自2022年5月起，“诸子笔会第二季”正式拉开帷幕。经过对首届活动复盘，我们在坚持大原则、大框架、主体规则基础上，优化赛制特别是奖项设置和评奖方式。13位专家作者组成首批“笔友”，自拟每月主题，在诸子云知识星球做主题相关每日打卡，完成每月一篇原创。除了共同赢取10万元高额奖金，我们更要聚焦甲方关注，发掘最佳实践，弘扬分享精神，实现名利双收。本期发文，即诸子笔会月度主题来稿之一。

别让远程办公成为信息安全的隐形杀手

【孙瑜】

某互联网公司安全工程部，现负责研发安全，擅长软件设计和编码安全，STRIDE威胁分析。

近两年，受疫情影响，远程办公逐渐成为一种“新常态”。远程办公很重要的价值在于提高工作效率，携程曾通过实验证实，在家办公的团队工作绩效提高了13%，工作流动率下降50%。未来，更多企业将加入远程办公的行列，根据艾媒咨询在《2021年中国协同办公行业趋势研究报告》中预计，2021-2023年我国协同办公行业将每年保持10%以上的增长率，到2023年市场规模将达330.1亿元。

远程办公在被广泛应用的同时，其带来的安全风险也越来越突显，本文从网络安全、系统安全、数据安全和合规安全四个角度来分析远程办公存在哪些安全风险，企业应该如何应对。

一、网络安全

工作场地不固定，员工通过远程接入工具从互联网接入公司内网，如果接入工具不安全，攻击者也可以利用此漏洞进入公司网络，从而绕过防守严密的正门。

远程接入工具应用最广泛的是VPN——虚拟专用网络，建立从公网到企业内网安全连接的临时通道。VPN就像从企业内网开通的隧道，它采用加密技术保护数据的机密性，为隧道罩了一层神秘的面纱，将其包裹得密不透风，防止其中的数据被外界偷窥。

但它依然存在诸多安全风险，如：

1、VPN账号的保密性。VPN账号由管理员创建，继而分发给使用者。VPN账号共享时，如果没有严格的保护措施，容易造成VPN账号被窃取，攻击者就可以通过VPN进入企业内网。账号应具有防止暴力破解机制，在创建账号时经常遵循一些特定的规律，如根据系统名称创建账号供相应系统运维人员使用，这就为攻击者猜测破解密码提供了可循之机。企业应当采用安全随机函数生成账号，这样可以大大增加猜解账号密码的难度，减小弱口令导致的安全风险。

2、很多VPN缺乏足够的审计信息。VPN的实现原理是用户将请求发送到VPN服务器，再路由到最终的目的地址。由于记录的都是VPN服务器的地址，在进行行为审计时，无法追踪定位到真正用户身上，为攻击者提供了保护伞。创建VPN账号时，可以通过绑定客户端IP地址来限制可以使用该VPN账号的用户，减小黑客通过窃取VPN账号进入企业内网的风险。

二、系统安全

在2020年疫情暴发之初，有互联网企业在远程办公中遭遇XRed病毒攻击，主要原因是某位业务主管将感染病毒的远程办公工具及电子表格文件分享到内部工作群，从而导致部门200多名员工电脑被感染。

远程办公的客户端设备直接关系到企业的信息安全，很多企业采用自带设备(BYOD)政策，BYOD基于虚拟桌面技术，将重要数据存储在数据中心服务器上，如果实在需要将数据保存在客户端设备本地，那么可以隔离和加密技术保证数据不会被窃取，即使被窃取在没有密码的情况下也无法查看文件。除此之外，IT部还可以下发防止数据泄露的策略，如禁用本地硬盘、禁用USB接口、禁用打印功能、防病毒软件更新策略等。除了操作系统，常用的企业应用系统也存在网络攻击风险，如邮件系统、office办公软件等。

三、数据安全

微软、三星、英伟达等企业都发生过影响广泛的数据泄露事件，信息泄露成为困扰企业远程办公的最大问题，疫情期间，信息泄露事件更是频频发生。比如，2021年1月26日，熊某在未经审批的情况下，擅自将该县新冠肺炎疫情防控材料通过QQ发送到单位工作群，据统计，湖南、陕西、宁夏等多地都曝出类似事件。疫情数据的泄漏不仅导致受害人的隐私信息被不法分子恶意利用，还为相关部门带来了社会舆论的不良影响。

视频会议成为远程办公最主要的沟通方式，视频会议的客户端和服务器也成为了攻击者的重点目标。例如云视频会议软件Zoom曾多次被爆出数据泄露事件，导致15000多个Zoom用户会议视频在亚马逊云服务器上处于公开可浏览状态，被称为“视频泄露事件”。我国《泄密案件查处办法》第五条规定，通过视频会议传达、讨论国家秘密信息，将“按泄露国家秘密处理”。对于企业来说，高保密级别的数据同样应禁止通过视频会议讨论，以及在网络云盘等服务器中存储。

疫情爆发以来，以新型冠状病毒为主题的网络钓鱼诈骗呈上升趋势。根据Coremail第二季度邮件安全报告，2021钓鱼邮件数量较上一季度增长21.27%，钓鱼邮件数量突破4055.3万封，同比前一年同期增长171.52%，钓鱼邮件数量整体呈现翻倍上升趋势。

犯罪分子利用人们疫情期间心理恐慌、精神脆弱、降低防范，实施钓鱼等网络犯罪活动。钓鱼邮件主要的目的为诈骗和勒索，骗取个人及企业的信息，为进一步攻击企业网络提供基础；或者在钓鱼邮件中诱骗用户点击仿冒的网站，吸引用户输入银行账号密码实施金融诈骗；再或者通过邮件附件传播恶意软件或病毒，如勒索病毒。员工要具备“火眼金睛”，时刻保持警惕，做到邮件不乱点；企业需要对员工进行安全意识培训，是员工提高警惕性的重要方式。

四、合规管理

根据2021年的统计数据显示，开启远程办公的企业并没有制定过有效的策略来保护信息资产的安全：41%的远程员工没有接受过任何形式的网络安全培训。

为了减小企业远程办公面临的上述安全风险，制定有效可行的远程办公方案非常必要。方案致力于解决远程办公所面临的一系列问题：如何保证员工工作的协同高效？如何制定远程工作绩效考核机制？如何保证信息传输过程的安全高效？如何防止员工有意和无意的信息泄露？如何及时向员工宣贯合规管理政策？

能通过技术和软件实现的不靠政策，能靠政策的不靠人的自觉性。技术方面例如完善的身份访问控制，最小化授权原则，高效的远程办公软件，安全可靠的数据存储管理等，而可行的安全合规政策，以及及时全面的员工远程办公安全意识培训等都可以降低远程办公的安全风险，除此还有很多。

疫情加速了远程办公的普及，很多企业已步入远程办公常态化，但同时还面临着很多挑战：如何构建一个完善的常态化远程办公环境和体系？不是采购一套安全设备能解决的，还要根据每个企业自身的实际情况，制定全方位的远程办公工作方案。