后疫情时代，企业如何保障网络准入安全？（国网疫情服务举措）

后疫情时代，企业如何保障网络准入安全？（国网疫情服务举措）

新冠疫情迫使企业不得不推行远程办公，但同时又要兼顾员工生产力和企业网络安全，特别是设备退化带来的网络准入安全问题。随着深圳、上海等地相继解除隔离，办公场所重新开放，当务之急是重新纳管企业设备，确保网络准入安全。

1. 设备退化或引起远程办公风险

疫情发生前，企业网络上各种安全工具都在全天候运行，对联网设备进行评估、监控和修复，从而提高设备和网络的安全水平。虽然员工每周只在公司几天，企业依然投资了数百万美元更新并保护员工设备。

开始远程办公后，企业级网络设备就被消费级路由器取代，连接的家用网络和公共网络的安全控制也极为有限，此外企业 IT 部门在保护设备安全方面完全只依靠几个端点代理，这些代理还有中断或禁用的风险。

以上因素加上长时间的远程办公都会导致设备健康和安全态势的恶化，也就是所谓的“设备退化”，最终让设备暴露在漏洞和威胁之下，让黑客可以扩大攻击范围。

下面的数据可能更加骇人听闻：在远程办公期间，仅在 2020 一年就发现了 18,000 多个通用漏洞披露（CVE），平均一天 50 个。而在 2020 全年和 2021 年初，利用率最高的漏洞涉及 VPN 服务器和远程办公协作软件（如 Microsoft Exchange 或 Microsoft Office）。虽然打安全补丁的时间不如造火箭那么久，但漏洞修复平均也需要 60 天，而且有些漏洞在很长时间内都没有补丁可用。例如 2020 年，75%的网络攻击事件都是针对存在了至少2年的漏洞，60%的数据泄露都源于缺少操作系统补丁。

办公室、公共设施和零售场所在封闭了数月后终于重新开放，但是这些场所中存在安全态势降低的设备，很可能被黑客用于渗透企业网络、泄露敏感信息或重创日常运营，最终对企业网络和业务运营构成严重风险，而当前网络犯罪事件大幅增加的背景更是增加了这一可能性。

需要注意的是，设备退化在不同类型的设备中表现方式也不同：

员工设备在疫情前通常具有良好的初始安全态势，随时间推移，经历了代理损坏、安全补丁缺失、未授权应用安装和配置漂移等问题后逐渐退化。以消费级笔记本电脑为主的新设备在疫情期间也加入了办公生态系统，但是这类设备缺少黄金映像（gold master images），设备健康水平也始终不如企业设备严格。闲置的办公室设备或远程设备在远程办公期间被关闭，导致缺少最新的安全补丁。

始终在线的物联网（IoT）设备和运营技术（OT）设备（如物理安全系统、会议室智能电视和 HVAC 系统），一直处于闲置状态且无人看管，因此可能会出现高频漏洞。这类设备通常需要很长时间才能修补，还有可能无法修补。

2. 重返现场办公的准备

为了保护企业网络和业务运营免受设备退化影响，企业需要重新评估安全策略，下列方案有助于企业加强网络防护，为重回现场办公的员工及其设备做好准备：

1）实时盘点

风险管理第一步从持续准确的设备盘点开始。企业需要确保网络完全可视化，以及对所有设备的详细洞察，从而实时监控设备状态和网络交互情况。企业还应采用多种可视化技术消除 IT 系统中的盲点，将联网设备的实时发现、识别和分类代替瞬时扫描，防止遗漏设备。企业还应连接可视化平台与 IT 服务管理（ITSM）工具，保持配置管理数据库（CMDB）的准确性和更新状态。

2）评估修复联网设备

企业应建立相应系统进行联网设备检查，安全问题解决以及对潜在退化设备的持续监控。虽然很多用户仍在远程办公，企业可以充分利用这段时间率先部署：首先检查始终在线的闲置办公系统，确保系统已安装并运行软件最新版本和安全补丁；然后评估系统处于休眠状态时披露的漏洞。退化设备和不合规设备重连到企业网络后，企业应启动符合的安全策略且适用于公司 IT 系统的修复流程。

3）自动执行零信任策略

企业应首先调整零信任策略覆盖设备健康方面，并修复安全代理故障、未授权应用和缺少补丁等安全问题，最后再配置最低访问特权。企业应将设备分类为不合规设备、易受攻击设备和高风险设备，并在设备修复前限制其访问权限。将这一流程自动化在减轻安全运维团队负担的同时也能在员工及其退化设备相继恢复现场办公时为企业提供安全警报。

4）持续监控和跟踪设备状态

尽管办公设备已开始陆续重回办公场所，也有设备可能还需长时间的远程运行。企业应在设备连接内网后实施持续监控，离线时也保持设备状态的可视化，并在设备长时间离线后重新评估其健康状况。此外，企业应时刻保持警惕，根据联网设备数量和类型以及时间产生的问题/风险来调整设备管控方法。

5）培训员工协助网络防护

最后，企业应确保公司政策充分反映上述安全措施。所有员工都需要了解公司的安全协议和实施原因，避免内部摩擦，还要学习相关的安全基础知识，如避免使用未授权应用和保持设备的更新，从而协助企业应对设备退化，保持设备和网络健康处于高水平。

3. 后疫情时代的设备管理最佳实践

在后疫情时代，混合办公的落地方式因企业和部门而异。一些员工可能每周或每月有几天是线下办公，有些员工可能每季度线下办公几周，还有些员工可能一年中只来办公室几次。无论办公模式如何，唯一不变的是设备将有很长一段时间处于远程状态，在此期间很容易出现设备退化。而设备退化管理是一个长期过程，需要企业深谋远虑，未雨绸缪。

办公新常态下，身份目录即服务（DaaS）可以帮助企业落地最佳安全方案，协助企业解决桌面终端准入、哑终端准入、BYOD（自携带设备）准入、泛终端桌面管理问题。

对于桌面终端准入，企业可以根据联网终端的类型，选择轻量化客户端或无客户端，基于流量/NMAP 探测、域探测、客户端探测三种方式，DaaS 能够识别终端 IP/MAC 地址、流量/数据、终端类型、IP 资产真实用户身份、终端安装的软件/进程/补丁/杀毒软件/内存/CPU 使用率等信息，让入网的终端可视化。筛查不合格终端，利用虚拟防火墙及切换 VLAN 技术，形成应用访问和网络可控的边界。

对于哑终端准入，DaaS 终端准入引擎可主动扫描除 IP/MAC 地址外的 IoT 终端的指纹信息（终端类型、操作系统、版本、品牌、型号等），并将其作为合规性准入条件，通过自动化隔离 IP/MAC 地址非法伪造的终端，提升哑终端网络使用安全。基于 UA/Namp 方式提供主动、被动及网络设备结合等全方位的检测方法，能快速确定终端类型。通过 Switch VLAN、VFW(Virtual firewall 虚拟防火墙)方式，对非授信IoT进行流量阻断。

对于 BYOD 准入， 利用 UA 探测、 DHCP 识别、 NMAP 扫描方式，识别终端类型。对于非受信 BYOD，进行流量阻断、切换 VLAN 方式让 BYOD 无法访问企业内部资源。

对于泛终端桌面管理，除基础的识别终端 IP、MAC、操作系统版本及内存磁盘使用状态外，提供 Windows、macOS 等的统一推送软件安装、文件分发、终端日志采集，也提供非法软件管理，定义非法软件，检测到后弹页面告警提示卸载或邮件告知管理员，还可进行 U 盘管控，控制桌面终端 U 盘读写状态，限制 U 盘读写或者只读权限等。

通过以上方式，DaaS 在安全层面保障接入企业网络的终端安全性、合规性，有效避免攻击行为。在运维层面自动化资产识别、认证、管控，节省人力，降低运维成本。同时， DaaS 身份目录云平台还可联合单点登录 SSO 模块，让企业实现应用和网络的统⼀准入。

版权声明：本文内容由网络用户投稿，版权归原作者所有，本站不拥有其著作权，亦不承担相应法律责任。如果您发现本站中有涉嫌抄袭或描述失实的内容，请联系我们jiasou666@gmail.com 处理，核实后本网站将在24小时内删除侵权内容。