本以为远程工作(在线工作)模式在我国三五年内都难以发展壮大。 结果随着疫情忽如其来,大小企业都纷纷启动远程办公,人算不如天算了。 老黄我身为一个践行在线工作八年多的先行者,借此盛况为大家贡献一些小经验,权当抛砖引玉。
企业开启远程工作模式,头等要务是要保障信息安全。
总所周知,很多企业习惯将关键信息,如 ERP 系统、业务数据、源代码、文档等,限制只能通过企业内网访问。 然后设置内外网隔离、关闭远程登录等形式防止网络入侵。 现在因为远程工作需要,这些限制不得不取消。 但哪些限制要取消,又要增加什么相应的防范,学问可就大了!
互联网大厂估计早已经建立了严格的 VPN 访问机制和 Active Directory 控制,应该影响不大。 三五杆枪的小厂数据信息价值不高,丢了也没太大影响,吸引不来太多目光。 几十到百来号人的中型企业,拥有令人垂涎的数据,又往往没有专业的 IT 运维团队,很可能成为攻击的重点。
老黄这里把几年来接触到的措施整理一下,希望能帮到一些忙:
请架设 VPN 网络,一切对内网机器的访问必须通过 VPN,严格保持企业内外网隔离;
请尽量使用更安全的 OpenVPN 协议,远离有安全漏洞的 PPTP 协议,避免有安全隐患的 L2TP/IPsec 协议;
请尽可能不要使用 TeamViewer、向日葵、Frp 之类可以绕过 VPN 进行内网穿透的桌面共享软件;
如果不得不使用 TeamViewer,请安装修复了高危漏洞的最新版本,切勿安装来路不明的盗版版本;
请保证关键数据日常备份,避免数据勒索;
如向外网开放内部办公系统,请强制要求所有员工设置强密码,避免弱口令入侵;
请关闭服务器一切非必要服务进程和端口;
请及时更新服务器系统安全补丁,监控新开启端口,检查异常连接;
请及时升级有安全漏洞的应用程序,给予低权限运行。
老黄不是专业做网络安全,很有可能文不对题、挂一漏万,敬请斧正与补充,请移步 issues 留言与讨论。
最后老黄再次疾呼:试水远程工作的企业和员工请将信息安全重视起来,不要让中国远程工作元年成为互联网黑产的盛宴!
1
Mithril 2020-02-04 09:14:51 +08:00 2
安全只能靠人的意识和策略,只靠技术是没用的。VPN 和 FRP 本质上没什么区别,你只要能访问到内网,那该炸就一样会炸。
作为公司而言,首先要确定对于自己来说什么东西是核心资产。绝大多数公司并非造火箭的,代码本身不值钱。是产品数据库重要,还是自身的销售渠道重要,还是真的代码最重要自己要想清楚。安全防护保的是核心资产,其他的价值没那么大。 比如你做互联网产品,那么生产环境是要彻底隔离开的。哪怕是在公司也不应该让开发人员可以直接访问到。这种情况开发人员在家办公还是在公司区别不大,只要做好代码库隔离,不要一次性把所有产品代码暴露给某个开发人员就可以了。 |
2
Vamwere 2020-02-04 09:44:16 +08:00 via iPhone
1000 人以下公司就别搞内网了,直接都外网部署,做好常规安全,比搞 vpn 登录内网安全多了
|
3
passerbytiny 2020-02-04 10:07:37 +08:00
且不说 VPN 在法律层面上是能随便开的,就算 VPN 可以随便开,那么如果只开 VPN,那么终端可控的物理内网变成终端不可控的虚拟内网,安全性非但没提高,反而产生极大的安全隐患。稍微懂点安全的人就应该知道:防内比防外更重要。
不是专业做网络安全的,并不禁止你网上随便搜索一些发小编体,但请到发到小编体该存在的地方,不要发到 Github 和 V2EX 这样的技术社区,会被怼死的。 |
4
shot OP @Mithril
赞成“只靠技术是没用的”。 不过对于传统企业来说,“人的意识和策略”的培养需要一个漫长的过程。 而技术上的保障,效果再微弱,也是可以立杆见效的。 特别是对于行政、市场、测试等技术含量相对不高的团队和员工,一个可行的方法就是以技术倒逼策略,进而培养意识。 |
5
shot OP @Vamwere
有哪些企业做到了“外网部署,做好常规安全”?愿闻其详。 我以前就职的国外企业,从 2005 年前后就开始全面贯彻远程工作实践,现在整个集团有几千号人分布在世界各地。 其实践上除了 Jira、BitBucket 等有限几个工具之外,其它工具都必须通过 vpn 登录内网使用。 |
6
shot OP |