一.居家办公模式下的网络安全
青春只三年,疫情占三年。2020年开始的新冠疫情,已经席卷全世界,成为我们无法抹去的回忆。在疫情之下,党政军、国企、央企、高校科研单位、金融乃至社会上企业员工居家办公成为常态。居家办公场景之下,协同办公软件行业迎来了爆发式的增长。同时,居家办公也带来了一个崭新的问题。就是如何员工的工作效率,又能保证网络安全。特别是网络安全、数据安全,对中国这样一个世界最大网络攻击受害国国来说,意义非凡。
据知名网络安全机构360透漏,2022年4月疫情反复以来,共捕获诈骗风险3.1万条,拦截风险借款45次,提醒用户239万次。同时,疫情反复以来,防范钓鱼邮件诈骗、勒索软件等网络攻击事件不断。
另据国家互联网应急中心统计数据,2022年3月疫情反复以来,网络安全态势出现小波动,境内被篡改网站数量、境内植入后门的网站数量和仿冒境内网站的页面数量等较2月有所增长。其中,境内被篡改网站数量为9080个,较2月增长173.2%;被植入后门的网站数量为2524个,较2月增长40.5%;可被利用来实施远程攻击的漏洞有2035个,较2月增长49.3%。疫情当下采取的居家远程办公方式,不可避免会导致更大企业面临更大的攻击面,给了黑客更多可乘之机。
总体而言,居家办公模式下,各家单位的网络安全面临十大安全挑战。
二.居家办公网络安全的十大安全挑战
挑战1 使用未经授权的个人设备办公,缺乏安全防护
居家办公期间,很多员工都在家使用各种设备来办公,这些在家未经公司授权过的设备,存在巨大的安全隐患。一些设备在各种应用市场中下载了能够窃取数据的APP,造成居家办公过程中重要敏感数据泄露。
挑战2 误操作造成数据泄露
居家办公期间,由于生活和工作不能区分,导致办公用的设备被家里的熊孩子、小狗、小猫接触到误操作的可能性大大增加。往往是手一抖,一个重要文件就发出去了,再要想追回也来不及了。一旦国家重要敏感数据泄露,对个人和国家带来的影响不可估量。
挑战3 使用家庭网络传输发生信息泄露
在居家办公期间,使用的家庭网络环境容易造成信息泄露。首先是家庭网络wifi密码一般都设置简单,容易被黑客攻破,通过家庭网络劫持信息。此外,当信息在当业务数据在无线信道和公共网络上传输时,如果不对数据进行加密保护和完整性保护,数据就会面临被恶意攻击者窃听和篡改的风险。
挑战4 使用微信等普通社交软件造成数据泄漏
虽然国家保密局三番五次严令禁止使用微信、钉钉等普通社交软件用于安全办公,但一些部门和人员由于缺乏安全意识,仍然使用微信等普通社交软件用于协同办公。疫情期间用微信传递机密文件,造成数据泄漏并给该人员带来重大影响的信息安全事件频频爆出。
挑战5 使用社交媒体带来的信息被收集的风险
疫情期间,在家远程办公,情绪一时难以在公私之间自由转换和隔离,很多人一时兴起会通过社交媒体抒发自己的工作情况甚至是内容,而这些看似零散的信息,很容易被黑客利用大数据技术采集到,并成为网络攻击的跳板。
挑战6 利用邮件等钓鱼诈骗风险激增
疫情以来,社工工程攻击增加,邮件钓鱼诈骗事情层出不群。近日,知名互联网企业搜狐爆出一则员工被邮件钓鱼诈骗4万余元的消息引爆网络,引发了人们对居家办公期间网络安全的担忧。
挑战7 利用公共资源存储敏感数据造成数据泄漏
很多企业并没有部署专业的存储敏感数据的空间,在家远程办公期间,往往利用网络公共云盘存储敏感数据。殊不知,这些存储在公共网络上的敏感数据要么被互联网企业非法用于商业目的,要么暴露在互联网企业运营人员面前,成为数据泄露的源头。2021年,浙江杭州爆发一起严重的阿里云数据泄露事件,时候阿里方面澄清,是其员工利用工作便利,窃取和泄露了存储在阿里云的数据。
挑战8 设备突发状况维修期间数据泄露
疫情期间,办公设备出现问题虽属于突发情况。以往,都是公司技术部门予以处理。居家办公期间,出现这种情况往往是居家办公就近找维修站予以解决。由于第三人的参与,一些敏感数据增加了曝光的可能性,造成数据泄露事件的发生。
挑战9 内网敏感数据被恶意导出
在居家办公期间,使用家庭网络与工作网络进行数据交换时,内网敏感数据可能被木马搜索到,或被恶意导出,从而造成数据泄露。
挑战10 系统、软件更新不及时造成漏洞的风险
远程办公,及时进行系统升级、软件更新这些必要的安全操作,在有些员工的意识中不复存在,容易造成漏洞,成为黑客攻击的跳板。
三.居家办公网络安全的构想
- 打造以数据为核心的安全底座
无论是俄乌战争还是此起彼伏的新冠疫情,给中国的影响和启示都是非常深刻的。
俄乌战争中,交战各国在战争还没开始,就对各国的基础网络设施进行了攻击。网络攻击导致双方的政务网络、电力网络出现瘫痪。西方进一步对俄罗斯采取的打击导致俄罗斯金融系统的严重影响。
研究表明,中国是最大的网络攻击受害国,中国的网络基础设施建设已经处于世界领先水平,但在安全投入上,仍然处于一般水平。近年来,虽然国家出台了《网络安全法》、《个人信息保护法》,但由于中国整体网络建设水平还停留在规模化建设阶段,导致对网络安全、数据安全的重视程度远远不够。2022年以来,工信部发出了重要文件,推动了以国家15个省市为试点,加强基础设施网络安全建设,为国家层面加强网络安全设施建设提供了政策法规的推动。
在疫情之下,居家办公场景增多,此起彼伏的安全事件,呼唤各地要进一步加强底层的基础设施的网络安全建设。
底层的网络安全建设就是适用大数据时代数据为核心的场景,改变原有以系统为核心的场景,保证数据的全生命周期安全。
协同办公之下,无论是视频会议还是即时通讯的需求都大大增加,数据在内外网、公网场景中加速流动。网络环境错综复杂,保证重要敏感数据的安全流动就要在企业内外部搭建安全可信的网络安全底座。
所谓数据的全生命周期安全,就要保证在这一安全底座之上,所有的敏感数据都要经过分级、不同程度的等级保护、加密等各种安全措施,同时在通信的信源、信道、接收端都要安全加密,从而达到全程加密的效果。
2. 打造安全底座之上的信创生态
有了安全底座,还是远远不够的,还需要针对企业的不同业务场景构建不同的安全业务生态。
信创是近年来很火的一个词。其核心意思就是在目前网络威胁面前,要构建具有自主、可控、知识产权的国产系统。整个网络就是一个庞大的系统,从单一的CPU到5G网络,从个人和单位使用的PC机到办公网络环境。任何一个环节的不安全就意味着整个网络的不安全。
有了底层网络的安全还不够,还需要底层网络之上应用软件的安全。基于安全网络之上的应用软件,在协同办公环境下,表现为工作台之上的各种应用软件。
普通即时通讯也有各种应用软件,比如微信就整合了很多企业开发的小程序,能够满足互联网场景中简单应用的需要。但在安全办公环境中,这些基于互联网的小程序就不能用来办公。
于是各家企业开发了各自的业务应用提供,ERP、CRM等等,各个厂商研发的软件虽然满足了企业部门需求,但仍然存在重大的安全问题。特别是无法满足协同办公条件下,一键登陆、数据相互协同的需求。
各家业务千差万别,无法用一款简单的业务软件实现。一款基础数据安全、网络安全的底层安全,又能满足各种业务协同,能够针对自己业务进行低代码开发的协同办公软件成为时代的呼唤。
四.未来之路:居家办公和元宇宙下的底层安全
新冠疫情,让人们明白一个道理:科技的发展无法让人类社会摆脱生命的威胁。居家办公之下的网络安全问题,也让人们看到了网络安全问题的复杂性、多维性。可以肯定的是,人类将面临更为复杂的现实世界和更为复杂的网络世界,那怕是扎斯伯格和后继的概念炒作者为人类描绘了一幅美好的元宇宙图,可以肯定的是,元宇宙之下的安全问题将更加复杂。
但有一个结论是肯定的,人类社会有充足的智慧应对各种安全问题,人类也善于根据不同的场景和底层逻辑做出调整:
在IT时代,人们面对网络威胁,是基于系统构建了安全防护系统。于是上个世纪,基于设备安全、网络安全的防护系统出来了,杀毒软件、堡垒机、内外网隔离设备。
在数据时代乃至未来的元宇宙,场景进一步复杂化,数据安全将取代网络安全成为更为重要的安全。
一个企业乃至一个国家能否适用这样一种场景的改变,保证效率同时又能安全,将成为一个企业乃至一个国家竞争力的体现,人类有充足的自信让信息安全工具为人类服务!
