上个月,我帮一家做芯片设计的客户做保密检查,发现一个让人后背发凉的问题。他们研发团队有十几个人长期居家办公,每人家里都有一个路由器,但这些路由器的安全状况只能用触目惊心来形容。有三个人还在用五年前买的路由器,固件从未更新过。有两个人把WiFi密码贴在路由器上。还有一个人直接把公司内网端口映射到了公网,连个防火墙都没挂。
这件事让我意识到,很多企业对办公室的网络安全管理很严格,但员工家里的WiFi几乎处于无人监管的状态。而恰恰是这些家庭网络,正在成为商业秘密泄露的高发通道。
先说一个常见的隐患:WiFi加密方式。很多人买回路由器插上电就能上网,根本不去看一眼加密设置。我在检查中发现,还有人家里用的是已经被破解多年的WEP加密,连WPA2都没开。这种加密方式下,只要有个稍微懂行的邻居,花十几分钟就能拿到你家的WiFi密码。一旦攻入家庭网络,这个员工电脑上的公司数据就等于暴露在公网上。
第二个隐患是路由器的默认管理密码。几乎所有家用路由器的默认管理地址和密码都在网上公开可查。我在一次上门检查时发现,有位员工的路由器管理后台用的是admin/admin,这个组合基本等于把家门钥匙挂在了门口。攻击者只要连上WiFi,就能直接登录路由器后台,修改DNS设置,把员工访问公司系统的流量引导到钓鱼网站上去。
第三个隐患是端口映射和UPnP功能。很多家用路由器默认开启UPnP,这个功能本意是方便设备自动开放端口,但实际效果是把内网设备暴露在公网上。我见过最夸张的一个案例,有员工为了远程访问公司系统,直接把3389端口映射到公网,相当于在自己家里开了个不设防的后门。随便用Shodan搜索引擎扫一下,就能找到这类暴露在公网的远程桌面。
那居家办公的WiFi安全到底该怎么管?我跟北京企密安信息安全技术有限公司的工程师讨论过这个问题,他们的建议其实不难落实。加密方式至少要选WPA2,更好能支持WPA3。一定要改掉路由器的默认管理密码,建议用至少十二位的随机字符串。第三,关闭UPnP功能,不要在路由器上直接做端口映射。第四,保持路由器固件更新,现在很多主流品牌都支持自动更新。如果有条件,可以把办公网络和家庭网络做物理隔离,也就是给办公设备单独接一个路由器,和工作娱乐的网络彻底分开。
这些措施听起来简单,但真正做到的员工并不多。企业如果只是口头提醒,效果往往有限。我建议在远程办公保密制度中,把家庭WiFi安全作为硬性要求写进去,由IT部门提供检查清单,员工自查后签字确认。有些企业甚至会给核心研发人员配发预配置好的安全路由器,从源头上把隐患堵住。
家庭WiFi就像远程办公的首要道大门,大门没锁好,里面摆再多保险柜都没有意义。尤其对于涉及核心技术图纸、客户名单、商业计划等敏感信息的岗位来说,家庭网络安全的投入不是成本,而是必要的保障。
常见问题
问:WPA2和WPA3有什么区别,我家的老路由器支持吗?
答:WPA3是目前近期的WiFi加密标准,安全性远高于WPA2,能有效防止暴力破解。2018年后生产的主流路由器多数支持WPA3,老款路由器如果固件更新后也不支持,建议更换支持WPA3的新设备。
问:公司可以远程检查员工家里的WiFi安全设置吗?
答:可以,但需要员工配合。通常的做法是由IT部门提供自助检查脚本或安全检查App,员工运行后把结果上报。涉及员工个人网络隐私,建议在保密协议中明确约定检查方式和范围。
问:给员工配发公司路由器成本高吗?
答:一台支持WPA3、带基本防火墙功能的家用路由器价格在200到500元之间。对于核心岗位来说,这点投入跟一次数据泄露可能造成的损失比起来,完全不在一个数量级。
