远程办公安全解决方案

图1：远程办公业务安全解决方案

业内推广了多年的远程办公理念在2020年的春天终于火了，以前不温不火的远程办公软件也终于媳妇熬成了婆，实实在在的当了一回“网红”。无论你是公司职员还是在校的小学生都正儿八经的体验了一把运程办公的魅力。

远程办公，指基于互联网、物联网、云计算等技术，通过第三方插件、 软件、网站等工具，实现非本地办公，如在家办公、异地办公、移动办公等模式。 

远程办公的特性特别适合当下疫情导致的大面积复工、复学的时间延后，大部分企业均开始推进远程办公，各级学校开始了远程教学。未来全国范 围内的远程办公的用户使用习惯或将进一步提高。

长周期从供需两方面来 看：（1）需求端，产业链在跨地区以及全球分工趋势不断增强，跨地区工 作协调需求日益提升；（2）供给端：互联网与科技巨头纷纷布局，云计算、 大数据、AI 等新技术发展为远程办公提供技术支撑，日益丰富的网络资源提 供行业发展的底层基础，远程办公行业正进入快速发展快车道。

图2：目录

目录
 

远程办公概述

Overviewof telecommuting

常见远程办公场景

Common remote office scenarios

远程办公主流方案

Remote office mainstream solution

远程办公的安全风险

Security risks of telecommuting

远程办公安全解决方案

Telecommuting security solution

图3：远程办公概述

追述历史，"远程办公"这一概念首次出现于1979年，IBM 为缓解总部主机拥堵问题，将终端机安到了五位员工家里——某种意义上看，这就是现代企业远程办公的"雏形"。

早在2009年， IBM 就已经对外宣布：其在全球173 个国家，约有154,400 名员工实现了"在家"远程办公，这一举措为IBM节省了5800万平方英尺的办公空间和每年近20亿美元的成本。

远程办公相对于本地办公具有“高效、方便、快捷、安全及易用”的特点。例如企业召开一个会议，远程办公只需要与会人员都在线只要建立一个虚拟的会议室就可以实现多方的交流。与会人员不用为交通工具、途中是否堵车而烦恼，能够节省非常多的通勤时间。除此之外还能避免人与人的直接接触，在新冠肺炎疫情的当下保证了与会人员的健康安全。远程办公软件的使用基本上和各种社交软件一样，操作简单容易上手。

图4：常见远程办公场景

远程办公的常见的场景有远程业务访问、远程文件传输、手持设备移动办公、远程应用开发、远程系统运维等。

远程业务访问一般来说就是用户在家中办公，通过互联网的方式接入公司的网络系统，从而实现访问公司企业的关键业务。比如OA、政务系统、人事系统等。

远程文件传输一般是指在企业外部通过网络来下载或上传与公司业务有关的文件。例如项目合同、报价、内部办公文件甚至一些涉及到内部机密的文件。

员工也可以在外出公干或出差时通过手持移动设备来访问企业的内部业务系统，实时的处理相关的工作事务。

在一些企业还可以利用远程办公实现远程的应用开发工作，员工可以通过互联网登入公司内部的开发平台，进而可以实现远程的程序业务开发。

当企业内部的信息系统出现故障或是日常的巡检任务，运维人员也可以通过远程的运维系统接入企业的内部网络完成对系统的维护及检修工作。

图5：远程办公主流方案

主流的远程办公方案大致有“移动办公类、协作软件类、桌面云办公类、在线文档类、视频会议类以及远程桌面类”等等。

移动办公类的方案主要是用于提高沟通效率，业务流程审批，考勤等。比如钉钉、企业微信、飞书等软件。

协作软件类的方案主要通过帮助团队项目协同并讨论工作中的任务、文件、分享、日程等内容。代表的Teambtion、Worktile等。

桌面云办公一般是以利用桌面虚拟化技术，通过网络远程提供服务器上运行的个人桌面。代表的有VMware的桌面虚拟化、锐捷的云办公等。

在线文档是以实现可多人协作的在线文档, 实现同时编辑Word、Excel和PPT文档等。代表的有腾讯文档、石墨文档以及幕布等。

视频会议实现了处于异地的人们，进行实时的视频面对面交流沟通、互动交谈的功能。代表的有科达、华为、中兴等视频会议解决方案。

远程桌面是可以通过网络远程控制计算机，通过远程桌面功能可以实时的操作这台计算机。比如Windows自带的“远程桌面连接”、向日葵、teamview等。

图6：远程办公的安全风险

远程办公存在的风险有信息在网络传输过程中被不法分子篡改、盗取的风险；还有可能因为终端感染病毒传播回公司内网的风险；此外公司重要的文档还存在被泄露的风险；在对重要业务系统进行远程运维时存在运维人员非法破坏的风险，在互联网行业中各种删库跑路的事件层出不穷。最后企业重要的数据面临着因设备故障丢失、人员误删除、病毒破坏等风险。

图7：远程办公安全解决方案

远程办公的安全解决方案主要从信息的传输开始使用VPN网络接入开始，并对各个远程接入的访问终端增加终端安全保护系统，对重要的文档部署文档安全保护系统，对远程运维工作部署运维安全审计，最后对企业的重要核心数据进行数据的安全备份。

图8：VPN网络接入

VPN网络接入包括认证、加密、安全检测、权限分配、访问记录等一系列手段来构建安全的业务网络。

高强度链路加密

同时支持国密办算法SM1/SM2/SM3/SM4，以及商密算法，并提供防中间人攻击等技术，有效保护链路隧道安全。

多维度身份认证

包含短信认证、指纹认证、AD域认证，同时提供手机令牌的认证方式，形成多因素认证，提高身份安全性。

终端环境安全

采用云查杀技术，对终端进行病毒、木马快速扫描、查杀，确保终端环境安全，避免病毒木马以终端为跳板攻击业务系统。

应用自身安全

采用应用封装技术，将VPN功能集成到客户应用APP中，并可对应用进行加固处理，防止注入恶意代码，反编译。

跨平台无缝访问

应用虚拟化技术，让您无需二次开发，即可让过往的windows业务系统在各种新的终端、操作系统上跨平台访问，既低成本、高效的解决了应用系统的跨平台兼容性问题，同时又提升了用户的访问体验

图9：终端安全保护

有效查杀已知/未知病毒

结合云查杀引擎、脚本查杀引擎、启发式查杀引擎、人工智能查杀引擎、系统修复引擎、主动防御技术，有效查杀已知和未知病毒； 

实时全面的资产管理

全面展示全网终端软硬件资产、操作系统、网络、进程等详细信息，实时记录资产信息变更，有效管控网络流量、进程服务等，做到安全管理一目了然。

智能化的补丁管理

可对全网终端进行漏洞扫描并与漏洞类型进行多维关联按需修复，特有蓝屏修复机制、补丁分发流控机制有效提升企业信息系统整体漏洞防护等级

可靠的安全运维管控

能有效的对终端进行应用程序识别与控制、网络安全防护、非法外联控制、外设使用控制、账号密码安全检测、本地安全策略加固等。

灵活的移动存储管控

给予不同的移动存储介质相应的授权使用范围和读写权限，同时支持设备状态的追踪与管理，实现对移动存储设备的灵活管控，保证终端与移动存储介质进行数据交换和共享过程中的信息安全要求。

丰富的安全网络准入控制

支持旁路镜像应用准入、802.1x认证、Portal认证、AD认证、复合认证等多种网络认证技术，适应各种复杂网络环境下的接入部署，支持大型多分支机构网络部署。

完善的安全审计

通过分组、时间、文档类型等多视角、多维度、多层次对终端文件的操作行为、输出行为、打印行为、光盘刻录行为、邮件收发行为进行完善的审计。

图10：文档安全保护

文件透明加密模块

文件透明加密模块是防止电子文件由于单位内部员工泄露而开发的内核驱动层加密、图纸加密、文档加密系统。在不影响员工对电脑任何正常操作的前提下，文件在复制、新建、修改时被系统强制自动加密。加密的文件只能在单位内部电脑上正常使用，一旦脱离单位内部的网络环境，在外部电脑上使用是乱码或无法打开。加密文件只有被管理员解密之后，带出单位才能正常使用。

 文件外发控制模块

对于一些重要文档外发需要事先向上级领导进行外发申请，才能外发给客户或合作伙伴。被授权的客户或合作伙伴获得该受控外发文件后，打开时需先进行合法的身份认证，而后才能在授予的权限范围内访问。身份认证的方式包括：口令认证、机器码认证、联网认证。访问权限包括：阅读次数、可打印、可截屏、可编辑、阅读期限、过期自毁、回收等。被授权的客户或者伙伴在访问该文件时，无需在自己的电脑上安装任何插件，即可访问。

 服务器白名单模块

企事业单位无需在内部应用系统上安装任何插件，事前通过数据防泄密系统统一配置，要求终端加密文件上传到指定服务器是明文，或者密文；单位内部的加密终端根据下发配置要求，系统会自动判断，如果要求明文存储，自动解密后上传，无需人工干预。

离线管理模块

针对所有员工笔记本办公，公司统一设定默认时间（如：72小时），在默认时间内，携带笔记本回家办公和公司内部一样的安全管理效果；对于员工出差时，可在线向上级申请，授予一个合理时间，携带笔记本出差办公，和在公司内部一样的安全管理效果；有些电脑需要长期脱离公司网络，或者无法连接网络的情况下也需要保护电脑上的文件，同时查看公司其他电脑上的加密文件，这时，可以选择在这类电脑上安装离线终端。

 移动终端管理模块

移动端模块为了便于移动办公，系统支持添加、修改或删除移动终端信息（支持IPAD、IPhone及Android系统的移动终端），用户可通过移动终端在线阅读加密文档。移动端有消息推送机制功能，保障实时推送，并且支持视频、音频文件加密和水印显示。在方便移动办公的同时，也保护企事业单位数据安全。

图11：运维安全审计

多元化的认证方式

运维审计与管控系统支持自身提供的本地证书认证，第三方证书认证，动态令牌，生物识别等多种认证方式。

强大的资源管理能力

全面支持Windows资源、Unix资源、网络资源、数据库资源、C/S资源、B/S资源、中间件资源、大型机等各种资源的运维管理。

全面的账号管理机制

支持完整的资源账号生命周期管理，资源账号的改密，拨测及同步管理，用户的账号密码管理等。

超强的审批流程管理

系统支持资源访问的命令审批，登录审批，临时授权审批等多种审批流程，实现运维安全的多重保障。

全方位的审计管理

支持图形资源的鼠标键盘录像审计，录像审计支持多种视频模式（真彩，灰度），审计录像文件经过深度优化处理，磁盘利用率达到业内领先水平。

丰富的部署方式

系统支持多种部署方式，面对各种规模和复杂的运维场景都能够灵活运用，实现高可靠运行，支持HA 双机部署，集群部署，分布式部署。

图12：数据安全备份

集中备份

工作负载日益多样化，往往需要多个方案才能完全覆盖，集中备份凭借广泛的IT环境兼容性和丰富的数据保护技术，以一套方案即可实现全面保护。

•为物理、虚拟及云环境提供统一保护

•基于持续数据保护技术、备份集技术，以分级保护为设计理念，满足不同业务系统的RTO/RPO目标

异地备份

数据隐患无处不在，场地性灾难更具破坏力。异地备份通过D2D2R功能可实现异地备份，即使遭遇场地性灾难，也能确保有数据可恢复。

•提供一对一、多对一、一对多、级联复制等方式，灵活适用多种场景

•借助重删、断点续传等，轻松应对数据量大、带宽资源不足等难题

•本地或异地均可进行数据恢复/灾难演练，真正做到随处可恢复

分支备份

提供卓越的远距离数据传输能力，帮助大型企业构建跨地域灾备云平台，解决分支站点地域分布广、管理人员水平不一等难题。

•分支站点集中灾备，提升数据安全等级

•支持灵活扩容或节点扩展，有效满足未来业务发展需求

•无缝集成 ，实现分支站点统一管理

云端备份

为支撑企业数据中心向云平滑演进，云端备份提供D2C/D2D2C等方式，实现业务数据和备份数据上云，迈向云转型第一步。

•支持D2C或D2D2C等功能，灵活满足不同企业的不同上云需求

•通过数据重删、加密传输等技术，保障数据上云高效安全

•广泛兼容主流公有云存储，享有云的扩展性、灵活性以及成本优势