远程办公安全指南

远程办公安全指南

新冠肺炎疫情开启了数字时代****规模的一次远程办公迁徙。这种过去只存在于软件开发、电子商务和创意设计领域的“革命性”数字化生产方式，在中国这个互联网巨头都信奉“996”理念的传统办公社会中，从文化上的非主流，摇身变成了中国数字经济的救世主。

对于IT互联网企业来说，远程办公并不陌生，但是对于大量传统行业人员来说，突然性的大规模远程办公应用会带来一系列严重的安全问题，尤其是大量隐私和数据安全问题。

因为突然性的全员远程办公，意味着大量企业内部人员需要从企业安全边界外部（包括家中或者不安全的WiFi热点）访问任何能够维持正常工作的账户、文档或数据。而如果相关网络安全措施、规则和培训没有随之调整，将产生巨大的安全隐患。

非常时期的未知安全威胁如影随形。例如，你的一位核心开发人员买菜回家突然被带走隔离了怎么办？你的一位高管手边只有一台装满木马的家庭游戏PC怎么办？财务主管家里的WiFi路由器漏洞好几年没修补了咋办？企业协作平台堵塞卡顿后员工纷纷切换到QQ群工作咋办？

以下是管理远程团队，确保远程办公数据安全的关键举措：

1、提高安全免疫力：员工安全教育至关重要

帮助任何远程团队维护数据安全最重要的措施就是正确培训员工。尽管您可能认为您的团队成员在处理任何技术和互联网问题方面都是行家里手，但是，相信我，他们一般都会以你意想不到的方式忽视一些最基本（致命）的安全威胁。

这听起来似乎不太可能，但是在CNBC关于网络安全风险的研究中，员工的疏忽被证明是****的威胁。考虑到这一点，最好在全面启动远程办公前召开全体会议或向公司手册中添加安全意识相关内容，以免员工的意识出现盲点。即使您的员工分布在全球各地，您也需要利用协作工具召集所有人集中一段时间培训，以确保每个人都可以理解远程团队面临的诸多安全风险。

远程办公的安全意识培训需要按照威胁等级进行优先级排序，最紧急的培训内容包括如何发现和处理可疑链接和钓鱼电子邮件、使用免费/公共Wi-Fi的风险以及如何创建可靠的密码。此类培训可以帮助您减轻远程办公给公司网络安全防护带来的负担，并将其分散到整个业务环境中，从而创建一个高免疫力的环境，每个人都可以积极地主动应对安全威胁。

2、确保使用VPN

类似疫区一线医院的医生护士在防护物资极度短缺时会降低防护用品的规格和等级要求，特殊时期，大量远程工作人员经常会使用公共WiFi，例如机场休息室、酒店、咖啡店甚至邻居网络，远程团队数据安全受攻面成几何级数放大。您可以精打细算，跨多个时区进行协作，并巧妙地使用最新的管理技术，榨干团队的每一滴血汗；但是，如果您的团队没有使用安全的Wi-Fi连接，那么数据安全的护城河分分钟就可能决堤。保证安全的****方法是让您的团队使用虚拟专用网络，学名VPN。

无论您连接的是哪种WiFi，VPN都可以通过安全连接来提高数据通讯的安全。保护远程团队的活动、数据、信息和密码，免遭各种埋伏在公共WiFi网络中的不怀好意的（中间）攻击者窥视和窃取。

3、实施高熵密码

黑客破解密码的难度要比大多数人想象得低得多。例如，一个五个字符的密码大约需要十秒钟就能被破解，而六个字符的密码需要一千秒。

目前最简单易行的办法就是确保您和您的团队成员使用强密码（高熵密码）。密码越长越复杂，破解的难度就越大。NIST最新的密码管理规范强调密码复杂性最小化（但加强密码更新管理，降低密码重复度），但这并不适用于大量人员流动到外网的特殊时期。

仅仅通过增加密码长度、增加单词字母变体或字符（提高密码熵值），就能让破解所需的时间呈指数增长。最重要的是，您需要设置每隔几个月更改一次密码的提醒，并且尽管烦人，也要对不同的帐户和程序使用不同的密码。毕竟，那意味着如果一个被破解了，它们也一次都被破解了。

对于远程团队来说，一个非常有用的工具是密码管理器，对于需要使用高熵密码的团队来说，密码管理器能让密码管理变得不那么痛苦。

4、尽可能使用双因素认证（2FA）

很多时候，你无法阻止黑客获得密码，但是如果你启用了双因素验证，那么攻击者即使掌握了密码，也很难更进一步。

但是安全团队需要注意的是，目前已经出现很多能够绕过双因素甚至多因素认证的中间人攻击和自动化钓鱼攻击工具及手法。在钓鱼网站上，因为受害者必须手动输入这些验证码，那些基于短信验证码和移动验证软件的解决方案尤其容易受到攻击。

在您所属的任何远程团队中，双因素认证都必须是强制性的，对于高价值和高风险目标则需要启用硬件密钥或生物认证。如果你重点防护的员工没有或者忘记了硬件密钥，那么快递密钥将会是一个很重要的应急战术动作。

5、强化RDP

以下这些强化措施有助于保护计算机免受基于RDP的攻击。

6、将工作移至云端

远程团队成员在全国甚至全球各地进行远程工作，基于云计算的数据存储访问、通讯和协作应用是最好的解决方案，云服务让远程团队可以安全地访问他们需要的任何内容。

云服务提供安全的在线存储和易于访问的工作环境，这为远程团队提供了理想的选择。云计算公司提供自己的主动安全性，能够预防并快速解决问题。例如，远程员工即使弄失了笔记本电脑，仍然可以用新设备访问云端文件。

最后，总结了一个远程团队安全速查清单：

打开Windows防火墙

加密磁盘

启用加密备份

使用SSH密钥

使用高熵密码

使用安全的互联网连接（包括检查家中WiFi路由器的固件版本和密码脆弱性）

使用VPN连接企业网络

警惕U盘（即使是家人的）

打开移动设备的“找到我的设备”

使用双因素/多因素认证