【網絡安全論文】遠程辦公模式下的網絡安全分析

《【網絡安全論文】遠程辦公模式下的網絡安全分析》由會員分享，可在線閱讀，更多相關《【網絡安全論文】遠程辦公模式下的網絡安全分析（6頁珍藏版）》請在裝配圖網上搜索。

1、【網絡安全論文】遠程辦公模式下的網絡安全分析 摘要：2020年新型冠狀病毒疫情在全球的蔓延，催生了各單位遠程辦公的需求。本文通過針對遠程辦公常見場景總結及網絡安全風險深入分析的基礎上，從傳輸安全、數據安全、業(yè)務安全、認證授權、安全審計、終端安全等多個維度，提出了保證遠程辦公模式下網絡安全的防護方法和防護體系。 關鍵詞：遠程辦公；VPN；堡壘機；EDR；MDM 2020年初一場突如其來的新型冠狀病毒疫情席卷全國，為了貫徹落實疫情期間各項監(jiān)管要求，降低人群聚集帶來的交叉感染風險，很多單位的員工無法到達現場辦公。因此，大多數企、事業(yè)單位及政府機關選擇了遠程辦公

2、模式，采用即時通訊、網絡會議、電子郵件等新型工具替換了傳統(tǒng)辦公模式，讓員工在家里即可進行遠程辦公。這種新型遠程辦公模式打破了地域限制，既能滿足疫情期間的監(jiān)管要求，又能保證業(yè)務的有序開展。但是，遠程辦公模式在帶來極大便捷性的同時，也使得單位的數據安全、業(yè)務安全、運維安全、終端安全等方面面臨前所未有的網絡風險和挑戰(zhàn)。 一遠程辦公場景分析 目前，各單位采用的遠程辦公場景主要可以歸納為下文所述類別，如圖1所示。 1.遠程辦公場景 遠程辦公場景主要包括：遠程辦公人員使用微信、釘釘等即時通訊工具進行遠程溝通及工作文檔分享等；使用騰訊會議等互聯(lián)

3、網會議系統(tǒng)召開遠程工作會議；使用電腦或者手機等接入單位內部門戶、OA、財務等辦公類系統(tǒng)，進行遠程業(yè)務處理等。遠程辦公場景中，為了確保遠程溝通、視頻會議等場景下的數據安全，需要對重要的文字、語音、圖片、文件等數據進行加密。為了保證遠程辦公類系統(tǒng)自身安全，應增強應用系統(tǒng)的健壯性，保證系統(tǒng)部署架構合理、具備統(tǒng)一認證和授權系統(tǒng)，確保人員的可信和權限的可控。 2.遠程運維場景 遠程運維場景主要滿足單位IT運維人員的遠程運維需求。IT運維人員需要接入單位內部IT系統(tǒng)，利用SecureCRT等遠程運維工具，對單位內部的IT系統(tǒng)和設備進行日常配置、數據清理、應用更新等運維操作。

4、遠程運維人員一般都具有很高的權限，應對遠程運維人員采用雙因素認證等增強型認證措施，確保人員的可信；采用VPN等加密通道連接后臺系統(tǒng)，確保運維數據的安全；同時，采用堡壘機等審計設施，保證人員的權限得到嚴格管控，操作得到全程審計記錄。 3.遠程開發(fā)場景 遠程開發(fā)場景主要滿足單位研發(fā)人員的需求，研發(fā)人員需要接入單位內部研發(fā)系統(tǒng)，利用研發(fā)工具進行代碼開發(fā)等相關工作。遠程開發(fā)場景中源代碼是需要保護的核心資產。此場景存在源代碼泄露、開發(fā)人員越權訪問、開發(fā)數據明文傳輸等風險。因此，應對開發(fā)人員采用雙因素認證等增強型認證措施，保證人員的可信；采用VPN等加密通道，保證傳輸數據鏈

5、路的安全；采用代碼開發(fā)管理系統(tǒng)或者統(tǒng)一認證授權系統(tǒng)，只賦予開發(fā)人員完成開發(fā)任務的最小權限；采用堡壘機、云桌面、數據加密等技術，防止開發(fā)源代碼等重要數據在開發(fā)人員本機落地，保證重要源碼數據不外泄，確保開發(fā)人員操作行為可審計和可追溯。 二遠程辦公網絡安全風險分析 1.數據安全風險 新型冠狀病毒疫情期間，以釘釘、微信、騰訊會議等為代表的智能化、移動化工具越來越廣泛地應用，利用這些遠程辦公工具，可以實現遠程高效的協(xié)同辦公。但是，通過即時通訊和互聯(lián)網會議系統(tǒng)等工具發(fā)送和傳輸的數據，可能包含大量重要或敏感數據，這些數據一旦泄漏，將會給單位造成嚴重影響。另一方

6、面，有些企業(yè)將系統(tǒng)數據部署到公有云，實現數據托管服務。針對公有云的外部攻擊、權限盜用、明文數據截獲等均可能造成數據丟失、損壞或泄露，給企業(yè)帶來重大損失。 2.遠程運維安全風險 當前常見的遠程運維方式是采用“VPN+Windows遠程桌面”或者使用“Teamviewer、向日葵”等遠程運維工具，這些運維方式均存在較高的網絡安全風險，如：內外網隔離失效、越權操作、數據泄露、數據破壞、運維操作無法審計和追溯等。在疫情期間，由于很多單位IT運維人員無法到達單位現場工作，單位的重要系統(tǒng)和設備一旦出現故障，將無法第一時間恢復，很可能造成業(yè)務中斷。另一方面，IT系統(tǒng)和設備通常

7、部署在單位內網，運維人員又具有很高的操作權限，如何保障運維過程的安全性、保密性和合規(guī)性是遠程運維面臨的主要難題。 3.業(yè)務系統(tǒng)安全風險 需要開通遠程辦公業(yè)務的系統(tǒng)，由于有些系統(tǒng)在設計初期并未考慮遠程辦公場景，因此業(yè)務系統(tǒng)架構和部署方式均不滿足遠程辦公的要求。個別系統(tǒng)為了臨時滿足遠程辦公需要，會將核心應用和數據庫等關鍵系統(tǒng)資產直接發(fā)布到互聯(lián)網。這些系統(tǒng)如果應用層面存在安全漏洞，將會給黑客乘虛而入的機會，黑客將會以遠程辦公業(yè)務為跳板，攻擊單位內部其他系統(tǒng)，給單位內網業(yè)務帶來極大的網絡安全風險。 4.終端安全風險 遠程辦公場景下，接入單

8、位內部業(yè)務系統(tǒng)的終端設備包括臺式機、筆記本電腦、手機、PDA等多種類型，這些終端一旦被置入惡意病毒木馬等感染性和控制性軟件，將給單位內部業(yè)務系統(tǒng)帶來病毒爆發(fā)、數據泄露、系統(tǒng)損害、權限濫用等各類網絡安全風險。 三遠程辦公模式下的安全網絡防護 面對疫情期間突發(fā)的遠程辦公需求，如何在保證遠程辦公便利性的同時，又能確保遠程辦公業(yè)務的網絡安全是當前亟待解決的問題。因此，建設針對移動辦公模式下的網絡安全防護體系是一項重要任務。根據上述所歸納的遠程辦公場景，以及所總結的主要網絡安全風險，遠程辦公模式下的網絡安全防護體系建設主要包括下文所述內容。 1.安全傳輸通

9、道及重要數據加密 采用VPN等安全傳輸通道技術，在遠程辦公人員到單位業(yè)務系統(tǒng)之間建立起安全的傳輸通道，保證傳輸數據的安全性。在即時通訊、會議系統(tǒng)、數據存儲等層面，采用數據加密和數字簽名等安全技術，對運維口令、開發(fā)代碼、財務數據、審批指令等重要和敏感數據進行加密傳輸，保證數據的保密性和完整性。 2.基于零信任的業(yè)務系統(tǒng)安全訪問 針對需要開通遠程訪問的業(yè)務系統(tǒng)，建議采用零信任安全技術，實現接入人員、接入設備、權限控制、行為審計等全方位的可信驗證。采用WAF防火墻、網頁防竄改等產品，增強應用的安全性，防止SQL注入、跨站、越權等常見開發(fā)漏洞。利用防火墻

10、等設備，實現內、外網隔離，落實細粒度的訪問控制策略，在保證外網業(yè)務訪問便利性的同時，確保內網核心業(yè)務的網絡安全，防止安全攻擊的內部橫向擴散。 3.統(tǒng)一的多因子認證和權限控制 針對遠程辦公人員，需要構建統(tǒng)一的認證和授權系統(tǒng)，具備基于數字證書、動態(tài)口令、人臉識別、指紋識別等多種認證方式，根據業(yè)務系統(tǒng)的重要性和人員接入場景的可信性等多重因素，靈活選擇認證方式，實現接入人員的可信驗證。同時，根據人員身份，賦予其訪問系統(tǒng)的最小權限，并能夠對所有越權或其他可能危害系統(tǒng)行為進行審計和告警等。 4.重要操作行為可審計、可追溯 針對遠程運維和遠程開

11、發(fā)人員，通過部署堡壘機、桌面云等安全技術設施，實現IT運維和開發(fā)人員的增強認證和細粒度權限管理。實現所有操作的可審計、可追溯，對于可能影響業(yè)務運行的重要的操作，具備多人審核和制約機制，對于不符合權限的運維操作，進行實時阻斷和告警。對于源代碼等重要數據，采用基于加密或者簽名的數據安全技術，防止數據的泄露和破壞，實現重要數據的全生命周期安全管理。 5.終端設備的安全 針對遠程辦公人員使用的各類終端設備，采用EDR、MDM、準入控制等終端安全管理手段，對于終端設備實現病毒防護、軟件黑白名單控制、重要業(yè)務數據水印保護、必要條件下的遠程擦除以及終端入網的健康檢查等多重安全

12、機制，實現接入終端的可信、可控和可管?？傊槍σ苿愚k公模式，需要結合業(yè)務場景和各層面可能存在的網絡安全風險，構建遠程辦公模式下的整體網絡安全防護體系，才有可能保證遠程辦公模式下的網絡安全。遠程辦公模式下的網絡安全防護技術體系架構如圖2所示。遠程辦公模式網絡安全防護體系具備如下特點：從架構層面構建起從“接入終端——外部邊界防護——DMZ區(qū)零信任業(yè)務網絡——內部業(yè)務系統(tǒng)/內部研發(fā)內網”層層遞進的縱深安全防護體系。在接入終端層面采用EDR、EMM、終端準入控制等多項技術手段，確保接入終端設備的安全可信，從源頭上控制網絡安全風險。在外部防護邊界，部署IPSecVPN或SSLVPN產品、即時通訊加密產

13、品、多因子認證和授權產品等安全產品，確保數據傳輸通道安全、重要數據保密以及人員的細粒度權限控制。在DMZ區(qū)對外業(yè)務部署區(qū)域，采用基于零信任的安全基礎設施，部署WAF、業(yè)務應用安全監(jiān)測等多種產品，確保對外提供遠程服務的業(yè)務系統(tǒng)的網絡安全。部署堡壘機、云桌面等安全產品，保證開發(fā)和運維人員操作行為可審計、可追溯，保證重要開發(fā)和運維數據的安全。在內網業(yè)務系統(tǒng)，采用防火墻等安全措施，實現嚴格的隔離和訪問控制措施，保證內部業(yè)務系統(tǒng)的網絡安全。 四總結 隨著遠程辦公模式的大規(guī)模推廣和不斷發(fā)展，將會出現新的網絡安全威脅和風險。因此，網絡安全防護技術體系需要根據遠程辦公業(yè)務的發(fā)展模式，不斷地進行創(chuàng)新和發(fā)展。另一方面，需要同步建立遠程辦公網絡安全管理、應急處置等綜合管理體系，開展網絡安全培訓，提高單位員工遠程辦公網絡安全意識等，才能全面保障遠程辦公業(yè)務模式的網絡安全。