疫情之下,远程办公成为全球企业刚需,Zoom会议软件3月日活跃用户达2亿,相比去年底激增20倍;春节过后国内开展远程办公的企业超过1800万家,远程办公人员超过3亿人,钉钉在1个月内下载量超过11亿人次,半数中国工作人口都参加了这场全民远程办公。远程办公凭借能提升办公协作和管理效率、减少人群夹出风险等特点,成为当下企业安全复工复产的重要方式。如果说“非典”奠基了中国电商行业的黄金时代,那么新冠疫情则开启了全球远程办公的发展新纪元。
远程办公,指基于互联网、物联网、云计算等技术,通过第三方插件、软件、网站等工具,实现异地、移动等非本地办公。与传统集中办公相比,远程办公可以建立网络环境,超越时空和地域的限制,节省了大量的资本,这种办公的方式灵活方便信息化,充分体现了信息化办公在某些地域的可行性;远程办公的施行对人们的生活而言有很大的方便,提高了员工工作的自由化程度,我国人口压力不断加大,新时代的年轻人可以在远程办公的普及下实现办公的自由化,资源共享灵活,有更多自己可以支配的时间;远程办公是环保且办公便捷的,相对于现场办公而言,远程办公更加便捷,在现场办公的繁琐忙碌下远程办公就显得更便捷了,远程办公减少了人门的出行,缓解了交通压力,减少了发生交通事故的几率,保护了城市环境的清洁,提高了我们生活的环境质量。
相对于远程办公而言,在现场办公中,公司的管理层可以对办公人员进行集中掌控,一些员工不愿意触及的久拖不决的老大难的问题,可以通过现场办公及时得到解决;同时,在现场办公中员工也可以看到管理层的领导干部会放下架子,走到了最基层的员工之中,对员工而言会有一种关切之感;现场办公能统一业务部门的步调,提高解决难题的效率,上级领导可以以面对面的形势对员工逐一分工,明确任务、步骤、时限、标准,使业务部门统一步调运作,有效的避免推诿扯皮、各自为政的弊端,确保解难的高效率;现场办公也能够帮助下级提高领导能力,只要下级在上级办公的时候细心观察,善于学习,也一定能从上级的说话做事中受到启迪。
而现场办公也有很多不得不说的弊端,现场办公中下级单位领导容易滋生惰性,上级解决了困难,提供了帮助,这本是一件好事,然而长此以往会滋生下级领导养成不思进取,只知伸手寻求帮助的不良习惯;如果在工作中没有科学的决策,事前预想的不够周到,准备不够充分,现场办公匆忙上阵,这样的情况下很有可能会因为领导缺乏足够的论证,仅凭自身的主观意愿,老经验,导致决策失当。
在远程办公中,也有很多的不足之处,远程办公受条件的限制很大,员工之间缺少沟通,在远程办公中人际关系的过于松散,彼此之间的交流具有不稳定性,容易导致非正式人际交流的淡化;远程办公虽然提高了办公的效率,同时也忽视了团队之间的协作,长期依赖互联网办公,离开公司的远程交流,员工之间的气氛会逐渐淡化;在家中办公受到的干扰比现场办公多的多,收到外界环境的干扰导致员工无法全心全意的进行工作,极容易耽误工作的进度,导致员工无法按时完成工作,使员工产生对工作的厌烦情绪,使组织涣散,缺乏凝聚力。
由于远程办公中员工大量使用移动设备或个人电脑,通过VPN网络或远程桌面接入企业内网,让基于边界的传统安全防护体系在应对远程办公安全风险问题时部分失效,这也是远程办公最大的劣势。
远程办公的实现意味着企业内网需要响应员工移动终端的外网接入请求,员工所处的环境不一,无论是接入网络还是移动终端本身都更容易成为网络攻击的对象,公用WiFi,网络热点等不可信的网络都有可能成为员工的网络接入点,这些网络也许没有设置任何的安全防护,因此会存在着很多常见的容易被发现的网络bug,也就更容易成为网络犯罪组织侵入企业内网的网络接入点,造成对企业无法挽回的伤害。
现在很多员工经常会忽视自己移动设备的软件更新或者下载,这就可能会被安装设置恶意程序的APP或网络插件,在员工不知情的情况下侵入企业内网,造成企业的经济损失。
远程办公的办公系统通常为saas系统或APP,由平台运营方直接在其控制的服务器想企业提供注册即用的系统远程协作软件平台或APP服务,仅供用户与员工使用,此类系统中企业通常没有权限对系统进行开发和修改,并且企业数据存储于第三方服务器,相对而言是不够安全的。
由于远程办公软件属于“影子IT系统”,是未经过企业IT和安全部门评估的设备、系统,无法执行企业统一安全策略,因此在企业传统安全防护中不可见,如何保护看不见的东西是远程办公安全面临的最大的挑战,其主要问题包括如下三方面:
(一)可信身份认证问题,准确的验证、识别身份是一切业务正常开展的大前提,对于突破场地边界的远程办公尤为重要。
(二)非现场办公所产生电子化数据的安全性、防泄漏问题,必须有效防范业务数据被非法窃取导致企业遭受损失,或影响企业正常运营、业务正常开展的情况。
(三)非现场办公中业务开展合法合规的问题。
我国高度重视网络安全管理,远程办公平台的运营方,作为平台及相关网络的运营者应当对网络的运行安全负责,以免出现信息泄露、企业机密被盗的现象。2019年发布并执行《信息安全技术网络安全等级保护基本要求》(以下简称等保2.0),从网络边界隔离、可信通道、访问控制、身份权限管控、安全审计等方面提出要求,指导企业做好网络安全防护和保障相关工作。因此按照等保2.0标准,远程办公安全问题主要解决措施如下:
(一)实现网络边界收敛,严控对外开放的端口,在降低端口暴露面的同时,实时侦听网络安全态势,主动阻断黑客攻击。
(二)严格控制终端接入,在终端设备上对终端进行身份准入证和安全防护。
(三)加强数据传输过程中的加密安全,使用HTTPS等加密传输方式,保障数据传输安全,防止核心业务数据被窃取。
(四)遵循访问“零信任”原则。对所有接入的用户进行身份认证,按用户授予不同应用权限,只有完成身份认证的用户才能访问内网中被授权的应用。
(五)最小化开放权限,只向用户开通必要的应用服务,而非整个网络,避免非法访问和越权操作所带来的信息泄漏风险。严格控制客户端工作数据的应用处理(如复制、粘贴、截屏等方式),防止企业信息泄漏,制定信息删除管理机制,在满足防控目的后及时删除相关员工的信息,以免被居心叵测的人加以利用。
(六)确保用户行为安全可追溯,完整记录用户所有访问行为,定期进行用户行为审计和日志分析,确保及时发现问题。
(七)定期开展信息系统安全测评,找到安全漏洞并修复,不断提升信息系统安全防控级别,重点监测远程接入入口,发现疑似网络安全攻击或病毒时应当及时采取防范措施。
(八)加强远程办公网络安全常识宣传教育,提高员工安全防范意识,设置适当的奖惩措施,要求员工严格遵守公司的信息安全策略,掌握基本防护技能,做好手机、电脑等终端及个人信息的防护,制定相适应的访问,改写权限,对于核心数据库的数据应当禁止员工通过远程登录的方式进行操作和处理。
随着5G技术和基础网络的高速发展,远程办公将会迎来井喷式发展,同时远程办公安全防范工作也将面临更大的挑战和要求,解决网络安全问题成为了保证远程办公安全性的迫切需要,在社会大潮的发展之下,企业务必全面梳理并完善现有的网络安全与数据合规策略,为以后远程办公奠定一个良好的基础。
版权声明:本文出自51Testing会员投稿,51Testing软件测试网及相关内容提供者拥有内容的全部版权,未经明确的书面许可,任何人或单位不得对本网站内容复制、转载或进行镜像,否则将追究法律责任。
