企业办公网络安全为何每个企业都要重视

随着互联网的持续发展，当前大量企业通过网络将集团总部与各分公司/厂区结合起来，便捷的沟通和共享方式大大提高了企业的生产力和工作效率，如何能够保障一个稳定、安全、便捷的整体网络成为企业IT建设的重要课题。对大量企业用户进行调研后发现，在企业全网建设过程中IT管理者普遍面对着四个方面的问题。

（1）网络管理问题：

网络稳定：网络高效稳定，故障快速恢复。

工作人员行为管控：用户认证、上班时间应用管控，用户行为分析、第三方人员授权接入。

合规需求：满足监管单位相关审计、安全要求。

（2）分支互联问题：

分支接入：分支访问总部稳定便捷，链路速度快。

集中运维：分支运维统一平台、远程实现。

远程接入：移动办公人员、第三方接入人员、管理人员接入企业办公网络

（3）终端运维问题

终端统一认证、终端防病毒、终端软件统一安装及更新。

运维简化：低故障率、快速排障、远程运维。

（4）网络安全问题

人员接入网络无认证，任意访问网络系统。

出口网络无防护，导致内网终端中病毒，机房成为养鸡场。

安全问题日常管理和事故响应处置。

由此可见，企业办公网作为承载业务和人员办公的重要基础设施，同时其建设状况存在大量问题，因此办公网建设已然成为了IT建设的一大核心。

企业办公网络安全为什么频频中招？

实际上，这些威胁并不全是新鲜或者高明的攻击手段，但却总能屡屡命中企业的命门。我们尝试总结目前企业办公网络安全的现状及症结点：

1、忽视办公潜在安全风险

2020 年报告显示，60% 的受访企业认为他们不太可能成为网络攻击的目标，43% 的中小型企业没有任何网络安全防御计划。虽然看到过因遭受网络攻击给企业造成重大损失的相关报道，但侥幸心理作祟，觉得与自身关系不大，认为被入侵的概率很低。

长期以来，企业的精力更多聚焦在业务架构、流程等直接带来业务增效的环节，对安全管理关注度较低，通常依靠行政人员或IT团队兼顾安全相关工作，而大部分人员缺乏专业的安全知识，常常出现安全误区。比如，某公司采购了满足合规要求的云服务器，但在使用过程中，不修改默认口令、不关闭特权账号远程登录、不进行中间件升级，最终导致黑客轻易控制服务器。

此外，对生产网络做到固若金汤，却忽略了容易被当做跳板的办公网络。持安科技创始人&CEO何艺近日在接受安全419采访时曾表示，网络安全的特点是木桶效应，企业做安全除了盯着自身最强的板子，更要看到短板在何处。对应来说，黑客也会从最薄弱的环节去攻击。目前企业自身的安全资源更多集中在业务一侧，这本质上没有错，但长此以往办公安全就会被忽视，而办公网场景中环境和人员方面都要更加复杂，因此更容易出现问题。

2、逐渐失控的“内部”

有调查显示，70% - 80% 的安全事件是由员工办公行为不当、疏忽或有意行为导致，78% 的单位信息安全泄露源于内部员工办公过程操作不规范。

大意的、以及变心了的内部人员成为了安全最大的变量。这里的“内部”不止是企业自己的员工，由于业务模式的转变，无边界办公下互联网暴露面激增，人员、设备的访问管理权限混乱，员工切换终端和网络环境、外包人员接入、第三方合作伙伴协作、供应链上下游共享，都成为游走在模糊甚至日渐瓦解的内外网边界的角色，让企业办公风险指数级增长。

令人无奈的是，在越来越复杂的网络环境下，每当发生安全事件，企业总是后知后觉，业务不能停，但是出问题的地方却找不到，难以快速阻断和溯源。

3、安全能力各自为阵

我国的网络安全建设基础比较薄弱，安全一直作为业务附庸的角色存在，企业长期采用的是“局部整改”为主的安全建设模式，比如，登录访问请求需要鉴权，所以接入了身份管理系统；数据库里的数据很敏感，所以部署了数据库加密、审计类产品；终端设备容易中毒，所以安装了主机安全防护；等等。

堆叠的安全能力导致网络安全体系化缺失、碎片化严重、协同能力差，在多样化的办公环境下，传统安全产品使用体验欠佳，而且安全成本过高，网络安全防御能力与数字化业务的保障要求严重不匹配。

企业办公网建设存在主要挑战

一、分支建设薄弱

大量分支机构缺乏边界安全防护手段，加之缺少IT专业人员投入，容易成为黑客入侵企业网络的切入点，成为集团办公网安全建设短板

二、通信质量较差

集团与分支间广域网通信标准不一，缺乏管理，导致核心业务系统所需线路质量无法保障，影响企业业务开展。

三、缺乏统一认证

传统办公网认证缺乏统一认证方式，导致集团和各分支无法统一认证，而且支持的认证方式有限，无法满足多场景的使用需求

四、运维效率低下

各分支IT力量薄弱，网络及设备运维都需要依赖于集团总部，工作量大运维效率低下。同时，缺乏统一安全分析，全网安全状况不不透明

综合上图所列举的企业网络建设所面临的主要问题，我们可以清楚地发现，如何让企业全网办公获得更安全、更稳定、更高效的办公体验，让管理部门更简单、更直观地进行运维管理已经成为IT建设的突破点。

企业办公环境下存在的常见安全问题，可以总结为以下几点：

1. 网络架构存在安全隐患。如未考虑备份链路、设备单点故障、关键网段隔离和访问控制，对企业无线网络、远程访问缺少基本的安全管控等；

2. 服务器和终端电脑缺少安全防范措施，包括服务器和终端电脑的软件管理、补丁管理、安全基线管理，病毒、蠕虫、木马和后门查杀等；

3. 机密数据未得到重点保护。未对企业数据进行分类和分级，APT攻击会窃取公司人事信息、财务资料、CRM、ERP等敏感数据；

4. 缺少基本的安全防护设备。没有部署必要的防火墙、入侵检测、邮件安全网关、上网行为管理，防病毒软件等，安全产品管理、安全策略有效性、产品升级等；

5. 安全管理存在漏洞。包括网络设备、服务器、应用和漏洞的安全管理，如帐号和权限管理，登录和操作日志审计，管理后台安全性，定期安全检查和审计等；

6. 没有可遵循的办公网安全管理规范、制度和流程。如《办公电脑安全管理规范》的制定和宣讲等；

7. 员工日常操作的安全风险。如随意打开钓鱼邮件，访问钓鱼网站，使用弱密码，对外上传公司代码等；

8. 员工安全意识缺失。包括定期全员、新员工入职的安全意识培训和考核等；

9. 合规安全风险。集团或监管机构的信息监管要求和合规审计要求，如IT外审和内审、等级保护合规等；

由此带来的安全风险和危害

缺少基本的安全管理和安全技术措施，可能给企业带来的安全风险和危害包括：

· 网络中断：如线路故障，设备单点故障，病毒蠕虫爆发，无线恶意接入和攻击等；

· 服务器和终端电脑病毒感染：包括文件病毒，宏病毒，挖矿病毒等；

· 服务器被入侵：包括代码漏洞、管理后台漏洞、补丁、弱密码等导致的服务器被上传webshell、远程控制的安全问题；

· 机密数据泄密和数据勒索：如无法控制员工无意或恶意的泄密行为，共享文件服务器安全性，客户端或服务器感染勒索病毒等；

· 社工入侵：通过社工方式如钓鱼邮件、钓鱼网站对内网实现的入侵行为；

· APT攻击：无法发现长期潜伏的APT攻击；

办公网安全管理体系建设思路

企业存在各类安全风险和安全问题，其根本原因是没有建立起一套完善的信息安全管理体系。

很多企业特别是传统行业企业，在信息化转型过程中更多是关注于信息化系统的建设、开发和使用，往往忽视了信息安全管理体系的同步建设和运营，从而导致日后的服务器被入侵、数据泄密、勒索病毒等严重安全事件，对企业形象、业务造成重大甚至不可挽回的损失。

企业办公网信息安全体系建设，一方面可以参考ISO27001标准作为信息安全的建设目标，另一方面，在实际安全建设过程中，可以参考如下安全实践经验：

1. 完善基础安全建设。主要包括网络安全（重要网段隔离和访问控制，无线网络安全，远程访问VPN安全等），服务器和终端安全（准入，病毒查杀，补丁管理，基线检查），以及必要的安全管理规范和流程（个人电脑、服务器、数据库、代码库的安全规范，权限申请流程等）

2. 关注企业核心资产安全风险。主要包括企业信息化资产的分类和分级梳理，核心业务系统的安全防护和监控，以及企业敏感数据的防泄密管控。

3. 体现多层防御安全理念。企业构建信息安全防护体系时，可从物理层、网络层、系统层、应用层和数据层建立多层防御体系，这些安全管理和安全技术需要体现基本的事前预防、事中检测、事后恢复的安全防护理念。

4. 技术和管理相结合。企业构建信息安全防护体系时，往往更看重于安全技术和安全产品的实现和部署，容易忽略个人在整个安全体系中的重要性，对个人行为管理的缺失，很容易因为安全意识（如弱密码）、安全违规（机密文件非授权外发）导致重大安全事件的发生。

因此需要在安全规范制定和宣讲、安全意识和技能培训、安全保密协议、安全考核、安全审计及安全奖惩等多方面进行管理。

5. 安全运维和运营相结合。企业信息安全防护体系中的各类安全技术和安全设备需要进行运维以保证技术、设备及安全策略的有效，但需要安全管理层更加要重视的是，这些安全技术或安全设备所承载的安全数据，包括其它来源的安全数据，需要统一收集、分析和持续运营，从而能够反应企业当前的安全漏洞、安全风险和安全趋势。

需要运营的安全数据包括：防火墙、IDS、防病毒等安全设备的统计数据、报警数据和安全日志，日常漏洞扫描、渗透测试、安全检查、安全审计数据，漏洞修复数据，安全考核数据等。