远程办公模式下的安全网络保护

面对疫情期间远程办公的突然需求，如何确保远程办公的便利性和远程办公业务的网络安全是当前亟待解决的问题。因此，在移动办公模式下建立网络安全系的建设是一项重要任务。根据上述远程办公场景和总结的主要网络安全风险，远程办公模式下网络安全防护体系的建设主要包括以下内容。

1.安全传输通道及重要数据加密

采用VPN等安全传输通道技术，在远程办公人员与单位业务系统之间建立安全传输通道，确保传输数据的安全。在即时通信、会议系统、数据存储等方面，采用数据加密、数字签名等安全技术，对运维密码、开发代码、财务数据、审批指令等重要敏感数据进行加密传输，确保数据的保密性和完整性。

2.基于零信任的业务系统安全访问

对于需要远程访问的业务系统，建议采用零信任安全技术，实现接入人员、接入设备、权限控制、行为审计等综合可信验证。WAF防火墙、网页防篡改等产品，提高应用安全性，防止应用安全，防止SQL注入、跨站、越权等常见开发漏洞。利用防火墙等设备实现内外网隔离，实施细粒度访问控制策略，确保内网核心业务网络安全，防止安全攻击内部横向扩散。

3.统一的多因子认证和权限控制

对于远程办公人员，需要建立统一的认证授权系统，基于数字证书、动态密码、人脸识别、指纹识别等认证方法，根据业务系统的重要性和人员访问场景的可信度，灵活选择认证方法，实现访问人员的可信验证。同时，根据人员身份，给予访问系统的最小权限，并能够审计和报警所有越权或其他可能危害系统的行为。

4.重要操作行为可审计、可追溯

对于远程运维和远程开发人员，通过部署堡垒机、桌面云等安全技术设施，实现IT运维开发人员加强认证和细粒度权限管理。实现所有操作的可审计和可追溯性，对可能影响业务运行的重要操作有多人审计和限制机制，对不符合权限的操作和维护操作实时阻断和报警。对于源代码等重要数据，采用基于加密或签名的数据安全技术，防止数据泄露和破坏，实现重要数据的全生命周期安全管理。

5.终端设备的安全

远程办公人员使用的各种终端设备，采用远程办公人员使用的各种终端设备EDR，MDM，准入控制等终端安全管理手段，实现病毒保护、软件黑白名单控制、重要业务数据水印保护、必要条件下远程擦除、终端网络健康检查等多种安全机制，实现接入终端的可信、可控、可管理。总之，对于移动办公模式，需要结合业务场景和各级可能存在的网络安全风险，构建远程办公模式下的整体网络安全保护体系，确保远程办公模式下的网络安全。远程办公模式下的网络安全防护技术体系结构如图2所示。远程办公模式网络安全防护系统具有以下特点：从架构层面构建起，从架构层面构建起“接入终端-外部边界保护-外部边界保护-——DMZ区零信任业务网络-内部业务系统”层层递进的纵深安全防护体系。在接入终端层面采用EDR，EMM，终端准入控制等多种技术手段，确保接入终端设备的安全可信，从源头上控制网络安全风险。部署外部保护边界IPSecVPN或SSLVPN产品、即时通讯加密产品、多因素认证授权产品等安全产品，确保数据传输通道安全、重要数据保密和人员细粒度权限控制。在DMZ区域对外业务部署区，采用零信任安全基础设施，部署WAF，业务应用安全监控等产品，确保提供远程服务的业务系统的网络安全。部署堡垒机、云桌面等安全产品，确保开发运维人员的操作行为可审计、可追溯，确保重要开发运维数据的安全。在内网业务系统中，采取防火墙等安全措施，实现严格的隔离和访问控制措施，确保内部业务系统的网络安全。

随着远程办公模式的大规模推广和不断发展，将出现新的网络安全威胁和风险。因此，网络安全防护技术体系需要根据远程办公业务的发展模式不断创新和发展。另一方面，要建立远程办公网络安全管理、应急处置等综合管理体系，开展网络安全培训，提高员工远程办公网络安全意识，全面保障远程办公业务模式的网络安全。