疫情之下,多个省市宣布推迟复工时间,给各企业的正常运营带来了极大挑战。遵循“治”不如“防”的宗旨,制定应对传染疾病的预防与响应措施,能够让企业最大限度保障员工健康安全的同时,以最快的速度从突发的疫情中及时恢复运转。其中,远程协助办公成为了许多企业选择的第一方案,但其网络边界延伸性也给企业带来了安全方面的挑战,如何平衡远程办公的效率与安全,成为我们需重点关注的问题。
本文我们将探讨针对突发传染病事件的应对措施,并以远程协作办公为切入点,介绍其所面临的网络安全风险,同时根据安永以往的各行业项目经验提出了应对建议。
疫情的防御与应对
近年来,突发传染病事件已成为企业规划应急预案和业务连续性计划的重要场景之一,“治”不如“防”,是传染病应对策略的宗旨,遵循企业已具有的业务连续性计划,制定应对流行病的预防和响应措施,可以最大限度保障企业员工健康安全的同时,让企业以最快的速度从突发的疫情中及时恢复运转。针对此类突发传染病事件,企业可以关注以下三个方面:
风险评估:在新型冠状病毒感染的肺炎疫情情形势尚不明朗的情况下,企业应及时对自身的安全情况进行风险评估以了解此次疫情对公司可能造成的影响或损失,迅速判断出保护的对象以及主要面临的风险,确定敏感和关键性的资产,包括关键的人员岗位、办公场所、信息系统等。
应急策略:在明确主要的保护对象与风险后,企业需制定相应的应对策略,主要可包括以下几个方面:
人员隔离, 企业需重点关注人员安全,在此期间应尽量减少员工聚集和差旅,尤其避免前往人群密集的场所,可通过远程办公、托管服务等手段保持企业的正常运行。
环境消毒, 在疫情环境下,做好预防性消毒工作,包括企业办公环境、办公设备等的清洁与消毒,各员工也需做好自身与家庭物品的消毒工作,避免成为病毒的携带者与传播者。
上报通路明确, 当发现有个人或群体病例时,发现人或感染人员所在部门应立即将发生的情况(包括时间、地点、症状、人员数量等)报告企业应急管理团队,应急管理团队按规定要求上报上级各相关单位,做好疫情的沟通与上报工作。
供应链沟通, 企业应及时将应急响应策略积极与其上下游供应商及相关合作伙伴进行沟通,争取就各自应急响应措施达成共识,并可争取对紧急情况采取合作行动。
线上培训与经验分享 :通过线上培训平台,实现意识教育与知识技能培训。通过在线发布疫情应对、工作相关专业知识技能,提升员工应对突发事件的响应与处理能力,实现自身工作技能的提高。通过直播平台进行经验分享等,也可加强员工之间的互动。
应急办公的技术解决方案的支持:尽管因疫情原因,政府及企业均延后了复工时间,但我们依然可以依靠 远程协作办公、托管服务等技术方式尽可能地保持业务持续运行,降低企业损失。
远程办公,应在效率与安全间寻找平衡
疫情之下,许多企业已决定启动了远程办公方案。其实远程协同办公其实没有我们想象中的复杂,做好时间规划、人员安排、工作计划落实、定期总结汇报等事项,同时借助各类技术工具,保持与同事的沟通与交流,依然能够在特殊时期保质保量地完成日常工作以维持企业的良好运转。
一般来说,远程办公与协作的解决方案主要包括如下两种:
1) 远程接入公司内网,实现远程工作任务处理
通过VPN等安全访问手段将个人办公电脑连入公司内网,依靠PC端或移动设备端远程处理相关工作任务。可通过此种方式实现以下工作:
使用PC端或移动设备端登录公司主要业务及管理系统,进行邮件收发以及线上业务流程管理,包括业务流程的流转、审批等;
通过内部公共盘,进行大容量工作资料文件的传输与存储,并通过规定访问权限或加密等手段,限定相关资料的访问人员,防止数据泄露。
2) 依靠远程办公工具软件,实现远程共同协作处理
目前远程办公行业已具备一定规模,市场上已有多种远程办公工具软件,主要可分为即时通信类型、视频会议类型、文档协同编辑类型、研发协作类型等。
远程办公的网络安全风险
远程办公能够有效避免了人员聚集引起交叉感染,大幅提升此次企业应对疫情的持续运营能力,但同时也带来了安全方面的挑战,如何在疫情环境下平衡远程办公的效率与安全,成为我们需重点关注的问题。
“远程办公”也意味着企业的数据及其载体已经不仅仅在内部可控的范围内流转,其安全管理的边界发生了无限延伸,因此所面临的网络安全风险比传统办公有所不同,更加复杂。
安全边界的延伸与变化使得各类系统均暴露在风险之中
如上文所提及,目前国内国外市场已出现了多种协同办公解决方案,以帮助企业快速部署实现远程办公模式。这些平台本身的安全性不可忽视,若配置不当、数据传输加密不妥,都可能将企业的数据、内网信息暴露在公网中。近几年多家远程办公类软件均被报道发现零日漏洞或被黑客入侵,如摄像头劫持等。
不安全的网络环境增加了企业内部资源受攻击的风险
无论是在家、咖啡厅或者其他公共场所,大部分网络环境的安全管控水平都不如企业办公环境可靠。根据国家计算机网络应急技术处理协调中心发布的《2019年上半年我国互联网网络安全态势》,国家信息安全漏洞共享平台在2019年上半年所收录的5,859个通用性漏洞中,网络设备(如路由器、交换机等)占据了7.6%。远程办公需要通过互联网来传输企业数据,传输过程必然会通过网络设备,说不定此刻数据传输所经过的某个路由器使用的是默认预设密码或存在某个广为人知的安全漏洞,而不法分子正在不知不觉中窃取企业数据、监听和监视你的一举一动。
不受信的个人设备可能成为窃取企业数据和渗透内部网络的突破口
有很多员工在远程办公期间会使用个人设备进行文件的传输或处理,同时越来越多的企业允许员工使用私人设备进行办公(“Bring Your Own Device”, BYOD)。员工不可避免会将企业的数据下载存储在个人设备中,而一旦有离职或存在恶意的员工,数据将无法被消除或增加数据泄露的风险。此外,个人设备可能无法保证及时更新安全补丁,或者安装了非法的恶意软件,这都可能成为黑客攻击企业内部网络、窃取内部资源的一个突破口。
移动设备的易失性增加了数据泄露和丢失风险
远程办公所使用的各种移动设备如笔记本、智能手机、平板设备等,方便携带的同时也极易丢失。若企业未对设备中所存储的数据进行有效的加密,可能导致商业机密发生泄露,被竞争者所获取等风险。同时,若员工移动设备中存储的数据缺乏及时的备份,设备的遗失或损毁均可能导致数据丢失。
远程办公平台的可用性问题将会对企业的运营造成极大影响
技术方案的可用性将直接影响企业远程办公的效率,如若碰到不可访问、延迟大、传输质量差等问题,对员工的办公体验会造成极大的影响,尤其是特殊疫情时期必然会有高并发量,平台能否满足企业的需求至关重要。
远程办公安全风险的应对策略
针对远程办公所面临的安全风险,在此我们也从网络、设备、流程、人员等方面提出十大应对策略以供企业参考增强网络安全防护:
加强远程网络访问控制: 很多企业通过防火墙来限制对特定资源的访问,同时对远程访问的网络流量进行监控、拦截和分析。此外,VPN(虚拟专用网络)也是大部分企业会使用的一种解决方案,通过加密的通讯协议建立专有的通信线路以连接互联网上的不同地方内部网络,以保证机密性和安全性,一方面解决了身份认证的问题以保证接入用户的合法性,另一方面也对传输通道进行加密,保证传输中的数据无法遭到窃听。
细化内部资源授权管理: 员工所获取的内部资源访问权限越多,存在恶意的员工或粗心的员工导致的数据泄露风险越大,因此有效的访问控制是十分必要的。很多企业会考虑内部资源的敏感程度而决定是否可供远程访问,是否需要增强身份认证。如超级管理员只有在连接至内网的情况下方可进行系统、数据库的访问,并且需要进行双因素的身份认证。
增强办公设备安全策略: 设备作为公司数据的载体,其安全性至关重要。为了防止数据的丢失和泄露,加密是较常见的解决方案;此外一系列终端安全管控软件也针对远程办公的场景提供了多种安全管控措施,如不安全站点的访问拦截和告警、U盘禁用、设备定位追踪、数据远程擦除等。同时,企业需要增强设备的身份认证措施,如采用双因素验证。
完善BYOD管理策略: 自带设备办公的安全管控需要技术解决方案的支持,也需要管理制度方面的明确定义。市场上已有很多BYOD解决方案可实现将设备中公司数据与用户数据相隔离、数据加密、防病毒和恶意软件等。从管理上,企业也需要遵循不同地区的隐私相关法律法规要求,明确企业与用户的职责边界。
加强安全漏洞管理和系统安全测试: 无论是设备或是远程办公平台,企业都需要对其漏洞和补丁进行端对端的管理,尤其是对于零日漏洞,安全团队需及时进行分析,定位受影响的资产,并采取措施及时进行漏洞的修复。针对远程办公环境下,有很多设备是无法及时连接至内网进行补丁更新,往往给安全运维团队带来较大的挑战。这就需要企业事前具备相应的执行计划,以保证漏洞补丁管理的全面覆盖。同时,企业应当针对内部系统进行安全测试,尤其是新上线或重大变更,以及时发现并修复存在的安全漏洞以降低非授权访问、数据泄露等风险。
谨慎选择产品与服务商: 企业选择远程办公协同工具之前,应对产品进行全面的了解与沟通,包括监管合规、数据隔离、职责划分、可用性水平等方面。企业应与服务提供商签订服务水平协议和保密协议,对各项服务内容、技术指标、权限职责以及服务退出后的数据处置要求等进行规定。
定义清晰的应急响应流程: 企业应定义清晰的标准化流程以对潜在的事件进行响应,包括联系方式、启动节点、汇报流程、处理措施、沟通方式等,并且需要将必要的信息告知员工,让所有远程办公的员工在遇到潜在事件时知道如何处理。
逐步规划应用零信任安全框架: 面对工作流的移动化和云端化,企业应当摒弃“信任但要验证”的传统方法,打破网络边界防护的固有思维,逐步规划并采用“零信任”安全框架,对企业内部与外部的网络均采取不信任的态度,基于位置、设备、行为等来评估用户安全情况,对任何接入企业系统的人、事、物进行验证,以保护企业内部及云端的应用、设备、数据和基础设施的安全。
抗击疫情,众志成城。全国上下各行各业都在行动,多家互联网公司纷纷伸出援手,提供了免费的远程办公服务,使得不少企业能够在疫情期间维持正常的运转,实现了“停班不停工”。远程办公的趋势已势不可挡,未来会有越来越多的企业启用这种模式以适应互联网世界的多元化并提高员工的办公产能。
