作者：安恒信息

全民抗“疫”时期，多数企业开启远程办公，通过钉钉、手机、邮箱等方式暂时替换传统的线下办公模式，这既满足疫情期间监管要求、降低人群聚集交叉感染的风险，又能保障企业业务的有序开展。

远程办公在国外并非新鲜事，Google、微软等科技公司都采取了远程办公的模式，但在国内并不常见。这类新型的办公模式虽打破了地域限制，但在数据即资产的当下，远程办公模式无疑也给企业数据安全带来了更多的挑战。

远程办公范畴包含远程沟通、远程运维、远程开发、远程访问内网应用等不同业务场景，综合分析下来，远程办公主要存在以下一些安全顾虑：

• 远程沟通过程中，可能涉及聊天内容、产品设计资料、内部营销规划、招投标书文件、合同协议等重要数据。这些敏感数据在钉钉、企业微信等办公IM软件中会存储、传输，那是否有足够的措施保障其不被窃取、泄露？员工离职后是否还能看到，从而导致数据泄露 ？
• 在远程开发、远程访问内网应用场景时，不得不开放对外访问通道，而且一旦进行远程开发等将涉及最核心的代码安全。那如何保障访问通道的数据传输安全？如何保障访问人员的身份真实可信？如何保障访问人员权限最小化？
• 员工在远程接入所使用的终端是否有合理的安全保障措施？如何防止远程病毒带入？

远程办公模式下，上述安全风险如何解决？安恒信息发布 远程办公安全防护方案，五招“秘籍”助您安全通关。

1、远程信息沟通安全

远程沟通往往需要借助钉钉、微信、邮箱等平台，各平台也在这个风口争相开放免费资源。以钉钉为例，信息沟通中包含文字、文件、语音、图片、视频等内容，涉及企业的核心数据。建议对信息进行全生命周期的保护，保障信息在存储、传输过程中的安全。

通过钉钉+第三方加密（安恒密盾），对远程办公时即时通讯端的信息进行独立第三方的二次加密，实现了敏感信息保护“双保险”，无论是钉钉还是第三方加密厂家都无法单独打开敏感信息。同时，可对离职人员进行有效管理，员工离职后，将无法获得密钥，无法查看在职期间信息。另外，针对数据特别敏感的企业可以采用独立部署密钥管理服务器，可自主更新密钥，实现数据由用户自己掌控。

2、远程访问内网应用和远程运维安全

远程办公模式需要将前期内网的访问权限，开放到互联网。访问通道的开放，也增加了远程安全运维的风险，可能存在权限控制不足、运维链路不安全、无审计不合规等风险。此时，建立安全的传输通道和运维通道非常关键，建议使用“SSL VPN+堡垒机”相结合，保障远程接入和远程运维安全性。

安恒堡垒机自身包含SSL VPN模块，可最小成本解决远程接入和远程运维需求，通过堡垒机SSL VPN登录后，再单点登录服务器进行远程运维操作，即解决了外网接入的链路安全，也保证运维过程的身份认证、权限控制、操作审计及合规要求。

3、数据安全

数据安全是远程办公最大的风险，前面的两个措施一定程度上可以解决部分数据安全需求，但是对于数据敏感性非常高的企事业单位来说还不够。

有条件的单位建议通过“云桌面”的方式远程办公，保障企业敏感数据不落地存储，防止数据被拷贝，当数据被导出时可追踪审计。同时，可考虑通过部署云数据库审计、云监测和云防护SaaS服务，控制安全准入，防止高危操作、越权行为，对远程办公数据进行实时加密与安全监控，并建立基于操作录像、流量、日志、数据库语句等的审计措施。

4、终端安全

远程办公需要用到员工自有的电脑、手机等终端，这些终端暴露在互联网上，很容易成为黑客攻击的目标。一方面，尽量使用公司配备的电脑办公，另一方面，建议通过部署EDR等安全终端防护软件，降低终端数据泄露风险。安恒主机卫士（EDR）提供勒索专防专杀、补丁修复、外设管控、文件审计、违规外联检测与阻断等安全能力，有效提升终端侧的数据安全保护。

5、SaaS安全服务

采用SaaS交付的方式，无需上门部署，远程即可完成配置，在疫情期间可以满足用户极速上线、安全防护的需求。

云防护业务

针对尚未部署安全防护措施的用户，对部署方式、运维成本、上线时间等有要求，建议开启云SaaS服务，交付快、部署使用便捷、全天候服务保障。安恒玄武盾基于零部署零运维的SaaS服务模式，10分钟即可有效接入，通过威胁情报、DDoS防护、Web防护、CC防护、数据防护5大防护模块为用户提供防攻击、防篡改、防瘫痪、防泄露等安全防护，提升安全防护能力，减轻运维压力。

安全运营业务

为了在远程办公期间保障客户实时享受到稳定的全方位的安全服务，安全运营中心全面升级安全运营平台，将安全能力服务SaaS化，可以通过远程办公形式访问平台，平台提供众测服务、线上应急、线上渗透、线上漏扫、云安全托管服等功能，为疫情期间一线工程师提供“安全利器”。

场景化定制方案

针对不同企业规模和政府场景的需求，安恒信息也推出了定制化远程办公安全防护方案。

小微企业场景：

• 钉钉密盾：实现内容和文件加密
• VPN：构建加密访问通道和双因素认证
• 主机EDR：确保主机安全可控
• 堡垒机：保障远程运维账户真实、权限最小化、运维过程可追踪

中型企业、政府场景：

在小微企业场景基础上建议增加以下措施：

• 钉钉密盾私有化版本：密钥掌握在自己手里
• 云桌面：保障敏感数据不落地
• 安全审计：初步建立流量、日志、数据库等审计措施
• 推荐优先使用SaaS服务、云服务，减少运维压力
• 需要进行远程办公环境的安全评估、渗透测试等

大型企业、政府场景：

在中型企业、政务场景基础上建议增加以下措施：

• 零信任体系：构建动态身份和权限管理
• 大数据安全分析：基于用户行为、流量、日志等分析，形成态势感知，与零信任体系实现智能协同

疫情之下，远程办公迎来了刚需。在这发展的拐点，远程办公的数据安全同样应当引起关注，同步规划布局。安恒信息远程办公安全防护方案希望能帮忙企业提升安全能力，保护用户数据安全，让远程办公“安全无忧”。