去年疫情后有一家客户找到我,说他们公司推行远程办公才两个月,就出了三次安全事件。第一次是员工的家庭WiFi被隔壁蹭网,公司数据在传输中被截取了。第二次是有人把公司笔记本电脑带到咖啡馆用公共WiFi工作,电脑中了木马。第三次更离谱,一个销售主管把客户资料导出到自己电脑上,离职后带走了。这些事听着像是电视剧里的情节,但确实就发生在我们身边。
远程办公带来的网络安全风险和传统办公环境有很大不同。在办公室里,网络是受控的,设备是公司统一管理的,旁边还有IT同事随时帮忙。但出了办公室,每个员工的家就成了一个小的网络节点,安全防护水平参差不齐。远程办公场景下的常见风险主要分这几种:网络连接风险、设备管理风险、数据泄露风险和身份认证风险。
先说网络连接风险,这是远程办公最容易被忽视的问题。员工在家用的是家庭路由器,很多人的路由器密码还是出厂默认的,或者设了个弱密码。更有的人图方便,直接用公共WiFi办公。公共WiFi的安全性谁都没法保证,有可能旁边就有攻击者在监听网络流量。攻击者不需要多高深的技术,用一些现成的抓包工具就能获取HTTP传输的明文数据。所以远程办公较为基础的要求就是必须使用VPN连接企业内部网络,所有数据传输都要经过加密隧道。
设备管理风险也很让人头疼。公司配发的笔记本电脑拿回家之后,可能家里人也会用来上网、看视频、下载软件。一不留神就可能下载到恶意软件。有位客户的员工就因为在自家电脑上安装了来路不明的游戏外挂,结果电脑被植入了远控木马,攻击者通过这台电脑反向连接到了公司内网。解决方案是部署统一的终端管理方案,公司设备不能用于私人用途,强制安装端点防护软件,并且要有远程擦除功能,一旦设备丢失可以立即清除敏感数据。
数据泄露风险在远程办公场景下尤其突出。在办公室,有各种技术手段防止员工随意拷贝数据。但在家办公,员工可以用U盘、网盘、私人邮箱等各种方式把数据带出去。这里说的不一定是恶意行为,很多员工只是为了工作方便,把文件传到个人网盘上,结果就埋下了隐患。我建议企业对核心数据做水印处理和DLP数据防泄露监控,敏感文件离开内网要有审批记录。
身份认证风险看起来简单,但出了问题影响很大。远程办公时,全靠账号密码来确认"你是谁"。如果密码被猜出来或者被钓鱼套走了,攻击者就能以合法身份进入系统。有个案例让我印象深刻:一家公司的财务人员收到一封仿冒老板的邮件,要求紧急转账,结果被骗走了几十万。这种就是典型的社会工程学攻击。应对措施是全面启用多因素认证,登录系统不仅要密码,还要短信验证码或者生物识别。
还有一个容易被忽视的风险是会议安全问题。现在大家都在用各种视频会议软件开会,有时候会不小心把敏感信息共享在屏幕上。建议开重要会议时,确认参会人员身份,不要把所有会议链接公开发布,使用有密码保护的会议功能。
那远程办公怎么保障安全呢。按照我的经验,可以从这几点着手。第一,制定明确的远程办公安全政策,把什么能做、什么不能做写成文档发给所有人。第二,提供必要的安全工具,VPN客户端、杀毒软件、密码管理器,这些都要统一配发。第三,建立远程办公的技术支撑体系,包括远程协助通道和应急响应机制。第四,定期做安全培训,让员工知道远程办公不是换个地方工作那么简单。
说到底,远程办公的安全问题,七分靠管理,三分靠技术。技术再好的安全方案,如果员工不配合、不遵守,效果都会大打折扣。所以企业要重视的不是买多少安全设备,而是把安全意识植入到每个远程办公人员的日常行为中。安全这件事,习惯比工具更重要。
