网络办公 企业网络安全之办公网络安全

分付费加入群，长期免费教程，无付费教程。

教程列表见微信微信官方账号底部菜单

办公网络安全是乙方安全公司提供最多解决方案的场景。之所以在这里介绍办公，主要是因为定向攻击APT、水坑攻击等特长越来越多，让生产网络固若金汤是没有用的，攻击者绕到后面攻击办公网络也是个大问题。

另一方面，服务器网络大多来自于相对固化的客户端和服务器的交互模式，大部分行为都可以用严格的ACL来控制，而办公网络则不同，大量的客户端行为、鼠标点击、运行各种程序、访问各种URL都是不可预知的，所以办公网络的解决方案与生产网络完全不同，基本上可以看成两件事。

1.文化问题

虽然在乙方保安公司办公有很多解决方案，但很多都不适用于行业，主要是文化差异。为了防止PT或APT，防止和防止内部欺诈(俗称“内鬼”)，传统行业可以采用严格的“控制”管理方法，但在行业内，精神的本质是开放和共享，产品经理和UED设计需要大量的竞争产品作为参考。大部分功能或多或少和用户体验有关，需要经常从素材中提取。如果谷歌不能简单的想离开，如果被强屏蔽屏蔽，

乙方很多公司都觉得办公安全产品在互联网行业不是很受欢迎。其实这个问题和甲方自身是否发展无关。主要是体验问题。能保证办公体验就OK，不能保证就暂停。

2.安全域部门

图1所示的安全域划分方法是，对于大型组织来说，中小型企业不需要那么麻烦。首先，办公网络和用户桌面环境必须划分为独立的安全域，即使是中小企业的需求也是最基本的。随着组织规模的扩大，当办公室内的资产超过一定数量级时，也需要将域划分为更详细的安全域:

图1办公网络安全域示意图

●涉及内部运营的Office类，如邮件、人力资源系统、财务系统等。

●涉及代码资产，如R&D系统的持续集成和代码托管。

●涉及资产管理，攻击者可以轻松获取所有列表，甚至密码。

●安全优先级不太高的测试类和杂类资源。

对于员工的桌面环境，可以根据功能指定安全子域，中小企业可以根据部门指定动态vlan。从策略的角度来看，桌面域中的用户可以分为几类:

●运维开发等技术功能是PC重度用户，对网络和主机性能要求最高。如果用过于严格的安全策略来实施，就会遭到强烈抵制，而且大部分都是正常的业务需求，无法压制。

●在典型的技术重度用户中，R&D属于特殊类别，需要灵活，防止源代码泄露。需要单独画一个圆，放进去。

●市场运营这些都是中等PC用户。PC是他们的办公工具，主要包括文档、网页、视频和竞争产品。他们对用户体验有一定的要求，但不会像运维开发那样对系统限制吹毛求疵，能够适应一定的限制性安全策略，没有很大阻力。

●客服、线下推广等功能都是轻PC用户。虽然网络游戏用户可能会整天挂机泡游戏，但从安全角度来看，他们仍然属于轻用户。他们的办公需求比较简单，大部分只需要使用一些邮件和类似CRM的系统，没有太多安装新软件、更换系统等主观交互，甚至性能要求不高，可以在管理上实行严格的安全策略。

办公室中的安全域一方面是隔离威胁，另一方面是把安全域作为实施安全策略的最小分组单位，从而将不同的策略附加到不同的单位。

3.终端管理

终端管理是办公安全最大的部分。市面上有很多解决方案。安防公司在这方面集中了大量的优势力量，推出了很多商业产品。对于大多数企业来说，“自我研究”这个话题不会像生产网络一样涉及到这方面，但基本上都是围绕商业产品展开的，少有例外。

组策略的作用主要是实现一些“基本”的安全策略。例如，允许客户端运行软件的黑白列表、系统配置选项、USB权限管理等。

禁用软件的时候也有一些小技巧，比如禁用，你可以禁用它需要运行的DLL，这样一些小技巧就不起作用了。

图3包含一些典型的组策略。

图3组策略界面

目前360自产PC保安，360杀毒，腾讯自产PC管家，其他厂商在这个问题上基本没有太大的选择能力。卡巴，诺顿，趋势都是现成的产品，基本不定制。进一步研究他们的技术意义不大，因为他们只与提供产品的乙方安全厂商有关，与甲方关系不大..甲方唯一要做的就是选择型号，然后购买。

(4)网络接入NAC

目前网络接入主要有两种方式:802.1x，基于终端管理软件的C/S模式认证。在实施NAC方案之前，在划分安全域时需要绘制访客vlan，所有未通过认证的客户端都被抛入访客vlan。

网络接入认证的示意图如图4所示。

图4网络接入认证示意图

如果所有交换机都支持802.1X，则此方案是最常见的网络访问。但是，并非所有客户端设备都支持802.1x，如打印机。因此，802.1x有一个称为MAB(媒体访问控制地址旁路)的扩展。如果客户端无法提供用户/密码的认证方式，设备本身的MAC地址将作为认证，这对于有意的攻击者来说是一个很好的绕过点。即使那些机器锁屏，也不难获得那些经过认证的设备的MAC地址。

碳硫模式认证如下:

●基于终端管理软件的NAC类似于802.1x，认证失败的客户端被tcpkill“踢下线”。

●复合认证的意义在于，当802.1x断开时，有一层认证作为备份。

4.安全网关

办公网络中的网关设备有很多种，但一般不如生产网络中的网关设备有效。

(1)神经生长因子W/FW

如果下一代是类似UTM的大杂烩，可能对中小企业有用，但在APT崛起的时代，对办公网络中更隐秘的攻击可能用处不大。如果NGFW的设计和实现采用一种联合判断的方法，比如IP地址URL灰列表库，会有比较积极的意义。

(2)UTM/防病毒网关/NIPS/反垃圾邮件

网关设备基于应用层协议扫描和查杀，为7层协议提供实时扫描和保护功能。由于涉及到性能问题，生产网络中的应用比较窄，但在办公网络中仍然有很大的销售价值。如果要研究具体效果，默认配置可能不太有效，还需要自己添加策略。

(3)堡垒和更软的机器

虽然部署在办公网络的网关，但主要为生产网络的远程访问提供行为审计。

(4)行为审计

行为审计主要审计员工的在线行为。一些设备为明文协议甚至可解密的加密协议提供拦截和存储功能。一方面为公安部门要求的反动政治言论提供治理证据；另一方面，它们也为喜欢监控员工行为并有强烈控制欲望的老板提供了方便的渠道。当然也起到了抓捕内奸和商业间谍的作用。

(5)其他

其他产品(如DLP、反APT、大数据探针)可能涉及网关设备，但对于一个企业来说，一个出口堆叠N层设备(包括旁路)显然是不合理的。具体选择取决于使用场景和对安全性的理解。

5.研发管理

传统行业不一定有这个环节。R&D是工业的标准功能。R&D的管理是一项具有挑战性的任务，因为它不仅需要确保便利性和用户体验，而且有很强的安全要求，这在某种程度上是矛盾的。总体来说，目前行业内还没有完美的解决方案。下面是两种常用的方法。

(1)防止泄漏

R&D系统经常涉及知识产权和机密数据，尽管并非所有源代码泄露都会引起商业危机。举个例子，就算你给了你的源代码，你也无法打造腾讯帝国，因为这个商业成功是一个生态综合因素，而不是简单的技术壁垒问题。然而，人们习惯于将源代码分类为机密。当然也有一些商家，比如大型网游。如果游戏中的源代码和数值设置被泄露，那么皮肤复制一个游戏的门槛并不高，很快就会侵犯到原产品的利益。同时，源代码泄露会加速插件的扩散和普及，对产品本身影响很大。

从安全角度来说，各类产品的源代码泄露都会加速这个过程。无论厂商如何公开表示愿意公开披露，其实都是在损害自己的利益，所以这些都会成为公司防止泄密的原始动力。

一般情况下，R&D会配备两台PC，一台可以随意游动，另一台用于无法访问的编码，需要复制粘贴的个别资源会通过共享文件夹转移，或者通过其他方式实现双机剪贴板共享。两台PC属于不同的vlan，所以不能互相访问，但都可以访问中转。图5是一个简单的例子。

图5环境下的访问控制示意图

物理安全方面，硅胶封USB其实用处不大，容易掉。最好的办法就是锁机箱。组策略禁用USB的数据传输功能，保留鼠标、画板、充电等功能。

(2)源代码管理

原则上，源代码管理必须有一个统一的平台，用于公司层面的持续集成和代码托管。最新的源代码在公司平台上至少要有一个完整的副本，IT部门要做好复制和容灾工作。

如何划分权限，其实是一个文化问题，而不是技术问题。权限划分越多，越会阻碍学习和知识共享。有些人可以自豪地说，他们几乎可以无限制地检查源代码，跨部门进行代码审查，并在对方同意后提交对他人代码的修改。在工程师文化浓厚的地方，权限划分相对自由。有人说他们公司开发的信息安全管理做的很好，但是如果不解决用户体验问题就不值得称道了。换句话说，许可只是R&D文化的一种反映。

如果有人认为以上是理想化的，实用点就是把产品和项目分开，把权限划分给项目的技术负责人，自己决定团队成员的具体权限。如果他的项目团队很多都是新员工，就应该保守，如果团队成员经常半夜被叫起来做紧急代码修改，就应该更放松。

当有人喜欢未经授权就把源代码同步到GitHub，最怕同步密钥的时候，安全部门应该考虑写一个爬虫去GitHub抓关键词。

6.远程访问

(如VPN等。)最大的问题是蛮力破解。对于较大的企业，一般选择双因素认证。很多人联系过它，给你发了一个RSA令牌(见图6)。更谨慎的是，双因素身份验证也用于在外部网络上接收电子邮件。

图6 RSA令牌

对于员工少的中小企业，如果远程访问需求不多，管理员认为更可控。为了省钱，他可以选择只使用传统的密码认证方式，前提是密码长度足够，复杂度足够，或者启动账户锁定策略，定期审核登录日志中的异常行为。

7.虚拟化桌面

Citrix是虚拟化桌面的领导者，其技术架构如图7所示。

图7思杰的技术架构

桌面虚拟化产品与之前的NC(网络计算机)非常相似。它在安全性上的固有优势是数据在互联网上。最终用户只能通过RDP/独立控制协议和其他协议获得类似远程桌面的界面。本地只有鼠标键盘，没有USB端口复制数据，比传统PC在互联网上要高很多。唯一的入口是用户通过虚拟机之间的连接发送数据(实际上虚拟机实例在互联网上)。因为虚拟桌面的实际计算资源都在IDC机房集群上，所以在安全管理方面有两大便利:

●通过严格统一的安全策略，可以大大减少终端用户的“能做什么”和攻击面。

●本来每个站都要装杀毒软件。现在，不用麻烦了，为""做一切就好。

●审核比以前容易了，因为“都集中在一起了”，还可以像堡垒主机一样记录整个屏幕，如图8所示。

图8后台会话记录服务架构

如果业务目标是防止泄密，基于虚拟桌面的安全方案更有效，为安全和IT管理人员省事。但是，缺点也很明显。虚拟化桌面无法完全取代PC。估计天天挂在游戏产品里的PM会造反。

互联网公司有合适的使用场景吗？是的。比如轻PC用户，这样的用户主要是浏览网页，编辑文字，收发邮件，语音和IM交流。对于这种需求，虚拟化桌面就足够了，所以这个方案可以用于大公司这部分典型用户，而不是追求全公司统一的方案。

以前很多人技术上是干净的，公司的安全方案一定是“一刀切”、“统一的”。其实只要公司规模大于一定规模，真的没必要。

8、APT

APT这个词在安防行业很流行，但对甲方来说意义不大，因为大部分企业不太可能开发反APT的产品。如果公司一直没能打造出行业平均水平以上的攻防团队，那么反APT基本可以忽略不计。唯一的选择是购买APT测试产品，但是这类产品的结果往往不是“人机友好”，根本没有安全专家可以评判。反APT本质上是一家实力强大的保安公司和甲方几个实力和保安公司相当的保安团队玩的东西。

没有实力打造强大的安全团队，一方面意味着钱包不足，一般不会吸引APT；另一方面，如果出现问题，各种技术手段往往不如在路上被熟人朋友告知“被入侵”来得现实。

难道只是一起下手，彻底放弃，无所事事，无药可救？不完全是。可以从几个方面来考虑:

●如果基础安全体系不全，处于消防阶段或者安全系统建设供不应求，可以先搁置APT。如果你缺乏攻防研究能力，但是你有钱有预算，可以选择APT产品和专家外包服务。无法评价乙方是否尽力。只能说理论上有这个渠道。

●如果有攻防保障团队，有一点余力可以完善现有体系。比如蜜罐就是一种低成本的手段，具有一定的诱导和发现入侵者的能力。

在办公网络中是一种很好的手段，其大致概念如图9所示。但不适合作为大规模生产网络中的主要手段，应该是辅助手段。

图9蜜罐技术

对于有一定安全实力的安全团队来说，应该追求的是发现并建立“大数据”，参与行业合作。随着时间的推移，APT的解决方案会逐渐由冷清走向平淡，抵制APT的厂商和解决方案会越来越多，所以以上观点只代表当前时间点的结论，不能代表技术和市场发展后的状态。

9.防止数据泄漏

DLP(数据丢失防范)的主流解决方案目前在互联网行业可能存在一些问题，在用户体验和性能的兼容性方面还有很大的提升空。但可以作为传统行业的大方案。图10展示了赛门铁克的DLP部署架构，主要通过代理控制、网络出口控制和网络流量检测来实现。其他厂商包括Websence等。详情请参考Gartner幻方图。

图10赛门铁克DLP架构

10.移动办公和边界模糊

2015年年中，谷歌发布了beyondCorp项目(如图11所示)，声称其办公网络将取消内网，这意味着上述办公网络解决方案有一半以上是无效的。基本假设是内部网络其实和互联网一样危险。因为一旦内网边界被打破，攻击者就可以轻松访问企业内部应用；此外，如今越来越多的企业采用移动和云技术，边境保护变得越来越困难。所以要一视同仁，区分内外网络，用一致的手段对待。

图11谷歌的beyondcorp项目

这种访问模式要求客户端是受控设备，并且需要用户证书才能访问。访问由访问控制引擎通过身份验证、访问代理和单点登录来管理。不同的用户和资源有不同的访问权限控制，对用户的位置没有要求。也就是说，无论用户是在谷歌办公大楼、咖啡店还是在家里，都是同样的访问方式，过去需要从外网访问的东西都被抛弃了。所有员工与企业应用程序的连接都应该加密，包括在办公楼中的访问。可以说谷歌的模式完全打破了内外网的区别。

总之，办公系统中的云、办公移动性和边界模糊不仅是技术上的变化，也是挑战。目前对于绝大多数公司来说，如果内部没有专门的IT管理团队，就像生产网络的基础设施一样，只会满足眼前。

看到这条新闻，很多人断言“内网”没有任何意义。其实这里还是需要加一个范围的。Google目前只是为办公网络做这个，并没有声称为制作网络动刀。因此，生产网络和办公网络应该仍然是两种不同的安全管理模式。

11.超越技术

办公网络中的安全问题不能完全通过技术手段来解决，因为涉及“人”的因素太多了。这种感觉比制作网络更严重，就是只有技术才能解决的问题比例更低。就算有什么方案，偏偏一个更好的技术装了一个调试器杀了HIPS进程，怒跑了也说不出话来。人们使用调试器是正常的需求，人们会说，“嗯，你选择的安全产品不太好”，或者更糟糕的是，假装你什么也没做。据业内人士介绍，很多解决方案其实是防君子不防小人，所以需要制定一个“制度”，在新员工入职培训时，这个制度要植根于员工的意识中。在办公的问题上，技术和管理的比例对半分，两手都要抓，两手都要硬。