2020BCS-北京网络安全大会：远程办公安全风险和标准化研究.pdf

1、远程办公安全风险和标准化研究姚相振中国电子技术标准化研究院信息安全中心副主任#page#远程办公应用背景#page#应用背景远程办公，尤其是在线会议、即时通信、文档协作等典型远程办公应用场景，在疫情期间呈现了爆发式增长。2020年2月3号复工Welink第一天，全国超过2亿人参与了远程办公，统计表明复工30天内远程办公需求环比上涨663%。各类远程办公软件大量涌现，包括钉钉、企业微信、飞书、WeLink、腾讯会议、Zoom、金山文档、蓝信等，为远程办公活动的开展提供了便利的条件#page#应用背景，远程办公应用的爆发式增长，在推动复工复产的同时，也带来了一系列安全问题。Zoom安全事件。随着用

2、户数量的激增，Zocm视频会议应用的安全漏洞被不断暖出，包括私自分享用户数据、会议信息ID可被收集导致信息泄露、虚假宣传的加密功能微盟微商城等严重安全风险，导致企业纷纷禁用Zoom。微盟删库事件。2月24日，微盟SaaS业务服务突然岩机，线上生产环境被破坏，大面积服务集群无法响应，上百万注册商户业务无法开展，核心业务停止近五天，三天内市值蒸发超过30亿。#page#远程办公安全风险#page#口供应方安全风险。提供远程办公系统的供应方安全能力参差不齐，部分供应方在安全开发运维、数据保护、个人信息保护等方面能力较弱，难以满足开展安全远程办公的要求。口远程办公系统自身安全风险在线会议、即时通信、文

3、档协作等办公场景下系统安全功能不完备，系统自身的安全漏洞，不合适的安全配置等问题，将直接影响远程办公安全。口设备风险。用于远程办公的设备，特别是用户自有设备，在接入远程办公系统时，由于未安装或及时更新安全防护软件，未启用适当的安全策略，被植入恶意软件件等原因，可能将权限用、数据泄露等风险引入机构内部网络。#page#安全风险口数据安全风险。远程办公场景中，通过远程办公系统可访问机构的数据，由于数据访问权限的不合理设置、远程办公系统自身的安全漏洞、用户不当操作等，可能导致机构数据泄漏。此外，由于远程办公系统基于云计算平台部署，机构可能失去对数据的直接管理和控制能力，存在数据被非授权访问和使用的风

4、险。口个人信息保护风险。远程办公系统的部分功能（例如，企业通信录、健康情况汇总、活动轨迹填报等），可能收集、存储用户的个人信息（例如，姓名、电话、位置信息、身份证件号码、生物特征识别数据等），存在被采、滋用和泄露的风险#page#安全风险口网络通信风险。用户和远程办公系统通常利用公用网络进行通信，存在通信中断，通信数据被改、被窃听的风险。同时，远程办公系统可能遭受恶意攻击（例如，分布式拒绝服务攻击等），导致办公活动难以进行。口环境风险。远程办公通常在居家环境或公共场所进行。居家环境中，由于家用网络设备安全防护能力和网络通信保障能力较弱，存在网络入侵和通信中断风险。公共场所中，由于网络环境和人员

5、组成复杂，存在设备接入不安全网络、数据被窃取、设备丢失或被盗等风险。#page#安全风险口业务连续性风险。远程办公增加了使用方关键业务、高风险业务的安全风险，远程办公系统可能由于负载能力、访问控制措施、容灾备份、应急能力等方面的不足导致业务连续性风险。口人员风险。用户可能由于安全意识缺失或未严格遵守使用方的管理要求，引入安全风险，例如，将设备、账号与他人共享导致对使用方业务系统的恶意攻击；采用弱口令造成身份仿冒等#page#远程办公安全标准#page#国外标准NISTSP 1800-21 （Draft） Mobile Device Security: Corporate-0wned Perso

6、nally-Enabled (COPE）针对移动设备的安全性问题，介绍了可以在组织网络环境中综合使用的各种移动安全技术。说明了如何通过标准的、商业化产品实现组织在移动设备安全和隐私方面的要求。SP 800-164 （Draft） Guidelines on Hardware-Rooted Security in Mobile Devices“士出中的国区健的“水出要于性应心一票全技术基线着重于通过使用基于硬件的信任根来提供设备完整性、隔离性和存储保护的安全功能#page#国外标准远程工长GBISO/IEC JTC1/SC27中华人民共和国国家标准线码座情ISO/IEC 27002 Inform