远程办公模式下如何保障数据安全 讲座总结

本文是对 远程办公模式下如何保障数据安全（http://aix.51cto.com/activity/10023.html）分享的总结，主讲人为李鸣雷，是飞书安全与合规部门总监，历任百度安全技术经理、金山云安全技术总监等职位，有十多年的互联网安全建设经验。

分享主要分三部分内容：第一部分是远程办公的风险，第二部分是飞书是如何应对这些风险并保证数据安全，第三部分是远程办公的最佳实践。

因为2020年初这次突如其来的疫情，让远程办公走上了前台，并得到了公众的广泛的关注。

什么是远程办公？

通常指公司员工在公司网络安全边界外，通过互联网连接公司内部或者外部的办公服务完成日常工作。

远程办公环境相对企业环境来说有很多不同，包括网络环境，终端的因素，具有更大的复杂度和不确定性，因此也带来了额外的安全风险。

远程办公的参与者

想分析清楚风险，首先需要分析远程办公的参与者有哪些？

远程办公的参与者分为三部分，分别是客户端、传输信道、服务端。

• 客户端，这里更多的是客户侧的意义，用户在远程办公环境通过APP或者浏览器，访问远程服务。

• 服务器，是指提供远程办公能力所需的服务，服务可能位于公司网络边界内，也可能在公司外部。

• 数据传输通道，客户端和服务端的数据流动，通过此通道进行，因此数据通道的安全与否决定了传输过程是否可信，可靠的传输通道会有效降低数据泄漏丢失的风险。

分析三个主要参与者面临的具体风险

一、客户端

客户端的风险有四个方面，包括网络层防护缺乏，不安全的软件环境，身份窃取和伪造，敏感数据存储。客户端和用户体验直接相关，是用户接触最多的一部分。

1. 网络层防护缺乏

因为现在疫情防控比较严格，远程办公一般发生在家庭环境下。在家庭环境下，一般很少有能达到公司内办公具备的企业级网络安全防护级别的路由器。对家用路由器来说，它对病毒，木马等这些安全威胁，一般是缺乏检测和阻断能力的，通常是无法为用户提供足够的网络层保护。而且家庭路由器很多因为不正确或者不安全的配置，可能会导致一些安全问题，比如采用默认出厂密码或者弱密码，没能及时升级有安全漏洞的固件，这些都有可能造成家庭路由器被黑客攻陷控制，导致数据泄露。之前的远程办公，还会涉及到网吧，商场，咖啡馆和电影院的公共场合。公共场所网络环境复杂，接入的客户端众多，鱼龙混杂，局域网内的攻击钓鱼通常难以预防和检测。

2. 不安全的软件环境

使用终端方面，远程办公可能会使用公司配发的电脑或者是个人电脑。公司的设备通常操作系统种类比较简单，并安装有公司的内网准入，终端保护软件，通常不能随意安装软件，相对比较安全。但在远程办公环境下，如果这些公司的终端不能接入企业的VPN，通常是无法被企业远程设备管理服务覆盖的。而个人设备，通常会包括电脑，手机，PAD等智能设备，操作系统经常会比较复杂，iOS，Android，windows可能都会有，而且家庭终端的一个特点就是可能是在多个使用者之间共享。在网吧可能会牵扯到多个网吧的使用者，而且这些设备通常缺乏统一的终端安全管控能力，很可能因为管理不善或者使用者缺乏安全意识，中病毒或被安装木马后门，从而导致一系列的信息安全问题。

远程办公使用的应用本身同样也是一个风险点，可能因为存在漏洞被攻击者利用，导致安全问题，举一个大厂的例子，去年WhatsApp的一个漏洞CVE-2019-11932。通过发送特殊构造的文件给受害者，在受害者的设备上可以静默安装后门，执行任意代码，WhatsApp很快修补了问题。这种应用层漏洞，每个应用厂商都可能存在，厂商需要有专业的安全团队和应急响应团队和机制来处理问题。通常应该选用对安全重视负责任和有技术能力的厂商产品，因为厂商会投入很大的精力在业务和数据安全工作上，并且有能力快速响应漏洞并修复漏洞，可以最大程度降低用户的损失。

3. 身份窃取和伪造

狭义的身份窃取的概念，是用户登录或者会话的身份被人冒用，比如像用户名密码被盗，会话凭证被盗。而对于远程办公环境，也可能出现用户伪造基础信息，比如伪造GPS信息进行打卡考勤等功能的情况。而设计良好的服务会很大程度降低这类风险的发生，比如异地登录提醒，禁止多端登录，陌生设备登录提醒等。同时也会检测远程终端的环境风险，比如被调试，root越狱环境等。

4. 敏感数据存储

存储端本身可能会存储很多敏感的数据，比如企业重要文件，合同甚至个人数据。敏感信息的明文存储用，公共目录存储，密钥硬编码，都会危害本地的数据安全。同时，不安全和缺乏审计的数据导出，也会导致企业敏感数据泄露的发生，比如应用缺乏文档下载权限控制，没有水印等等，这些都会增加企业数据泄露的风险。

二、数据传输

数据传输的风险分成用户侧和服务侧两个部分分析。

用户侧指的是家庭或公共场所不安全的网络接入，客户端使用不安全的网络传输协议造成的风险。用户可能因为接入不安全的网络接入点，比如公共WiFi，钓鱼WiFi，导致隐私信息被攻击者泄漏。也可能因为使用不安全的协议，导致信息被中间人窃取，比如http明文传输或者低版本的浏览器错误配置，使用不安全的协议等。

服务端包括不安全的传输协议，不安全的中间节点供应商，比如说CDN动态加速节点带来的风险。服务侧的安全风险，同样包括服务器协议的不正确配置，比如支持一些有漏洞的安全协议。如果用户浏览器也支持这些不安全的协议，有可能通过降级客户和服务端之间的链接进行中间人攻击。现在的企业服务同时也大量采用cdn动态加速，来为分布在各地的用户提供更好的访问体验，带来的一个副作用是不安全的cdn服务提供商有可能会导致用户的敏感信息泄露。有可能不正确的运维或者不安全的运维，使企业客户的证书泄露，导致用户的信息泄露。

三、服务端

应用服务端的风险，从数据泄露，数据篡改，数据丢失三个方面来讨论。

服务端数据泄露的风险可能来自多个方面，包括基础架构安全问题，业务安全漏洞，研发流程管控问题。基础架构的安全问题有可能发生在操作系统或者中间件缺乏维护，开放过大的对外攻击面，没有升级安全补丁，所以才导致的入侵和后来的数据泄露。业务安全漏洞比如像SQL注入这样的外部漏洞，api的安全缺陷和漏洞。缺乏管控的研发流程，比如数据库运维缺乏管控，报废磁盘的不当处置，线上数据进入测试环境，日志打出了敏感信息等。

服务端的数据篡改有多种原因，可能是恶意的或者是无意的。业务逻辑错误可能会导致无意的数据篡改。业务逻辑缺乏安全管控，安全漏洞等等都可能会导致恶意篡改的发生。

数据丢失是指业务数据因为各种原因而导致的损失，造成全部或者部分不可恢复。服务方应该做好数据的备份，并满足容灾所需要的技术指标的需求。衡量企业数据恢复能力的两个重要指标是RTO（Recovery Point Objective）和RPO（Recovery Time Objective）。RPO通俗的讲是灾难发生到系统恢复之间所需要的时间长度，而RPO指的是可能丢失多久的数据。过长的RTO和RPO是用户不能接受的，用户的业务因此会不能正常开展。不完善的业务连续性管理方案，是导致这些问题的直接原因，良好的数据丢失灾备方案，应该是综合考虑业务需求和实施成本做出。

飞书

飞书是字节跳动使用的远程办公协作工具，它整合了即时通讯，日历，在线协作文档，视频会议，网盘开放平台等企业办公工具的平台，让企业成员可以远程沟通和协作，现在对外开放使用。从设计的最初就把安全放在最重要的地位来考量，并且投入了专业的安全团队来进行来保障。安全团队的职能，包括业务和数据安全，漏洞挖掘研究，合规与隐私保护，安全平台和工具开发等。

飞书的整体安全架构

左侧是飞书的基本的技术架构，右侧是对应的安全架构。

用户可以通过APP或浏览器访问飞书的服务，也可以通过飞书开放平台，通过小程序使用飞书开放的能力，对接自己的业务流程进行无缝的整合。用户通过CDN加速服务访问，访问请求到达字节跳动机房之后，通过接入层的负载均衡到达网关，对接后台应用服务集群。在存储上通过多种数据存储来支持服务，包括缓存，结构化存储，非结构化存储，对象存储等。

飞书的安全体系基于识别，保护，检测，响应，恢复的模型建立，而具有完整的安全技术管理，合规隐私体系，可以全面的保障用户业务和数据的安全。

飞书的技术架构，具有全方位的网络，主机，应用，数据和管理流程的防护体系。

• 在用户接入层面，具有客户端代码混淆，运行环境检测，账号风控等安全措施。

• 在网络和接入层面，具有DDoS防御，Web应用防火墙和网络入侵检测。

• 主机层面，具有堡垒机访问，控制审计，主机入侵检测，服务器漏洞扫描。

• 应用层面，具有业务漏洞扫描，自动化的扫描常见Web和业务的漏洞，代码的白盒扫描，身份验证和鉴权体系，恶意软件扫描，恶意url扫描，钓鱼网站检测这些功能

• 数据层面，具有硬件密钥管理，数据加密，敏感信息脱敏，数据备份。

飞书的主要的数据安全技术

• 在数据传输上采用全面的端到端加密，通过tls加密传输，落盘存储采用国内国际标准加密算法加密。

• 通过硬件密钥管理，管理主密钥和数据。

• 有严格的研发运维管理流程，没有研发人员可以直接接触用户的生产数据。

• 对于访问层，通过权限控制和日记审计，来控制对数据的访问。

• 研发的调试日志会进行严格的管控，通过脱敏中间层服务来杜绝敏感信息的输出。

• 在数据备份方面实现了完善的业务连续性方案，能定期进行增量或者全量的备份，不同级别和类型的数据库备份，数据是加密离线多地存储。

• 支持多因素认证并且具有账号风控体系，可以有效识别异常登陆，如异地登录，陌生设备登录。

远程办公的最佳实践

对于普通用户来讲，主要需要从客户端和网络接入层面来保证自己的安全，意识是最重要的。

首先要保证办公终端安全，个人电脑尽量安装正版软件，不要下载安装来路不明的破解版软件，保证办公软件环境基础是安全的。同时，尽量安装个人终端防护软件，比如病毒防护软件，以便能及时发现并隔离病毒木马，恶意网址。要注意陌生人的信息，不要点击来源不明的网页，不打开可疑邮件，尤其是那种标题有诱惑力的这种附件，通常都是病毒的或者木马的附着体。同时，要启用的办公软件里面的多因素登陆认证，并且关注异常登陆告警。即时通讯里收到的文件，必须要提高风险意识，不要轻易打开，要注意病毒防护软件的危险提示，确认安全后再打开。在网络使用上，要使用可信的WiFi或者局域网接入，不要随意连接来路不明的无线接入点，公共场合也要提高警惕，尽量使用4G和移动运营商的网络接入。公共WiFi尽量使用VPN对流量进行加密并且注意是否有钓鱼页面。

公司远程办公，服务端的安全就更为重要，运维团队应该及时跟踪最新的安全情报，及时升级，具有高度的安全意识，能有效提升远程办公的安全性，降低自身的数据安全风险。