V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
shot
V2EX  ›  职场话题

远程工作小贴士 No. 1: 请关注企业信息安全

  •  
  •   shot · 2020-02-04 08:23:29 +08:00 · 3127 次点击
    这是一个创建于 1758 天前的主题,其中的信息可能已经有所发展或是发生改变。

    原文链接

    本以为远程工作(在线工作)模式在我国三五年内都难以发展壮大。 结果随着疫情忽如其来,大小企业都纷纷启动远程办公,人算不如天算了。 老黄我身为一个践行在线工作八年多的先行者,借此盛况为大家贡献一些小经验,权当抛砖引玉。

    企业开启远程工作模式,头等要务是要保障信息安全

    总所周知,很多企业习惯将关键信息,如 ERP 系统、业务数据、源代码、文档等,限制只能通过企业内网访问。 然后设置内外网隔离、关闭远程登录等形式防止网络入侵。 现在因为远程工作需要,这些限制不得不取消。 但哪些限制要取消,又要增加什么相应的防范,学问可就大了!

    互联网大厂估计早已经建立了严格的 VPN 访问机制和 Active Directory 控制,应该影响不大。 三五杆枪的小厂数据信息价值不高,丢了也没太大影响,吸引不来太多目光。 几十到百来号人的中型企业,拥有令人垂涎的数据,又往往没有专业的 IT 运维团队,很可能成为攻击的重点。

    老黄这里把几年来接触到的措施整理一下,希望能帮到一些忙:

    1. 请架设 VPN 网络,一切对内网机器的访问必须通过 VPN,严格保持企业内外网隔离;

    2. 请尽量使用更安全的 OpenVPN 协议,远离有安全漏洞的 PPTP 协议,避免有安全隐患的 L2TP/IPsec 协议;

    3. 请尽可能不要使用 TeamViewer、向日葵、Frp 之类可以绕过 VPN 进行内网穿透的桌面共享软件;

    4. 如果不得不使用 TeamViewer,请安装修复了高危漏洞的最新版本,切勿安装来路不明的盗版版本;

    5. 请保证关键数据日常备份,避免数据勒索;

    6. 如向外网开放内部办公系统,请强制要求所有员工设置强密码,避免弱口令入侵;

    7. 请关闭服务器一切非必要服务进程和端口;

    8. 请及时更新服务器系统安全补丁,监控新开启端口,检查异常连接;

    9. 请及时升级有安全漏洞的应用程序,给予低权限运行。

    老黄不是专业做网络安全,很有可能文不对题、挂一漏万,敬请斧正与补充,请移步 issues 留言与讨论。

    最后老黄再次疾呼:试水远程工作的企业和员工请将信息安全重视起来,不要让中国远程工作元年成为互联网黑产的盛宴!

    6 条回复    2020-02-08 11:00:35 +08:00
    Mithril
        1
    Mithril  
       2020-02-04 09:14:51 +08:00   ❤️ 2
    安全只能靠人的意识和策略,只靠技术是没用的。VPN 和 FRP 本质上没什么区别,你只要能访问到内网,那该炸就一样会炸。
    作为公司而言,首先要确定对于自己来说什么东西是核心资产。绝大多数公司并非造火箭的,代码本身不值钱。是产品数据库重要,还是自身的销售渠道重要,还是真的代码最重要自己要想清楚。安全防护保的是核心资产,其他的价值没那么大。
    比如你做互联网产品,那么生产环境是要彻底隔离开的。哪怕是在公司也不应该让开发人员可以直接访问到。这种情况开发人员在家办公还是在公司区别不大,只要做好代码库隔离,不要一次性把所有产品代码暴露给某个开发人员就可以了。
    Vamwere
        2
    Vamwere  
       2020-02-04 09:44:16 +08:00 via iPhone
    1000 人以下公司就别搞内网了,直接都外网部署,做好常规安全,比搞 vpn 登录内网安全多了
    passerbytiny
        3
    passerbytiny  
       2020-02-04 10:07:37 +08:00
    且不说 VPN 在法律层面上是能随便开的,就算 VPN 可以随便开,那么如果只开 VPN,那么终端可控的物理内网变成终端不可控的虚拟内网,安全性非但没提高,反而产生极大的安全隐患。稍微懂点安全的人就应该知道:防内比防外更重要。

    不是专业做网络安全的,并不禁止你网上随便搜索一些发小编体,但请到发到小编体该存在的地方,不要发到 Github 和 V2EX 这样的技术社区,会被怼死的。
    shot
        4
    shot  
    OP
       2020-02-08 10:32:27 +08:00
    @Mithril

    赞成“只靠技术是没用的”。

    不过对于传统企业来说,“人的意识和策略”的培养需要一个漫长的过程。
    而技术上的保障,效果再微弱,也是可以立杆见效的。

    特别是对于行政、市场、测试等技术含量相对不高的团队和员工,一个可行的方法就是以技术倒逼策略,进而培养意识。
    shot
        5
    shot  
    OP
       2020-02-08 10:54:31 +08:00
    @Vamwere

    有哪些企业做到了“外网部署,做好常规安全”?愿闻其详。

    我以前就职的国外企业,从 2005 年前后就开始全面贯彻远程工作实践,现在整个集团有几千号人分布在世界各地。
    其实践上除了 Jira、BitBucket 等有限几个工具之外,其它工具都必须通过 vpn 登录内网使用。
    shot
        6
    shot  
    OP
       2020-02-08 11:00:35 +08:00
    @passerbytiny

    打标签和怼人并不能保护信息安全。

    物理内网变成虚拟内网是支撑现在远程工作的必须,开 VPN 只是尽量为其提供一层防范。
    本末倒置的话就没有讨论的价值了。
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   1029 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 23ms · UTC 20:57 · PVG 04:57 · LAX 12:57 · JFK 15:57
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.