿冒等。

2對策措施

2.1審慎選擇供應商

在選擇供應商時，要充分考慮以下幾個因素：供應商的安全能力;供應商的應急響應能力;供應商的安全信譽;以及供應商對系統的安全承諾。盡量選擇綜合實力較強的供應商，如騰訊、華為、阿里等大廠商，他們開發的遠程辦公系統功能強大，服務保障體系比較完善。

2.2加強運維管理

安排專職人員或部門負責安全事務，實時運維遠程辦公的相關系統。如果系統較多時應該區分底層運維和應用運維，不同系統或業務之間的運維也應做一定分離。合理制定操作流程以及巡檢制度，對響應的系統、設備和網絡進行定期檢查和測試。配置管理、變更管理、數據備份策略及測試都應形成常態制度進行操作執行。

2.3合理區分風險層級

使用方要對業務、數據、應用系統進行安全風險分析，明確可用于遠程辦公的業務、數據和業務系統，以及相關安全需求。哪些系統適合開放互聯網入口，哪些系統或工作需要接人使用方內容才能操作，需要做詳細的梳理。可以根據不同的用戶群體，定義相應的終端安全基線標準：如，對設備是否越獄或root.鎖屏密碼是否滿足要求、應用的黑白名單等進行檢查，看終端設備的計算環境是否滿足企業要求，不合規的移動終端，不允許接入內部網絡等。可以通過專門系統，管理哪些終端設備允許接入系統，哪個用戶ID可以在哪個移動終端上接入系統等，從而確保只有經過授權且合規的終端設備，才能接人系統，確保移動訪問安全。

2.4高度重視數據庫安全

在應對網絡安全風險中，數據庫作為關鍵一環則顯得尤為重要。要做好數據庫的安全配置，從單個數據庫節點的數據來看，應該盡可能地進行安全方面的配置來避免遭受黑客攻擊以及非法訪問等。要進行高可用部署，盡可能地部署多節點來構成的高可用數據庫服務，這樣就能夠應對硬件故障的問題，當單個節點出現問題的時候，可以直接啟用備用節點來頂上;當軟件出現BuG導致數據庫崩潰的時候，也可以通過高可用將故障進行轉移。最后，要做好數據備份，以應對運維失誤以及網絡攻擊等問題。

2.5加強員工教育監管

定期開展遠程辦公安全教育和培訓，提升安全意識。規范員工操作，如接人設備的基礎安全維護，接入系統后的正常使用都應遵守企業的管理制度。組織專人對員工個人操作的終端進行監督檢查，督促員工及時安裝殺毒軟件，定期更新補丁，嚴格落實安全防護規程等。