混合辦公的B面:安全與效率如何兼得?

科技云報(bào)道原創(chuàng)。

《工作的樂趣》一書的作者布魯斯·戴斯利曾表示:“我們的工作正在經(jīng)歷前所未有的大變革,而這場(chǎng)變革剛剛開始?!?/p>

在疫情反復(fù)影響下,全球很多企業(yè)開始主動(dòng)擁抱“混合辦公”這一工作模式。

Twitter宣稱員工可以永遠(yuǎn)遠(yuǎn)程工作;Dropbox宣布集中工作的辦公空間會(huì)慢慢“退出”;微軟、蘋果、亞馬遜正在將混合辦公常態(tài)化。在國內(nèi),攜程率先宣布推出“3+2”混合辦公模式,允許員工在每周兩天自行選擇辦公地點(diǎn),結(jié)果顯示“在家辦公”提高了員工13%的績效,離職率下降了50%。

對(duì)于企業(yè)而言,混合辦公模式一方面可以降低企業(yè)的運(yùn)營成本,另一方面也能提升員工的幸福感,降低公司離職率。

正如騰訊研究院與騰訊安全共同發(fā)布的《2022年混合辦公安全白皮書》(以下簡(jiǎn)稱“白皮書”)指出,混合辦公是一種未來已來的新的工作模式、是新的企業(yè)生存策略和競(jìng)爭(zhēng)戰(zhàn)略。所有致力于未來競(jìng)爭(zhēng)的企業(yè),都將向混合辦公模式進(jìn)行遷移,先行者將享有先發(fā)優(yōu)勢(shì)。

?

混合辦公的B面:安全是核心問題

盡管混合辦公成為一種勢(shì)不可擋的趨勢(shì),但背后的隱憂也隨之浮出水面。

白皮書調(diào)研數(shù)據(jù)顯示,混合辦公模式下,安全和效率成為最受關(guān)注的核心問題。受訪者把安全(68.3%)排在了混合辦公中第二重要的要素,僅次于效率(82.6%)。

圖片來源:騰訊研究院、騰訊安全《2022年混合辦公安全白皮書》

混合辦公模式下,遠(yuǎn)程訪問成為企業(yè)員工的必須。相比之前受到各類防火墻保護(hù)的企業(yè)內(nèi)網(wǎng),遠(yuǎn)程訪問相當(dāng)于在堅(jiān)固的城堡里開了許多扇門,供遠(yuǎn)程辦公人員進(jìn)出,調(diào)取各類文件、信息、數(shù)據(jù)以滿足工作需求,風(fēng)險(xiǎn)敞口驟然加大。

從宏觀層面看,網(wǎng)絡(luò)攻擊規(guī)?;c攻擊門檻降低,使得混合辦公成為了新的威脅跳板。近年來,對(duì)企業(yè)安全造成威脅的外部安全攻擊事件案例層出不窮。

從微觀層面看,企業(yè)員工在混合辦公時(shí)存在各類安全風(fēng)險(xiǎn)操作行為,如:接入公共場(chǎng)所的 WiFi進(jìn)行辦公;沒有將個(gè)人文件和辦公文件分開,并加密重要文件;因個(gè)人原因使用過公司的設(shè)備;結(jié)束混合辦公時(shí)未及時(shí)退出公司系統(tǒng)等等,都為企業(yè)在面對(duì)安全威脅和安全管理帶來了新挑戰(zhàn)。

但更嚴(yán)峻的是,在混合辦公模式下,企業(yè)安全的認(rèn)知和保障嚴(yán)重不足。

白皮書調(diào)研數(shù)據(jù)顯示,64.5%的受訪者所在企業(yè)的混合辦公安全保障不佳,其中37.3%的受訪者表示,其所在的企業(yè)沒有為混合辦公提供技術(shù)支持和安全保障,另外有27.2%的受訪者表示不了解。這表明大部分企業(yè)還未開始宣傳或有可能尚未有任何安全保障措施。

值得慶幸的是,安全技術(shù)的不斷演進(jìn),為企業(yè)更好地?fù)肀Щ旌限k公提供了可行路徑。

白皮書指出,混合辦公模式想要真正長期可持續(xù)發(fā)展,實(shí)現(xiàn)混合辦公安全“i-DEAN”五要素必不可少,包括:身份安全、數(shù)據(jù)安全、設(shè)備安全、應(yīng)用安全和網(wǎng)絡(luò)安全。

其中,身份安全是混合辦公安全的核心,一切混合辦公安全需要保證使用者的身份是安全可靠的,而數(shù)據(jù)作為資產(chǎn)、應(yīng)用作為關(guān)鍵載體、設(shè)備作為重要入口、網(wǎng)絡(luò)作為基礎(chǔ)紐帶,同樣是混合辦公安全需要保護(hù)的??梢哉f數(shù)據(jù)安全、設(shè)備安全、應(yīng)用安全、網(wǎng)絡(luò)安全是圍繞在身份安全核心的不同方面與維度。

圖片來源:騰訊研究院、騰訊安全《2022年混合辦公安全白皮書》

混合辦公的安全成熟度

事實(shí)上,混合辦公模式仍在發(fā)展演變中,許多企業(yè)并不確定自身正在施行的混合辦公模式是否高效、安全,他們迫切希望以更加科學(xué)的方法來評(píng)估自身混合辦公模式安全的成熟度。

針對(duì)這一問題,騰訊安全率先開啟了混合辦公安全成熟度的研究。在白皮書中,一套評(píng)估混合辦公安全成熟度的模型被提出,模型分為6個(gè)領(lǐng)域,分別是:架構(gòu)設(shè)計(jì)、業(yè)務(wù)契合度、規(guī)章制度、團(tuán)隊(duì)配備、技術(shù)工具、運(yùn)營迭代。每個(gè)領(lǐng)域,從低到高分為5個(gè)等級(jí),分別是:原始、起步、初步成型、成型后發(fā)展、成熟中優(yōu)化。

圖片來源:騰訊研究院、騰訊安全《2022年混合辦公安全白皮書》

舉個(gè)例子,一家擁有30000員工的民營企業(yè),明確了開啟混合辦公模式的基本原則,并制定了細(xì)致的相關(guān)規(guī)章制度,以及具體的分階段實(shí)施計(jì)劃。公司改造并實(shí)現(xiàn)了混合辦公下的身份安全和數(shù)據(jù)安全的防護(hù),打通了混合辦公模式下的業(yè)務(wù)全流程與相應(yīng)企業(yè)安全體系,并配備了相應(yīng)的運(yùn)維保障人員,同時(shí)其它部門已有跟安全小組對(duì)接的計(jì)劃。

基于混合辦公安全成熟度模型的評(píng)估打分,該企業(yè)的整體混合辦公安全成熟度屬于初步成型階段,即初步形成了有效的混合辦公安全體系,且在大多數(shù)領(lǐng)域有了實(shí)施細(xì)節(jié),但在整體混合辦公安全體系下,依然有許多不成熟的細(xì)節(jié)。

例如:企業(yè)在技術(shù)工具和運(yùn)維保障方面依然薄弱,需繼續(xù)重點(diǎn)補(bǔ)齊應(yīng)用安全、設(shè)備安全、網(wǎng)絡(luò)安全等能力。此外,該企業(yè)在業(yè)務(wù)契合度和團(tuán)隊(duì)配置兩方面也尚處于初步成型階段,尤其是以業(yè)務(wù)契合度作為混合辦公安全成熟度的中堅(jiān)核心,也需要企業(yè)進(jìn)一步將所有業(yè)務(wù)與其混合辦公安全體系進(jìn)行磨合。

當(dāng)企業(yè)將自身混合辦公安全成熟度與混合辦公安全“i-DEAN”五要素有機(jī)結(jié)合起來,就能更清楚地定位自身在混合辦公安全領(lǐng)域的發(fā)展水平,以及持續(xù)發(fā)展和優(yōu)化的方向。

?

零信任:混合辦公安全的“解藥”

可以隨處工作的混合辦公,恰恰是對(duì)工作場(chǎng)景提出最高要求的一種模式,其背后是安全和效率的雙重保障。那么企業(yè)到底應(yīng)如何開啟混合辦公的安全之旅?

目前,以“零信任”為代表的安全理念正在成為集大成者,將“i-DEAN”五要素融為一體。作為一個(gè)全面的安全模型,零信任涵蓋了身份安全、數(shù)據(jù)安全、應(yīng)用安全、網(wǎng)絡(luò)安全、設(shè)備安全等各個(gè)方面,致力于構(gòu)建一個(gè)以身份為中心的策略模型以實(shí)現(xiàn)動(dòng)態(tài)的訪問控制,以保護(hù)關(guān)鍵數(shù)據(jù)或者業(yè)務(wù)流程。

在混合辦公模式興起的當(dāng)下,企業(yè)網(wǎng)絡(luò)邊界已消失,企業(yè)中的人、設(shè)備、應(yīng)用、數(shù)據(jù)所面臨的安全風(fēng)險(xiǎn)都大大提升。零信任不再基于企業(yè)網(wǎng)絡(luò)邊界作為信任分界線、默認(rèn)企業(yè)內(nèi)網(wǎng)訪問受信,而是企業(yè)網(wǎng)絡(luò)內(nèi)外的任何人、設(shè)備和應(yīng)用都需要“持續(xù)驗(yàn)證,永不信任”,從而保障企業(yè)辦公的終端安全、鏈路安全和訪問控制安全。正因如此,零信任成為解決混合辦公安全問題的重要技術(shù)手段。

不僅如此,對(duì)于企業(yè)和員工來說,零信任最大的價(jià)值點(diǎn)在于能夠同時(shí)實(shí)現(xiàn)安全和效率,這也是企業(yè)夢(mèng)寐以求的公司運(yùn)營驅(qū)動(dòng)雙輪。

作為高效的工具,零信任能讓企業(yè)快速打通身份賬號(hào)數(shù)據(jù),從企業(yè)角度統(tǒng)一對(duì)各類終端設(shè)備、身份信息進(jìn)行高效的安全管理,很好地幫助企業(yè)提升安全管理和運(yùn)維的效率;同時(shí),終端用戶也可以通過一個(gè)零信任客戶端直連網(wǎng)絡(luò)和應(yīng)用,操作簡(jiǎn)易且無感,實(shí)現(xiàn)快速訪問公司內(nèi)部服務(wù)。

事實(shí)上,零信任自2010年由研究機(jī)構(gòu)Forrester提出至今已有12年,在技術(shù)和市場(chǎng)的交替驗(yàn)證下已逐步成熟,被越來越多的企業(yè)積極擁抱。

白皮書調(diào)研數(shù)據(jù)顯示,在了解零信任概念的受訪者中,22.7%的受訪者所在企業(yè)零信任產(chǎn)品已經(jīng)到位,40.2%的受訪者所在企業(yè)零信任項(xiàng)目正在進(jìn)行中,22.3%的受訪者所在企業(yè)零信任項(xiàng)目已經(jīng)計(jì)劃好。

圖片來源:騰訊研究院、騰訊安全《2022年混合辦公安全白皮書》

蓄勢(shì)已久的零信任,正在成為保障混合辦公安全和效率問題的解藥。

零信任落地按下加速鍵

盡管近年來零信任理念理念在技術(shù)圈非?;鸨?,但由于國內(nèi)外不同的市場(chǎng)環(huán)境,零信任在美國已進(jìn)入規(guī)?;l(fā)展階段,而在中國的落地情況依然不容樂觀。

騰訊安全零信任產(chǎn)品總經(jīng)理?xiàng)钣笤诓稍L中表示,目前零信任在落地過程中面臨多種難題:一是如何適配多樣化終端;二是如何保障異構(gòu)網(wǎng)絡(luò)環(huán)境下的服務(wù)穩(wěn)定性和安全性;三是如何協(xié)同和認(rèn)證分散的身份賬號(hào);四是如何做好最小權(quán)限的授權(quán)和治理;五是如何實(shí)現(xiàn)持續(xù)的威脅防護(hù)。此外,零信任能否和企業(yè)現(xiàn)有安全建設(shè)形成聯(lián)動(dòng)體系,避免信息安全孤島,也是現(xiàn)實(shí)問題。

值得注意的是,零信任落地從來都不是一蹴而就的事。2011年,谷歌內(nèi)部開始實(shí)施零信任,整整花了6年時(shí)間才在企業(yè)網(wǎng)實(shí)現(xiàn)了零信任落地。在國內(nèi),騰訊是最早實(shí)踐零信任的大型廠商之一,從2016年騰訊開始在公司內(nèi)部實(shí)踐零信任整體的體系建設(shè),到2019年騰訊將內(nèi)部實(shí)踐對(duì)外輸出形成商業(yè)版iOA零信任安全管理系統(tǒng),也歷經(jīng)了4年時(shí)間。

但肉眼可見,零信任落地步伐在加速。以騰訊零信任iOA為例,推出幾年之內(nèi)已廣泛應(yīng)用于金融、地產(chǎn)、物流、教育、工業(yè)等十大行業(yè)、數(shù)百家企業(yè)。就在今年早些時(shí)候,騰訊iOA的部署終端突破了100萬,成為國內(nèi)首個(gè)落地百萬的零信任產(chǎn)品,從市場(chǎng)需求側(cè)證明了零信任在國內(nèi)的成熟和規(guī)?;涞亍?/p>

以混合辦公為代表的遠(yuǎn)程訪問場(chǎng)景,正是國內(nèi)零信任落地的最佳切入口。

高燈科技作為騰訊iOA第一百萬端的客戶,在2020年疫情期間,他們使用的傳統(tǒng)VPN無法支撐激增的遠(yuǎn)程辦公需求,并且高危漏洞頻發(fā)。部署騰訊iOA之后,高燈科技實(shí)現(xiàn)了終端安全一體化,增強(qiáng)了合規(guī)基線的檢測(cè)和數(shù)據(jù)安全的管控能力,保證了公司業(yè)務(wù)穩(wěn)定、高效地進(jìn)行。

高燈科技副總裁兼安全負(fù)責(zé)人莫曉盛在采訪中表示,如果按照傳統(tǒng)方式需要部署多家廠商的安全產(chǎn)品,但是騰訊iOA作為一個(gè)綜合性安全平臺(tái)帶來了一整套的防病毒、終端安全管控、VPN轉(zhuǎn)入、數(shù)據(jù)防泄露等功能,“一個(gè)運(yùn)維人員就可以管理多個(gè)平臺(tái)和系統(tǒng),防護(hù)效果還比傳統(tǒng)部署方式要好”。

事實(shí)上,和高燈科技面臨同樣困境的政企機(jī)構(gòu)不在少數(shù)。自疫情持續(xù)爆發(fā)以來,混合辦公就成為國內(nèi)政企機(jī)構(gòu)業(yè)務(wù)運(yùn)轉(zhuǎn)的常態(tài),從而使得零信任的發(fā)展迎來了新的分水嶺。

在這個(gè)過程中,騰訊安全也一直在思考如何讓零信任更好的落地。

楊育斌表示,零信任已經(jīng)進(jìn)入了2. 0時(shí)代,無論是在事前、事中、事后,都需要對(duì)訪問的主體、客體以及環(huán)境進(jìn)行持續(xù)監(jiān)控和防護(hù),基于各維度風(fēng)險(xiǎn)進(jìn)行實(shí)時(shí)響應(yīng),實(shí)現(xiàn)持續(xù)自適應(yīng)風(fēng)險(xiǎn)與信任一體化機(jī)制,即“自適應(yīng)零信任階段”。因此,零信任解決方案需要在“接、防、管、控”層面做到一體化。

在此背景下,騰訊安全重磅發(fā)布了全新升級(jí)的零信任安全管理系統(tǒng)——騰訊零信任iOA7. 0 版本。據(jù)了解,騰訊零信任iOA7. 0 在可信接入、威脅防護(hù)、安全管理、風(fēng)險(xiǎn)控制及全平臺(tái)覆蓋等維度上實(shí)現(xiàn)了煥新升級(jí),提升了接入安全性和效率,打造了立體防御體系,實(shí)現(xiàn)多平臺(tái)終端全管控和XDR全程聯(lián)動(dòng)響應(yīng)。

此外,騰訊零信任iOA7. 0在平臺(tái)覆蓋上也提升了產(chǎn)品自適配度,有效支持企業(yè)設(shè)備和自帶設(shè)備。這也很好地解決了零信任落地的另一個(gè)關(guān)鍵問題,即多廠商的產(chǎn)品異構(gòu),讓企業(yè)很難將零信任與現(xiàn)有安全設(shè)備聯(lián)動(dòng)起來,并避免企業(yè)IT投資的浪費(fèi)。

為此,騰訊牽頭聯(lián)合生態(tài)伙伴共同推動(dòng)零信任的行業(yè)標(biāo)準(zhǔn)化。目前,騰訊零信任標(biāo)準(zhǔn)工作組制定的接口標(biāo)準(zhǔn),已實(shí)現(xiàn)了同18個(gè)行業(yè)安全廠商的對(duì)接。接口標(biāo)準(zhǔn)化促進(jìn)了企業(yè)安全辦公體系的融合,進(jìn)一步優(yōu)化了辦公體驗(yàn),也讓零信任的落地變得更加容易。

結(jié)語

后疫情時(shí)代,混合辦公模式已成為企業(yè)新的競(jìng)爭(zhēng)力來源,安全和效率作為混合辦公模式下的必備能力項(xiàng),為企業(yè)IT建設(shè)提出了新的挑戰(zhàn),而零信任無疑是解決混合辦公安全和效率問題的最佳解藥。如今,零信任正在跨越鴻溝進(jìn)入主流市場(chǎng)。

極客網(wǎng)企業(yè)會(huì)員

免責(zé)聲明:本網(wǎng)站內(nèi)容主要來自原創(chuàng)、合作伙伴供稿和第三方自媒體作者投稿,凡在本網(wǎng)站出現(xiàn)的信息,均僅供參考。本網(wǎng)站將盡力確保所提供信息的準(zhǔn)確性及可靠性,但不保證有關(guān)資料的準(zhǔn)確性及可靠性,讀者在使用前請(qǐng)進(jìn)一步核實(shí),并對(duì)任何自主決定的行為負(fù)責(zé)。本網(wǎng)站對(duì)有關(guān)資料所引致的錯(cuò)誤、不確或遺漏,概不負(fù)任何法律責(zé)任。任何單位或個(gè)人認(rèn)為本網(wǎng)站中的網(wǎng)頁或鏈接內(nèi)容可能涉嫌侵犯其知識(shí)產(chǎn)權(quán)或存在不實(shí)內(nèi)容時(shí),應(yīng)及時(shí)向本網(wǎng)站提出書面權(quán)利通知或不實(shí)情況說明,并提供身份證明、權(quán)屬證明及詳細(xì)侵權(quán)或不實(shí)情況證明。本網(wǎng)站在收到上述法律文件后,將會(huì)依法盡快聯(lián)系相關(guān)文章源頭核實(shí),溝通刪除相關(guān)內(nèi)容或斷開相關(guān)鏈接。

2022-06-27
混合辦公的B面:安全與效率如何兼得?
混合辦公的B面:安全與效率如何兼得?

長按掃碼 閱讀全文