远程办公时代网络安全风险与对策

杜兴业 董宁 梁满志

摘要：远程办公，百度百科的解释是，分“远程”和“办公”两部分，是指通过现代互联网技术，实现非本地办公：在家办公、异地办公、移动办公等远程办公模式。远程办公是有史以来有关办公室的一场最大的革命，其优势不言自明。然而，在远程办公新趋势的背后，网络安全形势也面临严峻的挑战。

关键词：隐患分析;对策;措施

中图分类号：TN915.08 文献标识码：A 文章编号：1007-9416（2020）05-0183-01

1远程办公存在的风险隐患分析

（1）系统安全风险。目前，提供远程办公系统的供应商安全能力参差不齐，部分供应商在安全开发运维、数据保护、个人信息保护等方面能力较弱。这也造成了在线会议、即时通信、文档协作等办公场景下系统安全功能不完备，系统自身的安全漏洞，不合适的安全配置等问题，将直接影响使用方和用户的远程办公安全。另外，用于远程办公的设备，特别是用户自有设备，在接人远程办公系统时，由于未安装或及时更新安全防护软件，未启用适当的安全策略，被植入恶意软件等原因，可能将权限滥用、数据泄露等风险引入使用方内部网络。

（2）数据安全风险。远程办公场景中，通过远程办公系统可访问使用方的数据，由于数据访问权限的不合理设置、远程办公系统自身的安全漏洞、用户不当操作等，可能导致使用方数据泄漏。由于远程办公系统基于云计算平台部署，使用方可能失去对数据的直接管理和控制能力，存在数据被非授权访问和使用的风险。另外，远程办公系统的部分功能（例如，企业通信录、健康情况汇总、活动轨迹填报等），可能收集、存储用户的个人信息（例如，姓名、电话、位置信息等），存在被滥采、滥用和泄露的风险。

（3）通信安全风险。远程办公通常在居家环境或公共場所进行。居家环境中，由于家用网络设备安全防护能力和网络通信保障能力较弱，存在网络入侵和通信中断风险。公共场所中，用户和远程办公系统利用公用网络进行通信，由于网络环境和人员组成复杂，存在设备接人不安全网络、数据被窃取、通信数据被篡改、被窃听、设备丢失或被盗等风险。同时，远程办公系统可能遭受恶意攻击，导致办公活动难以进行。

（4）监管弱化风险。在企事业单位集中办公，一股都有一定的监控和保密机制，对于员工数据泄露存在一定的监视和抑制。但是在家办公，员工随意性很强，可以以工作需要为由随意使用各种重要数据，大大增加数据泄露风险。员工可能由于安全意识缺失或未严格遵守使用方的管理要求，引入安全风险，例如，将设备、账号与他人共享导致对使用方业务系统的恶意攻击;采用弱口令造成身份仿冒等。

2对策措施

2.1审慎选择供应商

在选择供应商时，要充分考虑以下几个因素：供应商的安全能力;供应商的应急响应能力;供应商的安全信誉;以及供应商对系统的安全承诺。尽量选择综合实力较强的供应商，如腾讯、华为、阿里等大厂商，他们开发的远程办公系统功能强大，服务保障体系比较完善。

2.2加强运维管理

安排专职人员或部门负责安全事务，实时运维远程办公的相关系统。如果系统较多时应该区分底层运维和应用运维，不同系统或业务之间的运维也应做一定分离。合理制定操作流程以及巡检制度，对响应的系统、设备和网络进行定期检查和测试。配置管理、变更管理、数据备份策略及测试都应形成常态制度进行操作执行。

2.3合理区分风险层级

使用方要对业务、数据、应用系统进行安全风险分析，明确可用于远程办公的业务、数据和业务系统，以及相关安全需求。哪些系统适合开放互联网入口，哪些系统或工作需要接人使用方内容才能操作，需要做详细的梳理。可以根据不同的用户群体，定义相应的终端安全基线标准：如，对设备是否越狱或root.锁屏密码是否满足要求、应用的黑白名单等进行检查，看终端设备的计算环境是否满足企业要求，不合规的移动终端，不允许接入内部网络等。可以通过专门系统，管理哪些终端设备允许接入系统，哪个用户ID可以在哪个移动终端上接入系统等，从而确保只有经过授权且合规的终端设备，才能接人系统，确保移动访问安全。

2.4高度重视数据库安全

在应对网络安全风险中，数据库作为关键一环则显得尤为重要。要做好数据库的安全配置，从单个数据库节点的数据来看，应该尽可能地进行安全方面的配置来避免遭受黑客攻击以及非法访问等。要进行高可用部署，尽可能地部署多节点来构成的高可用数据库服务，这样就能够应对硬件故障的问题，当单个节点出现问题的时候，可以直接启用备用节点来顶上;当软件出现BuG导致数据库崩溃的时候，也可以通过高可用将故障进行转移。最后，要做好数据备份，以应对运维失误以及网络攻击等问题。

2.5加强员工教育监管

定期开展远程办公安全教育和培训，提升安全意识。规范员工操作，如接人设备的基础安全维护，接入系统后的正常使用都应遵守企业的管理制度。组织专人对员工个人操作的终端进行监督检查，督促员工及时安装杀毒软件，定期更新补丁，严格落实安全防护规程等。