近来全国疫情出现反弹，众多企业被迫开启居家办公模式。对于非常依赖内网办公的企业而言，这种远程的办公模式会将大量的身份验证信息、操作权限暴露于并不安全的外部互联网络中。无论是公司网络还是个人网络，安全边界的扩大或消失无疑给企业数据信息安全构成了潜在威胁。本期话题就围绕疫情期间如何保障企业网络安全展开：

1.在居家远程办公条件下，相比纯粹使用个人电脑，利用公司派发的装有相关安全工具的电脑，能够起到多大的安全防护作用？
2.在远程接入的情况下，企业的应该如何构建身份验证机制来确保安全？
3.针对远程使用的软件，是否会部署本地化远程类服务器？如何最大程度确保安全性？

（本文所有ID已做匿名处理）

1.在居家远程办公条件下，相比纯粹使用个人电脑，利用公司派发的装有相关安全工具的电脑，能够起到多大的安全防护作用？

@浅蓝

我已经在家1个月，这个月我经历了从上家离职，和远程入职下家。公司派发的电脑，除了特制的工作软件和VPN，不如家里的好用，比如企业版杀毒软件，脱离了公司内网，也就脱离了公司的杀软服务器，难以第一时间更新 ，有些公司电脑有准入，在家里有时候还无法上B站等。

@蝉夏

公司发的从来不接入办公网络。

@晚街听风

如果员工自带个人电脑，然后接受安装相关安全软件，那么如果员工离职的情况下，格式化电脑之后，还有风险吗？

@God

肯定有啊，建议消磁。

@淡色

建议电脑用公司配的硬盘，离职就理所当然回收硬盘。

@柚子味的诗

电脑BitLocker加密外加AD+TPM托管密钥，不要说离职了，在职拆走硬盘也没有用。

@蝉夏

只要文件脱离了公司环境，就有可能泄漏。

@星海之中

搞个沙盒或者云桌面办公，只进不出那种。

@淡色

个人电脑拿来公司用，一律按办公电脑规范要求，比如加密封USB。

@大白

安全管理角度，cope比byod管起来方便太多，型号固定，甚至可以定制固件，该装的终端管理软件都预先装上了，设备直接绑定使用人，资产登记也方便。

2.在远程接入的情况下，企业的应该如何构建身份验证机制来确保安全？

@浅蓝

用双因素认证，有条件的话上零信任，比如citrix workspace。

@淡色

VPN+双因素认证+准入规则。

@安之若素

有活儿了VPN进去，干完了麻溜的下线，只要我的速度快，谁也别想黑到我。

@强颜欢笑

远程办公，有条件的可以参考外企的处理方式， Chromebook或者深度定制的软硬件设备。

我只知道Amazon国区部分员工用的是HP定制的小本，从软件到硬件深度定制，只能访问与工作有关的内容，而Chromebook其实本地几乎没有数据。这两种方式，除非拆机或者拍照，理论上不会出现大规模泄露事件。

@心境

终端电脑各种安全管控，只能访问指定的网络，公司VPN有准入机制，外部电脑连接不能访问生产系统。

3.针对远程使用的软件，是否会部署本地化远程类服务器？如何最大程度确保安全性？

@浅蓝

可以考虑堡垒机。

@晚街听风

堡垒机之前有讨论过，管理方面的话如果是VPN+堡垒机+虚拟桌面，这个有没有什么问题呀？

@浅蓝

VPN很卡，堡垒机很卡，虚拟桌面很卡，三个加起来非常卡， VPN+堡垒机 ，鼠标已经像放幻灯片了。

普通办公，尤其是文档类，其实用家里电脑的WPS处理下 ，上传到公司OA或者企业微信文档都行，除非公司服务器某些端口开放，家里VPN就能连，不然很卡，reboot命令过去没反应等。

@温存记忆

还加个DLP，防止电脑的敏感业务数据外泄。

@风之乐

DLP还行，有那么点作用，我们每天都会审计网盘下载日志。

@浅蓝

DLP，或者杀毒软件本身的限制，在家办公，会有一定的局限性比如财务同事带着电脑回家，报税的时候插U盾， DLP或者杀软拦截，这个时候申请开通白名单，也必须在公司的网络，在家隔离根本不出来，所以完全没法工作，恶行循环。

@星火

我今天跟同事商量了一下我的蜜罐搭建方案，没蜜罐，想钓点poc都没有办法。

@最爱鱼的喵

可以做集群，部署一些真实的测试服务，然后联动防火墙，通过API接口自动阻断。

@温存记忆

蜜罐可以抵挡hvv的大批量自动扫描，发现而封禁攻击IP。

@最爱鱼的喵

是的，起码这点还是可以保证的自动扫描这些收集资产操作。如果你们足够有钱，在内外网搭建n个节点集群，其实也很安全的。

本期精彩观点到此结束啦~此外，FreeBuf会定期开展不同的精彩话题讨论，想了解更多话题和观点，快来扫码免费申请加入FreeBuf甲方群吧！

加入即可获得FreeBuf月刊专辑，还有更多精彩内容尽在FreeBuf甲方会员专属社群，小助手周周送福利，社群周周有惊喜，还不赶快行动？

申请流程：扫码申请-后台审核（2-5个工作日）-邮件通知-加入会员俱乐部

如有疑问，也可扫码添加小助手微信哦！