远程办公的数据安全研究与思考

背景与需求

远程办公可以解决企业内外员工、供应商、经销商、合作伙伴等异地工作协同问题，把工作变得更有效率，从新冠疫情爆发以来，为减少人群的聚集，避免感染，传统集中在写字楼里办公的方式受限，许多企业通过远程视频、会议交流、线上采购等尽量避免线下接触的多种远程办公方式进行复工复产。此外，远程办公等措施也得到政府的鼓励与支持，许多企业纷纷响应这种模式，允许员工在家在线上班，这就很大程度上刺激了远程办公的需求。据IDC预测，到2022年，40%以上的组织将优先考虑网络连接的韧性，以确保业务连续性和新的应用场景的开发，从而为客户、员工与合作伙伴带来不间断的数字化互动与优良体验，保障数据的传输安全；到2023年，30%的中国1000强企业也将首先开发全新的流程作为远程运营。

远程办公的现状

2.1远程办公模式

企业实现远程办公的模式分二种，一种是利用公网，通过互联网的模式实现，通过SSL来保障数据传输的安全，需要受网络带宽和资源服务的影响，多租户云办公就是远程办公的一种新形式，要求企业所有的资源都部属在云端，企业可以租赁云SaaS运营商提供的服务，也可以租赁IaaS运营商提供的虚机部属自己的资源服务，与租赁SaaS服务不同的是租赁IaaS服务需要有企业自己的IT运营团队，因此，中小型企业多数会选择租赁SaaS服务；另一种就是资源还在企业内网不用调整，通过构建虚拟专用网络(VPN)的方式接入外部的访问，这种方式对网络带宽要求不高，资源服务几乎没有影响，又有链路的安全和隐秘性，正常情况下，要保障数据的传输安全，终端是需要按装VPN客户端的，并且也需要知道VPN服务端的地址、登录用的用户和密码，一直以来大部分企业都以这种模式来实现远程办公的协同。

目前，由于SaaS/IaaS的租赁模式还在逐步成熟，涉及到企业的数字化转型后真正使用还需要一段很长的时间，市场上大部分企业的远程办公模式都以VPN接入的方式而存在。因此，针对远程办公的数据安全转为我们主要VPN在远程办公中的数据安全研究，我们需要了解VPN的技术实现以及是否能满足远程办公的数据安全要求。

2.2 VPN标准/协议

VPN的标准/协议包括PPTP、IPSec、L2TP等，主要解决终端与VPN服务端（网关）之间的连接和数据传输安全问题。

(1) PPTP协议

PPTP是对在Internet上使用的点对点协议的增强。微软添加40位和128位加密，并且自Windows 98起在所有Microsoft VPN客户端中嵌入了PPTP，包括完整操作系统和移动操作系统。第三方版本可用于其他操作系统，PPTP VPN通常用于个人远程访问连接，但它不如IPSec流行。

(2) IPSec协议

IPSec定义了在网络层建立安全性的协议框架。IPSec可用于隧道模式（整个数据包被加密）或传输模式（仅数据被加密）。这与IPSec相关的最常见的加密算法是3DES，但也可以使用其他算法。IPSec更易用于站点到站点连接和个人远程访问，而大多数个人IPSec VPN访问是通过企业提供专有增值客户端完成的。

(3) L2TP协议

L2TP由Cisco和Microsoft联合开发，结合了Cisco的最佳特性专有的第二层转发协议(L2F)与Microsoft的PPTP版本。通常L2TP并不是用于个人远程访问连接，但事实证明在基于运营商提供的IP-VPN WAN服务中它很受欢迎，因为第二层和PPP服务可以在分组交换网络中的不同设备，从而获得更好的性能。L2TP的支持包括在Windows 2000和Windows XP中，而且L2TP依赖IPSec来保证消息完整性和加密。

2.3 VPN特性与价值

VPN的特性与价值体现在虽然存在多种安全问题，例如：无法保障终端环境、连接和访问的数据安全，但却是企业一直无法离开它、不使用它的原因。

(1) 可扩展性：随着电子商务需求的增长，VPN网络基础设施可轻松适应复杂性、数量和国际范围。传统租赁给企业带来的线路成本一开始可能是合理的，但随着企业的发展，线路可能会呈指数增长。例如，拥有两个分支机构的公司，只需部署一条专线即可连接这两个位置，如果第三个分公司需要上线，只需另外两条线路需要将该位置直接连接到其他两个位置；然而随着企业的成长，必须添加更多的公司到网络中，所需的专线数量会急剧增加，四个分支机构需要六条线路才能实现完全连接，依此类推。数学家称这种现象为组合爆炸，而在传统WAN中，这种爆炸式增长限制了增长的灵活性，VPN使用互联网通过简单地利用已经分布在地理上的访问来避免这个问题。

(2) 安全性：隧道、加密、身份验证和授权保护来自妥协和减速。而加密和身份验证可以不是每个VPN产品的标准部分。

(3) QOS：服务等级提供由SLA 支持的特定于应用程序的性能。

(4) 远程访问：远程访问公司网络允许无缝通信移动工作人员，同时以低成本保持高安全性并确保服务质量。

(5) 外联网：一个网络上的用户可能需要访问各种应用程序或服务企业内部和外部的不同VPN。由于VPN 是基于标准的，一个网络上具有适当权限和安全功能的用户可以连接到其他贸易伙伴网络，甚至跨不同服务提供商进行通信边界。

(6) 性能控制：具有“私有”的维度，VPN可以提供明确定义的性能和质量特性，可以使用服务级别协议进行管理并在流量类别之间明确区分进行部署。事实上，底层共享的资源对用户不可见。强大的VPN将调用机制（例如：作为带宽管理，流量分类和流量排队）以控制底层中继级别和个人VPN用户级别，可以为每个单独的VPN定义可以应用的控制。

(7) 服务灵活性：专用网络受到物理定义这一事实的限制——容量固定、位置固定、配置灵活性有限。而VPN更灵活，重新配置网络可以像更改软件参数一样简单，无需修改物理网络本身。

(8) 价值：潜在地降低了硬件、维护和网络成本，从而降低总成本。VPN降低成本的一种方式是消除需要昂贵的长途租用线路。使用VPN，企业只需要一个到服务提供商的专用连接。此连接可能是本地租用线路（比长途线路便宜得多），或者可以是本地宽带连接，例如DSL服务。VPN降低成本的另一种方式是减少对远程访问的长途电话费。提供远程访问服务，VPN客户端只需要呼叫最近的服务提供商的接入点。

威胁分析

VPN的技术在网络中只解决了端到端的连接与数据传输安全问题，无法满足远程办公对整体安全性的需求。在企业中，远程办公的数据安全至少要符合终端安全、连接安全、访问安全三个层面。

3.1终端威胁

VPN有客户端，但只负责建立一段终端到网关的虚拟链路，网关到资源的访问链路并没有做同样的处理，数据传输安全得不到完整保障；另外VPN只提供对通过服务网关身份的识别，并不对终端的身份进行鉴别，也就是说VPN客户端可以在任何终端上用同一个帐号进行登录访问，在终端已被劫持的情况下，终端数据也已被污染，VPN的登录凭据很容易被探测和侵入，登录凭据的泄漏让连接也变得不再安全，直接导致整个企业远程办公环境陷入病毒侵入的高风险，数据安全受到威胁。

3.2连接威胁

这里的连接威胁与VPN的通讯加密协议无关，而与连接的方式有关，目前不管是互联网还是VPN的远程办公，都是先连接后认证的模式，由于知道目的地址，这种模式很容易受到DDoS攻击，导致VPN网关直接瘫痪；另外，由于不知道终端的真实身份，匿名的访问也无法让VPN网关获知连接请求的数据合法性，带来的结果就是虚假或高危的连接数据信息占用了本可以用于企业服务的高性能通道，增加了企业的运营成本。

3.3访问威胁

远程办公的数据安全不仅要求终端可识别、环境安全、连接安全，也要求确保访问资源数据也安全。VPN的客户端身份鉴别只解决的网关与终端的数据传输安全问题，既没有解决终端的身份数据识别问题，也没有解决资源服务的身份数据识别问题。这种网关对身份的识别与资源服务的数据安全没有任何联系，VPN的身份鉴别后，匿名可以直接访问任何VPN网关后的资源服务，虽然不能登录资源服务，但这并不妨碍被恶意的软件进行探测、扫描、攻击。资源服务的数据安全在高度威胁之中。

安全治理

针对远程办公中数据安全涉及到的终端威胁、连接威胁、访问威胁三个层面，我们需要有整体的解决方案，其中云联盟CSA定义的SDP标准规范就是其中之一，SDP在零信任中是为解决终端安全、连接安全、访问安全而存在的，尤其在终端安全定义了相应的标准和规范，主要解决服务与不安全的数据隔离，而SDP下的身份认证不仅要解决用户的身份，同时也要完成设备身份的验证，只有身份验证通过的设备与用户才被允许对资源数据进行访问。因此，SDP通过在终端安装安全沙箱解决了终端环境安全问题，保障了终端数据的安全性；先认证后连接解决了设备身份问题，避免了匿名连接，加固了数据传输链路的安全性；设备与应用身份的同时认证，杜绝了匿名访问资源服务的问题，实现了资源数据的安全访问。如图4-1 SDP标准示意图所示。

图4-1 标准示意图

这里的SDP控制器就是认证组件，SDP连接接受主机就是可信网关，可以认为是VPN的服务端，SDP连接发起主机就是终端，操作流程如下。

(1) 终端安装网络代理和安全沙箱，在检测终端数据安全的前提下向认证组件发起单包认证，认证通过后建立连接，这里的认证数据同时包括设备与用户的安全身份数据。

(2) 可行网关对外隐藏不可见，当认证组件通过身份验证后，通知可信网关打开动态端口，并返回可信网关的地址与端口通过认证组件给终端。

(3) 终端依据可信网关的地址与端口发起单包认证，单包认证通过后终端与可信网关建立双向加密隧道mTLS，保障数据传输链路的安全。

(4) 终端上的安全沙箱通过加密隧道mTLS可访问在权限范围内的业务资源，实现资源数据的安全访问。

总结

远程办公的数据安全问题由来已久，却一直得不到比较好的解决，VPN只打通了终端到网关的数据安全传输链路环节，在数据安全方面并未提供企业整体的解决方案，终端环境、链接、访问的数据无法受到保护，这不仅让企业提供的资源数据受到威胁，而且不安全的终端也导致用户体验的下降，无法提高工作效率，并增加了防护成本。未来，随着越来越多类似SDP技术的普及，企业在远程办公的数据安全性会得到很大的改善和提升，包括云端服务。

（本文作者：上海派拉软件股份有限公司 吴良华）

声明：本文来自CCIA数据安全工作委员会，版权归作者所有。文章内容仅代表作者独立观点，不代表安全内参立场，转载目的在于传递更多信息。如有侵权，请联系 anquanneican@163.com。