首页 > 信息安全 > 正文

浅谈远程办公安全

2020-04-15 10:33:57  来源:FreeBuf

摘要:2020年的1月一场疫情的突然来袭,由于病毒传播的特性,为了避免群体聚集,保障生命安全。远程办公就成为了一场如火如荼又势在必行人人参与的工程。
关键词: 安全 远程办公
  一、背景

  2020年的1月一场疫情的突然来袭,由于病毒传播的特性,为了避免群体聚集,保障生命安全。远程办公就成为了一场如火如荼又势在必行人人参与的工程。做为一个互乐天堂手机版客户端公司的安全人员,我仅从在线会议、即时通信、文档协作、远程运维等典型远程办公应用场景中存在的主要安全风险,从安全管理、安全运维等方面,给出了具体的安全控制措施建议,为远程办公安全防护提供参考。
 
  二、限制和范围
 
  人员范围:为普通员工和运维人员、在线运营人员开展安全远程办公提供指导。不适合需要硬件维修或人员接触才能完成的工作。
 
  常见工作模式:
 
  系统后台操作;
 
  远程登录服务器运维;
 
  文档/代码协作;
 
  多方参与的在线会议;
 
  即时通信工具。
 
  三、安全风险分析
 
  远程办公的最大特点及时接入系统和人员物理环境的不确定性。(第3部分大部分摘自《网络安全标准实践指南—远程办公安全防护》)
 
  供应商安全风险。目前,提供远程办公系统的供应商安全能力参差不齐,部分供应商在安全开发运维、数据保护、个人信息保护等方面能力较弱,难以满足使用方开展安全远程办公的要求。这里主要指非自建项目,如OA、在线会议、即时通信、文档协助的提供方。
 
  远程办公系统自身安全风险。在线会议、即时通信、文档协作等办公场景下系统安全功能不完备,系统自身的安全漏洞,不合适的安全配置等问题,将直接影响使用方和用户的远程办公安全。
 
  数据安全风险。远程办公场景中,通过远程办公系统可访问使用方的数据,由于数据访问权限的不合理设置、远程办公系统自身的安全漏洞、用户不当操作等,可能导致使用方数据泄漏。此外,由于远程办公系统基于云计算平台部署,使用方可能失去对数据的直接管理和控制能力,存在数据被非授权访问和使用的风险。
 
  设备风险。用于远程办公的设备,特别是用户自有设备,在接入远程办公系统时,由于未安装或及时更新安全防护软件,未启用适当的安全策略,被植入恶意软件等原因,可能将权限滥用、数据泄露等风险引入使用方内部网络。
 
  个人信息保护风险。远程办公系统的部分功能(例如,企业通信录、健康情况汇总、活动轨迹填报等),可能收集、存储用户的个人信息(例如,姓名、电话、位置信息、***件号码、生物特征识别数据等),存在被滥采、滥用和泄露的风险。
 
  网络通信风险。用户和远程办公系统通常利用公用网络进行通信, 存在通信中断,通信数据被篡改、被窃听的风险。同时,远程办公系统可能遭受恶意攻击,导致办公活动难以进行。
 
  环境风险。远程办公通常在居家环境或公共场所进行。居家环境中,由于家用网络设备安全防护能力和网络通信保障能力较弱,存在网络入侵和通信中断风险。公共场所中,由于网络环境和人员组成复杂,存在设备接入不安全网络、数据被窃取、设备丢失或被盗等风险。
 
  业务连续性风险。远程办公增加了使用方关键业务、高风险业务的安全风险,远程办公系统可能由于负载能力、访问控制措施、容灾备份、应急能力等方面的不足导致业务连续性风险。
 
  人员风险。用户可能由于安全意识缺失或未严格遵守使用方的管理要求,引入安全风险,例如,将设备、账号与他人共享导致对使用方业务系统的恶意攻击;采用弱口令造成身份仿冒等。
 
  四、安全控制措施
 
  采用零信任框架(英文简称:ZTA)可以更好的解决目前大部分企业所面临的问题。但是ZTA实施的代价是需要一整套网站体系来进行支持。ZTA是一种端到端的网络安全体系,包含身份、凭据、访问管理、操作、终端、托管环境与关联基础设施。零信任是一种侧重于数据保护的体系结构方法。企业如果没有准备好完整实施ZTA之前可以先简单的引入ZTA的一部分理念进行自己安全设计完善响应的安全措施。根据实际情况,我们将不再认可内网即是安全的这种错误的理念,结合传统边界防护和ZTA资源授权访问的理念进行相应的控制措施。
 
  1. 远程办公需求分析和梳理
 
  不加限制的任意接入,会产生巨大的安全隐患,因此企业要对业务、数据、应用系统进行安全风险分析,明确可用于远程办公的业务、数据和业务系统,以及相关安全需求。哪些系统适合开放互乐天堂手机版客户端入口,哪些系统或工作需要接入企业内容才能操作,需要做详细的梳理。当然这个过程中需要考虑行业的监管要求,特别是金融证券、银行等监管是要求系统不能开放互乐天堂手机版客户端入口的。
 
  2. 远程接入的方式选择
 
  (1) 内网接入方案一
 
  通过VPN直接拨入内容,但是一旦连入内网则绕过了所有的内外网隔离,个人机上的桌管软件就失效了。于是就有了下方的一个解决方案,简单来说就是先拨上VPN,再上堡垒机访问自己的工作PC进行内网办公。VPN如果能够引入双因素认证将会更有保障(下方图片由某堡垒机产商提供)
 
\
 
  这个方案优点是员工所有操作全监控全记录。缺点是通过堡垒机后所有的访问全都转化为视频流。几兆的文本变成了视频流量,即便有强大的视频压缩技术流量也会翻个5到10倍。人少带宽大的企业使用的确不错,需要大量人员同时接入办公的公司出口流量就顶不住了,毕竟很少有公司会把公司出口做成互乐天堂手机版客户端机房那么大。还有经过多层跳转内网系统的打开会有明显的卡顿和操作不便。
 
  (2) 内网方案二
 
  使用SSO单点登录方式,先做身份鉴证。公网系统可采用双因子认证来确定用户身份即“你拥有的东西”,以及“你知道的东西”。可采用如短信或语音验证码,电子令牌,软令牌验证器等方式来实现。考虑到成本问题以及高可用来说freeOTP或Google身份验证器都是不错的选择。
 
  通过SSO单点登录方式,先做身份鉴证,再按照不同的用户身份分别提供不同的访问方式。
 
  将内网系统做区分类别:
 
  监控系统和管理后台系统,提供互乐天堂手机版客户端访问;
 
  存放敏感信息的CRM系统和合同管理系统的访问,提供VPN登陆受控终端访问;
 
  需要登录PC桌面的开发操作或绑定硬件设备才能行进的操作,提供VPN登陆受控终端访问;
 
  服务器及网络设备通过VPN拨入,登录堡垒机进行操作。
 
  堡垒机及VPN应具备完善的日志系统,以便后续回溯操作。在必要是设置命令屏蔽或双重授权才能进行高权限命令执行。
 
  (3) 三方远程办公系统的选择
 
  在选择供应商时,不仅仅是远程办公系统,所有的办公系统都应遵循以下原则。
 
  供应商的安全能力;
 
  供应商的应急响应能力;
 
  供应商的安全信誉;
 
  以及供应商对系统的安全承诺。
 
  在目前已知的在线会议系统和聊天签到工具中,腾讯、华为、阿里等大厂商都有不错的工具可供选择,目前很多都是免费的,处于抢占市场的环节。
 
  (4) 运维管理
 
  应有专职的人员或部门负责安全事务,实时运维远程办公的相关系统。如果系统较多时应该区分底层运维和应用运维,不同系统或业务之间的运维也应做一定分离。
 
  制定操作流程以及巡检制度,对响应的系统、设备和网络进行定期检查和测试。
 
  配置管理、变更管理、数据备份策略及测试都应形成常态制度进行操作执行。
 
  应急预案的编制和演练。
 
  三方厂商的接入管理,即供应商管理,在必要时允许三方人员接入系统,但保障其行为得到监控和必要的授权。
 
  员工操作规范,如接入设备的基础安全维护,接入系统后的正常使用都应尊崇企业的管理制度。
 
  (5) 管理制度
 
  管理制度可以参考ISO27001和等级保护相关要求依照企业实际情况来进行制定。相关参考标准有GB/T 22239 《信息安全技术 网络安全等级保护基本要求》、GB/T 31168 《信息安全技术云计算服务安全能力要求》、GB/T 35273《信息安全技术 个人信息安全规 范》的相关要求。
 
  个人操作的终端应遵循组织要求,安装杀毒软件,定期更新补丁等操作。
 
  其中最为重要的是定期开展远程办公安全教育和培训,提升用户安全意识。
 
  五、监控和改进
 
  完善的监控能够帮助企业尽快发现存在的不足和漏洞。通过持续的监控和改进才能不断完善安全防护。如果进行相应的监控,我们之后进行讨论。

第三十届CIO班招生
法国布雷斯特商学院硕士班招生
北达软EXIN网络空间与IT安全基础认证培训
北达软EXIN DevOps Professional认证培训
责编:jiaxy