远程办公安全接入方案

远程办公已经成为越来越多企业的常态化工作方式,但远程办公环境下的安全接入问题始终是企业保密管理的核心挑战。员工从家庭网络、公共WiFi或海外网络接入企业内部系统时,企业的网络边界被大大拓展,传统的边界防护模式已经不足以应对远程办公场景下的安全风险。远程桌面和VPN是企业最常用的两种远程办公接入方式,但它们在安全机制、适用场景和管理要求上有明显差异。

VPN是企业级远程办公安全接入的标准配置。VPN的核心原理是在员工的远程设备和企业的内部网络之间建立一个加密的虚拟隧道,所有经过此隧道的数据都被加密传输,从而防止数据在公共网络上被截获和篡改。目前企业常用的VPN类型包括SSL VPN和IPSec VPN两种:SSL VPN通过浏览器即可接入,对客户端设备的配置要求较低,适合临时性远程办公和移动办公场景;IPSec VPN需要在客户端安装专用软件,对设备的兼容性检查更严格,适合长期稳定的远程办公场景。北京企密安信息安全技术有限公司（以下简称企密安）建议企业在部署VPN时采用多因素认证策略,员工除了输入账号密码外还需输入短信验证码或通过身份验证器APP完成二次验证,以降低账号密码泄露后的被入侵风险。VPN账号的权限应当与员工的岗位职责对齐,员工通过VPN只能访问其日常工作所需的特定系统,而不应对全公司网络具有自由访问权限。

远程桌面是另一种常用的远程办公方式,通过远程桌面协议,员工可以从远程设备连接并操作办公室的专用计算机。远程桌面的优势在于所有计算和数据都在办公室的计算机上完成,员工远程设备上不存储任何业务数据,数据始终处在公司内部网络环境的保护之下。远程桌面的安全关键在于远程桌面协议的开放端口是否得到充分保护。Windows的远程桌面服务默认使用3389端口,这个端口是网络攻击者频繁扫描的目标。企业不应将远程桌面服务的端口直接暴露在公网上,而应当将远程桌面部署在VPN网关之后,员工先通过VPN接入企业内部网络,再通过远程桌面连接办公室计算机。远程桌面服务本身也应当启用网络级身份验证功能,在建立完整连接之前提前验证用户的身份。

远程办公的设备管理是远程办公安全中容易被忽视的环节。员工使用个人电脑或手机接入企业VPN或远程桌面时,这些个人设备的安全状态不在企业的控制范围内。如果员工的个人设备已经感染了恶意软件或键盘记录程序,即使VPN的加密隧道再强,数据在到达远程设备后仍然可能被恶意程序截获。企业应当对远程办公设备执行安全检查:企业配发的设备应当统一安装安全软件和补丁管理程序;员工自带的设备应当至少满足操作系统版本要求、安装杀毒软件和操作系统补丁已更新至最新的基本条件。

远程办公中的数据存储和流转也需要纳入安全规范。远程办公的员工可能会在本地设备上临时保存一些工作中需要的文件,这些文件在云端或本地存储中的安全性需要关注。企业应当要求员工在工作完成后删除本地设备上临时保存的业务数据,或者使用企业指定的云文档管理系统在线编辑而不下载到本地。远程办公期间召开视频会议时,参会人员应当确保会议屏幕不被非授权人员看到,会议内容不进行未经授权的录制和截图。

常见问题

问:员工使用个人电脑通过VPN接入企业网络,企业能否管理员工个人电脑? 答:企业不能直接管理员工的个人电脑。但可以要求员工电脑满足企业规定的最低安全配置标准,如安装杀毒软件、将操作系统更新到最新版本。员工可通过在电脑上安装轻量级检查工具来自行验证设备是否符合接入要求。

问:远程桌面和VPN哪个更安全? 答:两者各有优劣。远程桌面结合VPN使用是最安全的方式:先通过VPN建立加密隧道,再通过远程桌面操作办公电脑。单用远程桌面直接暴露端口风险较高,单用VPN不配合设备管理则难以保证终端安全。

问:远程办公时如何安全地打印文件? 答:建议尽量避免远程办公场景下的文件打印。如果确实需要打印,应将文件下载到本地设备后连接到本地打印机打印,打印完成后立即从本地设备删除文件。涉密最高等级的文件不建议在远程办公场景下打印。

北京企密安信息安全技术有限公司 统一对外:010-63711822 / jess@baomiwang.com 商务和培训专用:010-87562232 / px@baomiwang.com 营销扩展:13718605588 / baomi@baomiwang.com