V2EX = way to explore
V2EX 是一个关于分享和探索的地方
Sign Up Now
For Existing Member Sign In
This topic created in 2274 days ago, the information mentioned may be changed or developed.
本以为远程工作(在线工作)模式在我国三五年内都难以发展壮大。 结果随着疫情忽如其来,大小企业都纷纷启动远程办公,人算不如天算了。 老黄我身为一个践行在线工作八年多的先行者,借此盛况为大家贡献一些小经验,权当抛砖引玉。
企业开启远程工作模式,头等要务是要保障信息安全。
总所周知,很多企业习惯将关键信息,如 ERP 系统、业务数据、源代码、文档等,限制只能通过企业内网访问。 然后设置内外网隔离、关闭远程登录等形式防止网络入侵。 现在因为远程工作需要,这些限制不得不取消。 但哪些限制要取消,又要增加什么相应的防范,学问可就大了!
互联网大厂估计早已经建立了严格的 VPN 访问机制和 Active Directory 控制,应该影响不大。 三五杆枪的小厂数据信息价值不高,丢了也没太大影响,吸引不来太多目光。 几十到百来号人的中型企业,拥有令人垂涎的数据,又往往没有专业的 IT 运维团队,很可能成为攻击的重点。
老黄这里把几年来接触到的措施整理一下,希望能帮到一些忙:
-
请架设 VPN 网络,一切对内网机器的访问必须通过 VPN,严格保持企业内外网隔离;
-
请尽量使用更安全的 OpenVPN 协议,远离有安全漏洞的 PPTP 协议,避免有安全隐患的 L2TP/IPsec 协议;
-
请尽可能不要使用 TeamViewer、向日葵、Frp 之类可以绕过 VPN 进行内网穿透的桌面共享软件;
-
如果不得不使用 TeamViewer,请安装修复了高危漏洞的最新版本,切勿安装来路不明的盗版版本;
-
请保证关键数据日常备份,避免数据勒索;
-
如向外网开放内部办公系统,请强制要求所有员工设置强密码,避免弱口令入侵;
-
请关闭服务器一切非必要服务进程和端口;
-
请及时更新服务器系统安全补丁,监控新开启端口,检查异常连接;
-
请及时升级有安全漏洞的应用程序,给予低权限运行。
老黄不是专业做网络安全,很有可能文不对题、挂一漏万,敬请斧正与补充,请移步 issues 留言与讨论。
最后老黄再次疾呼:试水远程工作的企业和员工请将信息安全重视起来,不要让中国远程工作元年成为互联网黑产的盛宴!
 |
1
Mithril Feb 4, 2020  2
安全只能靠人的意识和策略,只靠技术是没用的。VPN 和 FRP 本质上没什么区别,你只要能访问到内网,那该炸就一样会炸。
作为公司而言,首先要确定对于自己来说什么东西是核心资产。绝大多数公司并非造火箭的,代码本身不值钱。是产品数据库重要,还是自身的销售渠道重要,还是真的代码最重要自己要想清楚。安全防护保的是核心资产,其他的价值没那么大。 比如你做互联网产品,那么生产环境是要彻底隔离开的。哪怕是在公司也不应该让开发人员可以直接访问到。这种情况开发人员在家办公还是在公司区别不大,只要做好代码库隔离,不要一次性把所有产品代码暴露给某个开发人员就可以了。 |
 |
2
Vamwere Feb 4, 2020 via iPhone
1000 人以下公司就别搞内网了,直接都外网部署,做好常规安全,比搞 vpn 登录内网安全多了
|
 |
3
passerbytiny Feb 4, 2020
且不说 VPN 在法律层面上是能随便开的,就算 VPN 可以随便开,那么如果只开 VPN,那么终端可控的物理内网变成终端不可控的虚拟内网,安全性非但没提高,反而产生极大的安全隐患。稍微懂点安全的人就应该知道:防内比防外更重要。
不是专业做网络安全的,并不禁止你网上随便搜索一些发小编体,但请到发到小编体该存在的地方,不要发到 Github 和 V2EX 这样的技术社区,会被怼死的。 |
 |
4
shot OP @Mithril
赞成“只靠技术是没用的”。 不过对于传统企业来说,“人的意识和策略”的培养需要一个漫长的过程。 而技术上的保障,效果再微弱,也是可以立杆见效的。 特别是对于行政、市场、测试等技术含量相对不高的团队和员工,一个可行的方法就是以技术倒逼策略,进而培养意识。 |
|
5
shot OP @Vamwere
有哪些企业做到了“外网部署,做好常规安全”?愿闻其详。 我以前就职的国外企业,从 2005 年前后就开始全面贯彻远程工作实践,现在整个集团有几千号人分布在世界各地。 其实践上除了 Jira、BitBucket 等有限几个工具之外,其它工具都必须通过 vpn 登录内网使用。 |
|
6
shot OP |
Select Language