收藏 分销(赏)

2022混合办公安全白皮书.pdf

上传人:Stan****Shan 文档编号:1299879 上传时间:2024-04-22 格式:PDF 页数:56 大小:4.99MB
下载 相关 举报
2022混合办公安全白皮书.pdf_第1页
第1页 / 共56页
2022混合办公安全白皮书.pdf_第2页
第2页 / 共56页
2022混合办公安全白皮书.pdf_第3页
第3页 / 共56页
2022混合办公安全白皮书.pdf_第4页
第4页 / 共56页
2022混合办公安全白皮书.pdf_第5页
第5页 / 共56页
点击查看更多>>
资源描述

1、前言2020 年以来,全球每一个组织和员工,都面临着工作方式的巨大改变。在新冠疫情的影响下,传统的集合式物理办公模式受阻。我们正处于一个颠覆性趋势关口由传统的办公模式转为远程办公模式,再由远程办公模式转为混合办公模式。在混合办公模式下,员工可以根据所在地疫情防控的变化,灵活选择在何地办公。这一过程中,企业和员工也经历了一个适应期,从最早的手足无措,过渡到了有选择性地进行混合办公模式。然而,在混合办公模式之下,如何应对安全问题、消除安全盲区,保障员工的工作效率和企业的经济效益,已经成了最大的关注重心。所有企业需要不断地探索如何构建更稳固的组织架构和工作运营模式,进而增强企业的韧性和自身安全防护能

2、力。尤其是随着云计算、大数据等技术广泛应用,企业原有的网络边界逐渐模糊;加上混合办公模式不同于以往集体物理的办公空间,相关人员自身的身份安全也不能被实时确认,身份被盗取或者劫持的可能性大大增加。因此,需要企业和员工着手重新建立新的安全意识、安全机制、安全壁垒;采取新的工具和理念来监督访问控制,确保企业和员工的数据、网络、终端安全可信。为此,腾讯研究院联合腾讯安全,以企业员工为研究对象,制作调查问卷并有效收回 3788 份,围绕企业员工在混合办公模式下,对于安全与效率等看法,进行数据分析和解读。同时,我们总结出了 i-DEAN 五大混合办公安全要素,帮助企业更好地理解和梳理混合办公安全所涵盖的领

3、域和内容。我们进一步建立了一套评估混合办公安全成熟度的模型,帮助企业评估自身混合办公安全的成熟度,指导企业根据自身情况,针对具体的混合办公安全维度进行补齐和发展。报告十大核心观点一、混合办公发展历程(一)工具萌芽和概念提出阶段(二)工具丰富化和小范围流行阶段(三)大范围加速流行的快速发展阶段 二、混合办公驱动因素分析(一)外部显性因素:科技变革和疫情倒逼(二)深层次隐形因素:全球不确定性与人才国际化 三、混合办公趋势展望(一)混合办公是人类办公模式的历史性演进和迭代(二)混合办公已然流行,但仍有很大的增长空间 四、混合办公安全日益成为重要焦点(一)在混合办公模式下,安全是重要关注点(二)企业在

4、混合办公模式下对安全的认知和保障普遍不足(三)网络攻击规模化与攻击门槛降低 CONTENTS目录060607080910120415182006081015五、混合办公安全 5 大关键要素(一)i-DEAN 5 大要素(二)混合办公安全成熟度的模型(三)混合办公成熟度模型实践 六、零信任体系正在成为解决混合办公安全的重要手段(一)零信任概念综述(二)零信任在混合办公场景下的作用体现七、腾讯零信任应用实践(一)腾讯 iOA 应用实践(二)iOA 优势(三)腾讯零信任产品如何助力混合办公安全(四)腾讯零信任产品助力混合办公安全成熟度 八、结束语九、腾讯零信任在混合办公安全领域的落地案例212634

5、414243463639213641485004以万全应万变从持续验证到持续保护混合办公是科技发展、工具丰富、外部不确定性增强、人才国际化和对办公效率的追求等多方面因素共同推动形成。报告十大核心观点63.8%的受访者认为,混合办公不只是疫情下的短暂过渡,而是人类办公模式的历史性演进和迭代。混合办公,是未来已来的新的工作模式、是新的企业生存策略和竞争战略。所有致力于未来竞争的企业,都将向混合办公模式迁移,先行者将享有先发优势。企业管理者须从根本上重新审视和设计企业的运作模式,制定能够赋予员工极大灵活性的计划。混合办公模式下,安全和效率成为最受关注的核心问题。受访者把安全(68.3%)排在了混合办

6、公中第二重要的要素,仅次于效率(82.6%)。当前,企业在混合办公模式下安全能力不足。86.6%的受访者表示,企业对混合办公安全要求和规范指导不充分或无相关指导;74.6%的受访者认为其所在企业的混合办公模式不成熟。1234505 2022 年混合办公安全白皮书混合办公仍有较大的增长空间,83.8%员工对混合办公这一新办公模式表示非常支持,73%的员工表示混合办公带来了效率提升。自下而上的支持认同将推动混合办公模式持续快速发展,企业混合办公模式的应用范围和频率将在未来若干年持续提升。零信任理念在企业安全领域拥有巨大潜力。65.8%的受访者认为,未来零信任会在企业安全领域发挥更大的作用。混合办公

7、安全应包含 5 大要素:身份安全、数据安全、设备安全、应用安全、网络安全,被称为 i-DEAN 混合办公安全 5 要素,其中身份安全是核心。混合办公安全成熟度评价模型由6个维度组成:架构设计、业务契合度、规章制度、团队配备、技术工具、运营迭代。通过对每个维度从低到高 1-5 打分和加权相加,可以评估企业混合办公安全的成熟度水平。效率、安全与合规是企业对零信任的核心期待。企业决定是否启动零信任安全管理程序的关键因素中,排名最高的3 项分别是:加强安全/数据保护(50.7%)、提升业务效率(45.5%)、减少端点和物联网安全威胁(39.1%)。67891006以万全应万变从持续验证到持续保护(一)

8、工具萌芽和概念提出阶段2006 年,美国 Google 公司推出了测试版在线协作型文档工具 Google Docs(1),旨在解决不同员工通过不同设备对同一文档对象进行协作。2009 年,英特尔公司提出 BYOD(Bring Your Own Device)概念。BYOD 指的是携带自己的设备(这里提到的设备最初为 PC 和笔记本电脑,后续也随着科技发展,加入了手机、平板电脑等(2),在办公室内或办公室外不固定的地点进行办公。这个时期混合 办公主要以“远程办公”的形态进行呈现,可以视作混合办公的萌芽期。(二)工具丰富化和小范围流行阶段移动互联网时代的来临,让办公设备日益多元化,连接效率大幅提升

9、,而知识经济的发展使得以互联网行业为代表的知识密集型产业对沟通、协作的需求急速增加。美国与中国市场纷纷涌现了大量的线上办公和协同办公产品,以及对应的信息安全产品。混合办公的概念在以互联网行业、咨询行业为代表的知识密集型行业间开始普及。在海外,2013 年远程会议软件 Zoom 上市;同年,线上协作工具 Slack 上线。在国内,2014 年腾讯推出企业微信,同时市场上诞生大量协同办公产品,例如在线文档领域的石墨文档、一、混合办公发展历程07 2022 年混合办公安全白皮书腾讯文档;在信息安全领域,各类公司和工具也陆续出现,例如主打移动安全的指掌易,360 公司“天机”系列等;移动设备管理(MD

10、M)、移动应用的管理(MAM)、移动文档内容的管理(MCM)、邮件安全管理(MEM)和对 IM 管理(MIM)工具产品也持续诞生。在其他领域如合同领域,也出现上上签等公司,整体来说在这一时期,混合办公相关的工具开始快速丰富化。(三)大范围加速流行的快速发展阶段新冠疫情导致通勤和日常交通的不确定性和高昂的成本代价,影响了几乎所有的行业。从而使得混合办公跳出了原有的知识密集型行业,在推动几乎所有的行业,例如金融、教育、文化传媒、公共服务(政府、事业单位)开始加速普及。在美国,2020 年 5 月,Twitter 首席执行官宣布:可以选择永久居家办公,即使是疫情结束之后。(3)2021 年 5 月,

11、谷歌宣布将进行混合工作周,办公室工作和远程办公并行。(4)同年6 月,亚马逊宣布将为员工提供更加灵活的工作选择,包括增加在家办公的选项,每周在办公室工作三天,两天在家工作,具体日期因团队而异。(5)Uber 推出灵活混合工作模式,员工可以选择 50%时间在办公室工作,50%时间居家办公。(6)在中国,2020 年,国家发改委等 13 部门联合印发关于支持新业态新模式健康发展激活消费市场带动扩大就业的意见明确提出,当前各企业应该鼓励发展便捷在线办公,支持推广远程办公应用,开发安全可靠的远程协同办公工具。腾讯会议自 2019 年底推出以来,用户量和参会量激增,从几千人到上线两周年用户数已超过 2

12、亿。截至 2021 年底,腾讯会议用户参会次数已超过 40 亿次,覆盖国家和地区超过 220 个。(7)目前,混合办公已经成为中国社会的新常态之一。08以万全应万变从持续验证到持续保护混合办公形成驱动因素分为显性以及隐性两类二、混合办公驱动因素分析(一)外部显性因素:科技变革和疫情倒逼在发展初期,混合办公主要是由科技变革带动。这一时期由个人电脑的快速发展带来的电脑软件开发热潮,使得更多的线上协作办公成为可能,且工作也不再依赖于特定的公司电脑设备。之后由于移动互联网的快速发展,在此浪潮中混合办公所需的各类应用在智能手机上应运而生,随着软件与云计算的驱动,数字工具开始大量使用,为混合办公提供了技术

13、支撑,例如企业微信、腾讯会议等工具正在缩小同步沟通的鸿沟,这些工具在虚拟环境中重塑了全新的办公体验。这两个阶段,其实都是以科技为驱动力,在为真正的混合办公大浪潮作积累和铺垫。在当前时期,混合办公的发展由外部因素推动。疫情作为突发事件,将混合办公的应用率在各行各业大幅拉升,前期的各类能为混合办公所用的软件、技术、工具,配合智能手机、手提电脑和平板,在混合办公模式下被大幅使用,成就了混合办公的浪潮。Gartner 分析师甚至认为,疫情让混合办公趋势加快5-10 年到来。09 2022 年混合办公安全白皮书(二)深层次隐形因素:全球不确定性与人才国际化一方面,世界不确定性的增加使得传统办公模式在各类

14、物理风险面前越来越脆弱。从近 10 年来看,在全球范围内,难以预测的“黑天鹅”事件频繁发生。从企业办公模式效率上来看,传统的集中办公模式无法有效应对突发事件。即使许多企业拥有多个城市的分支机构,通常也主要以业务线和职能划分,但当突发事件使得某个城市分部关闭时,公司的某个业务线便可能直接瘫痪。随着远程会议、协同工作软件的发展,远程办公在技术上已经趋向成熟,加上混合办公模式,打破了以往传统工作所建立的工作与生活的边界,作为一种人力资源管理创新的弹性工作制,在物理空间及公司设备上都具有灵活性,可以很大程度应对突发事件。另一方面人才国际化的持续深化和对办公协作效率的追求。在当前的时代背景下,不同国家的

15、人才之间协作越发紧密。面对彼此之间文化与时差的差异,高效灵活的混合办公模式成为了企业的运营核心。它可以促进同步沟通协作、完成异步协作。还可以记录与同步工具与功能模块。自此,传统物理空间内集中的办公模式不再是唯一的选择。在混合办公模式下,同城员工在效率提升的前提下可以采取办公室办公;需要与其他地区同事协同工作时,这种模式可以打破时间、空间的限制,让不同地区的员工进行高效的远程协作。混合办公模式具有的极致灵活性,可以使员工提升办公协作效率,增强对于工作地点、时间和方式的控制权,企业管理者为实现弹性工作制所做的决定,以及企业为人才让步的选择空间,将影响从文化和创新到组织如何吸引和留住顶尖人才的方方面

16、面。此外,随着文化多元化发展,95 后逐渐进入就业市场,新一代的就业观念发生较大变化,择业标准以创新、个性、灵活、价值实现等为主要衡量标准和因素。最直接的表现就是灵活就业人员的比例越来越大,许多人选择成为自由职业者或者兼职工作者,从而在地理上会变得更加分散。10以万全应万变从持续验证到持续保护(一)混合办公是人类办公模式的历史性演进和迭代通过对混合办公的发展历史脉络和驱动因素分析进行梳理盘点后,我们认为混合办公的形成并不是仅仅由疫情这一外部因素的孤立推动,而是科技的发展,工具的丰富,外部不确定性的增强,人才国际化和对办公效率的追求等多方面因素共同推动形成。纵观历史,这些因素的发展本质是由生产力

17、的提升和资源更大范围更高效地配置而推动,都是不可逆的,故混合办公模式形态的出现不仅仅是疫情下的短暂现象,而实际上是人类办公模式的历史性演进和迭代。在混合办公时代,我们不再被传统的时间和空间所束缚,这是一个巨大的思维与行为模式的转变。混合办公,是未来已来的新的工作模式、是新的企业生存策略和竞争战略。所有致力于未来竞争的企业,都将向混合办公模式进行迁移,先行者将享有先发优势。企业管理者须从根本上重新审视和设计企业的运作模式,制定能够赋予员工极大灵活性的计划。具体来看,主要有三个特征:三、混合办公趋势展望混合办公,是未来已来的新的工作模式、是新的企业生存策略和竞争战略11 2022 年混合办公安全白

18、皮书互联网平台、数字化工具等前沿科技产品推动了混合办公发展。混合办公能够正常进行离不开协同工具的支持。当前主要的线上协同工具包括:以企业微信为代表的一站式协作平台、以腾讯文档为代表的文档协作平台、以腾讯会议为代表的云视频会议平台。混合办公模式的变革将赋予工作者更多的自主性以及时间安全和地点选择弹性。根据自身作息习惯和舒适度选择办公方式。大部分员工将再不按照传统的时间进行工作,而是将一整天的时间划分为个人时间、家庭时间和工作时间等部分,以便更好地兼顾他们身负的角色。这不是工作与生活的平衡,而是生活的整合。一天中,我们需要整合我们的工作活动、家庭活动、社会活动和个人活动。为此,工作团队需要设定每个

19、人都有空的核心时间。同时,他们还需要设定标准,在工作时间段以外的时间可以联系到其他人。一站式协作平台文档协作平台云视频会议平台混合办公是数字经济的时代产物,是在数字化技术的助力下萌发新的工作模式。通信技术、互联网技术的发展为实现混合办公提供了协作保障。尤其是随着互联网技术的普及,让工作流程数字化程度不断提升:一方面为混合办公提供了技术支撑,另一方面解放了固定的办公场所,人们可以通过移动互联设备进行随时随地的接入工作。1.数字化2.协同化3.弹性化12以万全应万变从持续验证到持续保护(二)混合办公已然流行,但仍有很大的增长空间混合办公模式已然流行。本次腾讯研究院联合腾讯安全,以企业员工为研究对象

20、,制作调查问卷并有效收回 3788 份的数据分析结果显示,有 57.6%的受访者表示公司已开启了混合办公。从这超过一半的比例可以看出,许多企业已在时代形势下,积极采纳与尝试混合办公模式。混合办公模式广受企业员工支持。员工是混合办公的核心使用和受益主体,他们的支持是混合办公继续发展的重要推动因素之一。调研结果显示,混合办公受到了员工们广泛的支持。83.8%的受访者表示支持或非常支持混合办公。员工支持主要有两点原因:一方面,混合办公能够省去员工来回通勤的时间和精力,从而将更多的时间投入工作生产。这在上下班高峰期较为拥堵、平均单位时间价值较高的一二线城市,其价值尤为明显。57.6%42.4%调查问券

21、378813 2022 年混合办公安全白皮书另一方面,混合办公能让员工自主地灵活地调节工作节奏,从而提高单位时间效率。混合办公使得员工可以不受大多数物理条件的限制进行高效率地沟通连接,及时了解最新情况,调整工作计划,提升效率。例如,通过快速协商随时随地进行远程会议,辅以异步沟通,使得沟通的速度效率更高,目的性也更强。总的来说,员工工作效率是驱动企业加大混合办公应用的支持因素。员工可以根据自身家庭和个人的需要,减少无效时间耗费,增加有效的时间;较为灵活合理地安排工作和生活的各项事务的顺序和时间点,从而提升时间利用率;在恰当的时间安排恰当的事务,从而提升单位时间生产效率。调研显示,在进行混合办公的

22、人群中,73%的人工作效率都达到了不同程度的提升。其中,28.1%的人认为其工作效率大幅提升,44.9%的人认为其工作效率小幅提升,而 16.6%的人认为没有变化。效率无疑是企业最关注的维度之一,因此,企业从自身的企业直接收益的角度,也有动力扩大混合办公应用的范围和频率。44.9%28.1%16.6%8.3%2.1%14以万全应万变从持续验证到持续保护混合办公将来仍有很大的增长空间。一方面从现状看,调研结果显示 57.6%的受访者表示所在公司已经开启了混合办公,但 83.8%的受访者表示支持或非常支持远程办公,可见还有相当一部分比例的企业目前正潜在受到内部自下而上的推动,发展应用混合办公模式。

23、我们预计,这些企业会进一步加大混合办公模式在企业中的人员覆盖范围、人员覆盖比例、以及员工混合办公的频率。另一方面从发展趋势看,68.3%的受访者表示希望有更多机会进行混合办公。这意味着,许多员工对这种模式整体的体验非常认可,希望在将来也能够增大混合办公的频率和覆盖面。68.3%20.5%11.2%025%50%75%100%83.8%57.6%15 2022 年混合办公安全白皮书(一)在混合办公模式下,安全是主要关注点从企业与员工的角度、员工体验与效率提升的角度,以及应对不确定的全球经济,混合办公模式正在不断地被人们所接受且日益流行,日后的增长潜力不容忽视。但与此同时,在混合办公模式下,安全的

24、重要性已经被企业和员工在相当程度上关注。在我们调研中,当被问及混合办公的重要要素时,安全(68.3%)排在了受访者认为第二重要的要素,仅次于效率(82.6%)。四、混合办公安全日益成为重要焦点1.8%53.2%54.7%82.6%68.3%16以万全应万变从持续验证到持续保护这说明,在混合办公领域,安全与效率拥有近乎并行的重要性,应当并举发展。许多员工和企业已经初步意识到,混合办公相比集中的传统办公,会带来许多新的安全风险。面对不同身份、用户、数据来源如何保证企业业务和数据安全成为巨大挑战。从宏观层面看,近年来对企业安全造成威胁的外部安全攻击事件案例层出不穷,极大地威胁着企业的正常办公活动。例

25、如 2019 年,某远程会议软件被黑客发现漏洞,通过该远程会议软件,攻击者能够获取苹果 macOS 用户的计算机控制权。而该远程会议软件花了三个月的时间才解决漏洞。(8)2021 年初,国内多家安全厂商检测到蠕虫病毒incaseformat 在国内大范围爆发,涉及政府、医疗、教育、运营商等多个行业,且感染主机多为财务管理相关应用系统。感染主机表现为所有非系统分区文件均被删除,对用户造成不可挽回的损失。(9)这些企业安全事故以及被发现的潜在安全漏洞案例,表明企业无时无刻都受到外部各类安全威胁。来访者的身份可以是合作伙伴、外包人员乃至整个生态里各式各样不同的身份,不再仅限于内部员工。通过新兴技术实

26、现企业员工访问数据中心,不再仅仅局限在办公室内部。从访问地点上来说从访问身份来说从访问设备来说从企业原有的单一设备,向企业设备、移动设备、私人设备、物联网设备等多元办公设备转变。17 2022 年混合办公安全白皮书从微观层面看,企业每天都面临着大量员工在混合办公时,存在各类安全风险操作行为。本次调研发现,目前处于混合办公状态的员工在工作中常常出现对企业具有潜在安全风险的操作行为:一是有 52.4%的受访者表示,他们曾经接入过公共场所的 WiFi进行办公。二是有 51.6%的受访者表示,他们曾在混合办公时,没有将个人文件和办公文件分开,并加密重要文件。三是 48.4%的受访者表示,他们曾因个人原

27、因使用过公司的设备。四是 21.6%的受访者表示,他们曾在结束混合办公时,未及时退出公司系统。根据 ESET 分析数据,仅 2020 年三季度,利用远程桌面协议攻击的案例就增加了140%。另一方面家用系统中运行着存在漏洞的 VPN 客户端以及没有打补丁的软件,安全性较差。网络终端设备上的远程办公桌面协议配置不当,或者登录安全性薄弱的云服务,包括使用弱密码且无多重身份验证,将面临安全风险。以上的风险行为,只需要极小的比例,就有可能对公司的安全带来威胁,甚至实质的伤害。而我们的调研发现许多行为已经达到了不可忽视的比例,甚至超过了 50%,值得引起企业高管和安全人员的高度重视。17.3%21.6%4

28、3.9%52.4%48.4%18以万全应万变从持续验证到持续保护(二)混合办公模式下,安全的认知和保障不足混合办公模式发展时间短,速度快。其本身分散办公、网络异构、设备多样等特点,是企业在面对安全威胁和安全管理复杂度方面的新挑战。在混合办公模式下,如何应对这些威胁,进而如何构建企业的混合办公安全体系,需要企业与员工树立系统性、完整的认知和完善的安全能力。然而,在我们的调研中发现,企业在混合办公模式下对安全的认知普遍不足。41.2%的受访者表示,其所在的企业没有指导/宣传过混合办公安全的相关要求和规范。其中包括账号安全、数据安全、网络安全事项,另外有 45.4%的受访者表示“有,但指导说明得不充

29、分”。仅仅 13.4%的受访者表示其公司有进行充分的指导说明。13.4%45.4%没有42.2%19 2022 年混合办公安全白皮书这说明,一部分企业还未开始宣传混合办公安全要求(有可能尚未明确和规划清楚,或尚无相关意识),另一些企业认识到了混合办公安全的重要性,但对于具体其包含什么,如何去推进、建设和落地缺乏认识。企业在混合办公模式下对安全的保障普遍不足。调研结果显示,64.5%的受访者所在企业的混合办公安全保障不佳,其中 37.3%的受访者表示,其所在的企业没有为混合办公提供技术支持和安全保障。另外有 27.2%的受访者表示不了解,这说明,这部分企业还未开始宣传或有可能尚未有任何安全保障措

30、施。仅仅 35.5%的受访者表示其公司有一定的技术支持和安全保障。27.2%35.5%没有37.3%有不了解20以万全应万变从持续验证到持续保护(三)网络攻击规模化与攻击门槛降低 一是成规模网络攻击挑战。混合办公将成为新的威胁跳板,不仅仅是重大活动和日常保障需要加强安全保护能力,在混合办公常态化时期更加普遍。基于传统 VPN 的访问无法在数据、用户、终端和业务方面满足新的安全需求。视频会议、网络课程、移动支付等快速普及。网络攻击也随之发生新的变化,尤其是针对个人信息泄露、企业数据窃取、移动钱包支付被盗、威胁勒索等。2021 年 5 月,美国保险公司巨头就向 REvil勒索团伙支付了 4000

31、万美元的赎金。高价值、大范围的攻击目标,为投资该技术的网络犯罪分子提供大量回报。二是网络攻击难度降低。混合办公导致企业员工将长期居家工作,但大部分家中的联网设备都不是由企业 IT 部门进行配置,安全防护能力与企业不同。随着数字化转型步伐加快,大量企业业务和数据向云端迁移,针对云服务的大规模攻击开始增加,放在云上的数据具有高敏感性,当这些文件被员工共享出去以便协作的时候,将大大增加被黑客截获的可能性。尤其是没有密码或者使用了弱密码的文件。卡巴斯基曾披露数据显示,2019 年约 46%的网络安全事件,是由粗心大意的员工引起的。而混合办公的常态化,对漏洞和威胁的监测没以前及时,这让情况雪上加霜。例如

32、,某视频会议软件曾被披露出现重大安全缺陷,允许黑客访问用户的摄像头。三是以假乱真的在线欺诈。当前,以假乱真的深度伪造诈骗还难以防范。包括窃取死者身份进行欺诈的幽灵欺诈、通过语音克隆的身份欺诈、通过组合多人信息和图像创新身份的虚拟欺诈等。2019 年,就有黑客通过 AI 语音克隆银行领导,从阿联酋一家银行骗走 3500 万美元。同时,面部伪造技术也越来越逼真,在短视频领域深度伪造技术把汤姆克鲁斯的脸复制到自己身上并生成视频,引发病毒式传播,导致人们对音视频内容今后将产生较强的不信任感。21 2022 年混合办公安全白皮书(一)i-DEAN5 大要素企业为了能够更好地拥抱混合办公,在实现更高的效率

33、和员工满意度之外,还需要确保公司的全方位办公安全。在降低安全风险的同时,使得公司混合办公模式能够真正实现长期可持续发展。为此,我们分析总结了混合办公安全的五大要素,我们将之称为“i-DEAN 5 大要素”:五、混合办公 5 大关键要素混合办公安全iDANE22以万全应万变从持续验证到持续保护i:IdentitySecurity.身份安全身份安全包括身份认证、身份标签管理、权限授权、访问控制以及安全审计等。核心是要确认使用者的身份是否在企业允许的人员范围内:具体属于哪个级别和权限的使用者,是否使用了被盗用的身份信息,是否有中途被劫持身份信息的可能等。D:DataSecurity数据安全数据对于现

34、代企业来说非常重要。数据并非是静态,而是不断产生和流动的,因此数据安全需要保证数据处理的全流程安全,包括数据的收集、存储、使用、加工、传输、提供、公开等。E:EquipmentSecurity设备安全设备安全需要确保企业各类设备,云上与云下,员工私人端和企业端的设备安全。需要实现对设备的属性管理、动态访问管理、合规检测和实时保护。A:ApplicationSecurity应用安全应用安全涵盖了企业各类软件与系统,其中包括了企业内部应用和企业外部应用。在企业外部应用中,又包括了面向 C 端用户的应用和面向 B 端用户/价值链上下游合作商的应用。需要保护应用层、虚拟机组件、计算容器等的安全。N:N

35、etworkScurity网络安全对企业内部网络以及企业被外部目标用户访问和使用的网络进行保护,使其不因偶然的或者恶意的原因而遭受到破坏、更改、泄露,系统连续可靠正常地运行,网络服务不中断。23 2022 年混合办公安全白皮书在这五个要素中,身份安全是混合办公安全的核心,一切混合办公安全需要保证使用者的身份是安全可靠的,是公司允许范围内的人员。在传统办公场景中,员工通常处于集中式的办公环境,其身份相对容易确认。但在混合办公模式中,工作人员不再局限于传统的集体物理办公空间中。居家办公或者在非公司的公共场所工作成为新常态,因此原有的安全模式不再适应新的办公场景。身份安全是混合办公安全的核心在数字经

36、济快速发展的当下,员工的定义本身也变得更加宽泛:不仅包括全职员工,还包括了兼职、供应商人员、甚至是B端的合作伙伴。这些不同类型的人员,都需要拥有各自不同级别的权限访问公司网络、应用、数据与设备。此外,由于不在集体物理办公空间中,相关人员自身的身份安全也不能被实时确认,因此其身份存在被盗取或者劫持可能性大大增加。这些新的变化都使得身份安全成为了混合办公安全的核心要素。基于身份安全这一核心,进一步地延展开来,还需要保护公司各方面的安全,包括数据、设备、应用和网络的安全。24以万全应万变从持续验证到持续保护对于数据安全来说,数据是核心资产。大量的分析、有价值的信息和随之而来的服务,其源头都是数据。攻

37、击者可以通过非法方式获取数据,泄露和贩卖企业和用户的数据,或者通过获取数据进而掌握企业的核心业务,对目标数据进行强行加密,导致企业核心业务停摆。这些都会给企业和用户带来巨大的损失。而在混合办公时代伴随着企业数据海量增长,企业涉及数据的整体规模量级、来源渠道、峰值规模,都迈向了较高水平,这也使得保护数据安全的难度和复杂度随之提升。对于设备安全来说,设备是重要入口。员工、用户和企业的行为操作,以及企业与用户的数据,都承载在设备上,而这些设备,常常会成为黑客攻击的重要突破口。尤其是在混合办公模式下,先前提到的有权限人员类型的多样性,使得人员使用终端的复杂度、多样化大大增加。由于许多设备同时也是私人日

38、常使用的设备,其安全性相对较差,且安全防护能力参差不齐。员工有可能在私人设备上使用各种应用,同时又会浏览、下身份安全 数据是核心资产设备是重要入口25 2022 年混合办公安全白皮书载企业内部数据和资源到私人终端。攻击者可以利用这些安全防护能力差的私人设备进行重点攻击,无形中为企业带来了潜在风险。对于网络安全来说,网络是基础纽带。通过网络联通企业、员工、合作者与客户。网络是实现企业内部、企业业务与外部交互的重要基础设施。混合办公模式下,员工和业务合作伙伴对网络的依赖程度更高,因此保证网络的安全性和稳定性显得尤为重要。同时,在混合办公模式下,网络又体现了其异构性。不同主体使用的网络结构不同,包括

39、了 4G、5G、WiFi、物联网终端专线等。通过不同网络进行传输,其安全性也不同。其中安全性弱的网络,就容易成为黑客攻击的跳板。此外,在混合办公模式下,又有了更多新的网络安全风险场景。比如,员工在公共场所进行混合办公时,通常会接入公共Wi-Fi。员工在结束办公后,会存在未及时退出系统的情况。这些都给网络安全带来新的更大的挑战。综上所述,数据安全、设备安全、应用安全、网络安全这四大安全要素是混合办公安全最终保护的结果。也可以说,数据安全、设备安全、应用安全、网络安全是围绕在身份安全核心的不同方面与维度。对于应用安全来说,应用是关键载体。应用是员工与用户进行具体行为与操作的本质工具,一方面要确保应

40、用远程使用的便捷性和易用性;另一方面要降低企业的各类应用受攻击的风险,尤其是用户在混合办公中容易被钓鱼应用等方式欺诈,造成安全风险和损失。此外,新型的供应链攻击也对应用安全构成了新的威胁,尤其当被攻击的应用软件来自受信任的分发渠道时,恶意程序将随着软件更新下载安装流程入侵目标电脑,逃避传统安全产品检查的同时又可沿供应链发动向后渗透攻击,大大增加安全检测的难度,也增大了可能引发的损失规模。安全是关键载体网络是基础纽带26以万全应万变从持续验证到持续保护实现这五大要素,将推动企业在混合办公新模式下,提升企业多维度安全,为企业、员工提供更安全可控的工作环境和场景,可以更加高效、灵活地接入网络和使用企

41、业内部资源。如果能持续地实现以上五大混合办公安全要素,我们相信,混合办公模式将极大地助力企业与员工:一方面员工无需过分担心疫情或其它突发事件的变化对于办公效率和项目进展的影响。因为安全的混合办公模式使得办公场所和设备的限制被彻底打破。员工能根据实际情况选择最适合自己的环境和设备进行工作。另一方面员工无论身在何处,企业平台的各种资源和应用支持都能让员工顺畅地接入使用,不受物理空间和设备的限制,真正助力员工发挥最大的能量和生产力。(二)混合办公安全成熟度的模型基于混合办公模式仍在发展演变中,企业关心如何评估自身混合办公模式安全的成熟度。当前,混合办公模式仍处于发展早期阶段,许多企业不确定自身正在施

42、行的混合办公模式是否高效、安全。其中一方面原因是,许多企业启动混合办公模式是由于外界环境的突发变化、被动实施的,缺乏充分的规划和思考,因此这些企业并不知道混合办公模式下的安全威胁来自哪里、安全部署应该如何建设、安全成熟度取决于哪些方面,显得无从下手。另一方面,是因为混合办公模式发展的时间还不长,业内还没有出现权威的混合办公安全规范指引,而企业自身也缺乏足够的经验和数据,去积累验证其安全体系实施的准确效果,也缺乏与其它企业安全体系的途径和相关信息的横向对比。27 2022 年混合办公安全白皮书因此,许多企业都迫切希望能够有更加科学的方法来评估自身混合办公模式安全的成熟度,帮助企业更清楚地定位自身

43、在混合办公安全领域的发展水平,以及持续发展和优化的方向。若需要深刻理解和评判企业的混合办公模式安全成熟度,我们不仅需要安全的视角,也需要业务的视角。前文总结的混合办公安全的“i-DEAN 5 大要素”,实质上是在安全的语境角度下,对混合办公安全的要素解构。接下来,我们对“i-DEAN 5大要素”中每个要素以业务视角进行理解,从而在业务的语境角度下解构混合办公安全:一、身份安全包括身份认证、身份标签管理、权限授权、访问控制以及安全审计等。其中,身份认证涉及安全技术工具能力,身份标签管理涉及企业架构的设计,权限授权和访问控制涉及企业的规章制度,安全审计则属于运维保障工作。二、数据安全中包括数据收集

44、、存储、使用、加工、传输、提供、公开等全流程的安全。主要数据的流转过程主要涉及企业的规章制度,而流转中的安全则涉及安全技术工具能力。28以万全应万变从持续验证到持续保护三、设备安全涉及各类物理环境下的设备,实现对设备的属性管理、动态访问管理、合规检测和实时保护。这里面,各环境下的设备如何进行管理主要涉及企业的规章制度,对其进行的合规检测和实时保护主要涉及安全技术工具。四、应用安全涉及企业各类内部、和面向客户和供应商的外部软件与系统,需要保护应用层、虚拟机组件、计算容器等的安全。各类应用系统与企业的业务架构设计、业务与混合办公的契合程度密切相关、安全则依赖于相关的安全技术工具。五、网络安全旨在保

45、护内部网络和面向外部用户的网络免于遭受破坏、更改、泄露,保障系统连续可靠正常地运行,网络服务不中断。其中,保护和应对攻击主要涉及公司安全技术人员和安全技术工具,而保障系统连续可靠和服务不中断主要涉及企业架构设计和运维保障。架构设计业务契合度规章制度团队配置技术工具运维保障身份安全网络安全应用安全数据安全设备安全综上分析,针对企业对于混合办公安全成熟度评估的需求,我们建立了一套评估混合办公安全成熟度的模型:29 2022 年混合办公安全白皮书模型分为 6 个领域,分别是:架构设计、业务契合度、规章制度、团队配备、技术工具、运营迭代。每个领域,从低到高分为 5 个等级,分别是:原始、起步、初步成型

46、、成型后发展、成熟中优化。这 5 个等级对应的分数为 1、2、3、4、5。每个领域的每一种得分,都有对应的定义标准。架构设计业务契合度规章制度团队配置公司高层自上而下,将混合办公与混合办公安全的保障作为公司发展的重要组成部分,制定相关的公司发展路线,设计相关的公司架构,并有效地将混合办公安全对于公司的重要性和定位传达给公司成员。公司业务及混合办公安全相关的方针与底层支持紧密配合,使得公司的所有业务能够在其混合办公安全保障下顺畅持续进行,且员工理解混合办公的理念、混合办公安全的重要性与相关的操作方法和规章制度。公司建立与混合办公安全相关的一整套规章制度,以确保混合办公安全的执行。公司配备混合办公

47、安全所需的相关技术人员、接口人与负责人。从人力上保障混合办公安全的执行。技术工具公司通过与混合办公安全相关的多种技术工具,协同实现技术层面对混合办公安全的保障、报警、预警与迭代优化。运维保障公司对混合办公相关的体系进行实时持续的运维,以及对混合办公安全相关的数据进行统计、监控、分析、并指导公司的相关混合办公领域决策。13524630以万全应万变从持续验证到持续保护如上图所示,我们将混合办公安全的六个维度从上到下,分成了三个层面。架构设计是实现混合办公安全的提纲挈领的方向指引,是最高的宏观层面。业务契合度是实现混合办公安全的中坚核心力量,处于中间层面。本质上,混合办公安全体系需要保障业务的落地和

48、长期稳定发展,以及得到相应员工的认可。顶层架构设计与底层各方面的安全支持,都需要与业务深度契合,并得到员工的理解和认可。如此,业务能够在安全体系的保障下放心实行混合办公模式,顺畅地发展,而员工也建立了自身的安全意识,从而使得企业的各种安全防护配套设施起到作用。这样的员工认可不但需要公司层面持续地宣传与引导,让员工理解混合办公安全的重要性和价值,还需要辅助以持续的培训,让员工不断温故知新,熟悉和巩固企业的各种安全制度、工具和保障措施,并能够充分应用,且能让员工相互监督与提醒。规章制度、团队配置、技术工具、运维保障则在不同层面为公司提供重要的能力、资源和制度保障,是实现混合办公安全的底层基础。这

49、6 个领域分别在 5 个级别的成熟度中的具体定义与评估标准。架构设计业务契合度团队配置 规章制度 技术工具 运维保障31 2022 年混合办公安全白皮书原始起步初步成型成型后发展成熟中优化架构设计1:尚无对公司混合办公安全的发展目标和架构设计2:初步建立了公司对混合办公安全的发展目标,尚未形成相应的架构设计3:有明确的混合办公安全发展目标,以及对应的企业混合办公安全架构设计4:有明确的混合办公安全发展目标,具体的行动路径与各阶段子目标和相应的混合办公安全架构5:在 4 的基础上,会定期的复盘愿景的实现情况,及时迭代与调整相关的路径、子目标与企业安全相关架构业务契合度1.业务与混合办公安全体系尚

50、未开始磨合,员工无混合办公相关认知2.核心业务开始与混合办公安全体系相磨合,员工认识和了解到了混合办公安全的概念和含义,但尚不了解其中的具体细节3.核心业务完成与混合办公安全体系的初步磨合,核心业务能稳定持续地在混合办公安全体系支撑下运作,员工了解混合安全办公的具体细节与要求,得到了具体指引4.公司所有部门与混合办公安全体系磨合,且在3 的基础上,员工能够在混合办公安全领域相互指导与监督,并实现相关的远程培训5.在 4 的基础上,企业的创新业务能动态地无缝衔接到混合办公安全体系中。员工不但了解和认识混合办公安全的完整含义与相关操作细节,并且能积极参与到共同建设混合办公安全的努力中,提供反馈,帮

展开阅读全文
部分上传会员的收益排行 01、路***(¥15400+),02、曲****(¥15300+),
03、wei****016(¥13200+),04、大***流(¥12600+),
05、Fis****915(¥4200+),06、h****i(¥4100+),
07、Q**(¥3400+),08、自******点(¥2400+),
09、h*****x(¥1400+),10、c****e(¥1100+),
11、be*****ha(¥800+),12、13********8(¥800+)。
相似文档                                   自信AI助手自信AI助手
百度文库年卡

猜你喜欢                                   自信AI导航自信AI导航
搜索标签

当前位置:首页 > 研究报告 > 其他

移动网页_全站_页脚广告1

关于我们      便捷服务       自信AI       AI导航        获赠5币

©2010-2024 宁波自信网络信息技术有限公司  版权所有

客服电话:4008-655-100  投诉/维权电话:4009-655-100

gongan.png浙公网安备33021202000488号   

icp.png浙ICP备2021020529号-1  |  浙B2-20240490  

关注我们 :gzh.png    weibo.png    LOFTER.png 

客服