远程办公模式下的网络安全分析(2)

3.统一的多因子认证和权限控制

针对远程办公人员，需要构建统一的认证和授权系统，具备基于数字证书、动态口令、人脸识别、指纹识别等多种认证方式，根据业务系统的重要性和人员接入场景的可信性等多重因素，灵活选择认证方式，实现接入人员的可信验证。同时，根据人员身份，赋予其访问系统的最小权限，并能够对所有越权或其他可能危害系统行为进行审计和告警等。

4.重要操作行为可审计、可追溯

针对远程运维和远程开发人员，通过部署堡垒机、桌面云等安全技术设施，实现IT运维和开发人员的增强认证和细粒度权限管理。实现所有操作的可审计、可追溯，对于可能影响业务运行的重要的操作，具备多人审核和制约机制，对于不符合权限的运维操作，进行实时阻断和告警。对于源代码等重要数据，采用基于加密或者签名的数据安全技术，防止数据的泄露和破坏，实现重要数据的全生命周期安全管理。

5.终端设备的安全

针对远程办公人员使用的各类终端设备，采用EDR、MDM、准入控制等终端安全管理手段，对于终端设备实现病毒防护、软件黑白名单控制、重要业务数据水印保护、必要条件下的远程擦除以及终端入网的健康检查等多重安全机制，实现接入终端的可信、可控和可管。总之，针对移动办公模式，需要结合业务场景和各层面可能存在的网络安全风险，构建远程办公模式下的整体网络安全防护体系，才有可能保证远程办公模式下的网络安全。远程办公模式下的网络安全防护技术体系架构如图2所示。远程办公模式网络安全防护体系具备如下特点：从架构层面构建起从“接入终端——外部边界防护——DMZ区零信任业务网络——内部业务系统/内部研发内网”层层递进的纵深安全防护体系。在接入终端层面采用EDR、EMM、终端准入控制等多项技术手段，确保接入终端设备的安全可信，从源头上控制网络安全风险。在外部防护边界，部署IPSecVPN或SSLVPN产品、即时通讯加密产品、多因子认证和授权产品等安全产品，确保数据传输通道安全、重要数据保密以及人员的细粒度权限控制。在DMZ区对外业务部署区域，采用基于零信任的安全基础设施，部署WAF、业务应用安全监测等多种产品，确保对外提供远程服务的业务系统的网络安全。部署堡垒机、云桌面等安全产品，保证开发和运维人员操作行为可审计、可追溯，保证重要开发和运维数据的安全。在内网业务系统，采用防火墙等安全措施，实现严格的隔离和访问控制措施，保证内部业务系统的网络安全。

四总结

随着远程办公模式的大规模推广和不断发展，将会出现新的网络安全威胁和风险。因此，网络安全防护技术体系需要根据远程办公业务的发展模式，不断地进行创新和发展。另一方面，需要同步建立远程办公网络安全管理、应急处置等综合管理体系，开展网络安全培训，提高单位员工远程办公网络安全意识等，才能全面保障远程办公业务模式的网络安全。

百度搜索“yundocx”或“云文档网”即可找到本站免费阅读全部范文。收藏本站方便下次阅读，云文档网，提供经典理学类远程办公模式下的网络安全分析(2)在线全文阅读。