混合辦公的B面：安全與效率如何兼得？

科技云報道原創(chuàng)。

《工作的樂趣》一書的作者布魯斯·戴斯利曾表示：“我們的工作正在經(jīng)歷前所未有的大變革，而這場變革剛剛開始。”

在疫情反復(fù)影響下，全球很多企業(yè)開始主動擁抱“混合辦公”這一工作模式。

Twitter宣稱員工可以永遠(yuǎn)遠(yuǎn)程工作；Dropbox宣布集中工作的辦公空間會慢慢“退出”；微軟、蘋果、亞馬遜正在將混合辦公常態(tài)化。在國內(nèi)，攜程率先宣布推出“3+2”混合辦公模式，允許員工在每周兩天自行選擇辦公地點(diǎn)，結(jié)果顯示“在家辦公”提高了員工13%的績效，離職率下降了50%。

對于企業(yè)而言，混合辦公模式一方面可以降低企業(yè)的運(yùn)營成本，另一方面也能提升員工的幸福感，降低公司離職率。

正如騰訊研究院與騰訊安全共同發(fā)布的《2022年混合辦公安全白皮書》（以下簡稱“白皮書”）指出，混合辦公是一種未來已來的新的工作模式、是新的企業(yè)生存策略和競爭戰(zhàn)略。所有致力于未來競爭的企業(yè)，都將向混合辦公模式進(jìn)行遷移，先行者將享有先發(fā)優(yōu)勢。

?

混合辦公的B面：安全是核心問題

盡管混合辦公成為一種勢不可擋的趨勢，但背后的隱憂也隨之浮出水面。

白皮書調(diào)研數(shù)據(jù)顯示，混合辦公模式下，安全和效率成為最受關(guān)注的核心問題。受訪者把安全（68.3%）排在了混合辦公中第二重要的要素，僅次于效率（82.6%）。

圖片來源：騰訊研究院、騰訊安全《2022年混合辦公安全白皮書》

混合辦公模式下，遠(yuǎn)程訪問成為企業(yè)員工的必須。相比之前受到各類防火墻保護(hù)的企業(yè)內(nèi)網(wǎng)，遠(yuǎn)程訪問相當(dāng)于在堅固的城堡里開了許多扇門，供遠(yuǎn)程辦公人員進(jìn)出，調(diào)取各類文件、信息、數(shù)據(jù)以滿足工作需求，風(fēng)險敞口驟然加大。

從宏觀層面看，網(wǎng)絡(luò)攻擊規(guī)?；c攻擊門檻降低，使得混合辦公成為了新的威脅跳板。近年來，對企業(yè)安全造成威脅的外部安全攻擊事件案例層出不窮。

從微觀層面看，企業(yè)員工在混合辦公時存在各類安全風(fēng)險操作行為，如：接入公共場所的 WiFi進(jìn)行辦公；沒有將個人文件和辦公文件分開，并加密重要文件；因個人原因使用過公司的設(shè)備；結(jié)束混合辦公時未及時退出公司系統(tǒng)等等，都為企業(yè)在面對安全威脅和安全管理帶來了新挑戰(zhàn)。

但更嚴(yán)峻的是，在混合辦公模式下，企業(yè)安全的認(rèn)知和保障嚴(yán)重不足。

白皮書調(diào)研數(shù)據(jù)顯示，64.5%的受訪者所在企業(yè)的混合辦公安全保障不佳，其中37.3%的受訪者表示，其所在的企業(yè)沒有為混合辦公提供技術(shù)支持和安全保障，另外有27.2%的受訪者表示不了解。這表明大部分企業(yè)還未開始宣傳或有可能尚未有任何安全保障措施。

值得慶幸的是，安全技術(shù)的不斷演進(jìn)，為企業(yè)更好地?fù)肀Щ旌限k公提供了可行路徑。

白皮書指出，混合辦公模式想要真正長期可持續(xù)發(fā)展，實(shí)現(xiàn)混合辦公安全“i-DEAN”五要素必不可少，包括：身份安全、數(shù)據(jù)安全、設(shè)備安全、應(yīng)用安全和網(wǎng)絡(luò)安全。

其中，身份安全是混合辦公安全的核心，一切混合辦公安全需要保證使用者的身份是安全可靠的，而數(shù)據(jù)作為資產(chǎn)、應(yīng)用作為關(guān)鍵載體、設(shè)備作為重要入口、網(wǎng)絡(luò)作為基礎(chǔ)紐帶，同樣是混合辦公安全需要保護(hù)的。可以說數(shù)據(jù)安全、設(shè)備安全、應(yīng)用安全、網(wǎng)絡(luò)安全是圍繞在身份安全核心的不同方面與維度。

圖片來源：騰訊研究院、騰訊安全《2022年混合辦公安全白皮書》

混合辦公的安全成熟度

事實(shí)上，混合辦公模式仍在發(fā)展演變中，許多企業(yè)并不確定自身正在施行的混合辦公模式是否高效、安全，他們迫切希望以更加科學(xué)的方法來評估自身混合辦公模式安全的成熟度。

針對這一問題，騰訊安全率先開啟了混合辦公安全成熟度的研究。在白皮書中，一套評估混合辦公安全成熟度的模型被提出，模型分為6個領(lǐng)域，分別是：架構(gòu)設(shè)計、業(yè)務(wù)契合度、規(guī)章制度、團(tuán)隊(duì)配備、技術(shù)工具、運(yùn)營迭代。每個領(lǐng)域，從低到高分為5個等級，分別是：原始、起步、初步成型、成型后發(fā)展、成熟中優(yōu)化。

圖片來源：騰訊研究院、騰訊安全《2022年混合辦公安全白皮書》

舉個例子，一家擁有30000員工的民營企業(yè)，明確了開啟混合辦公模式的基本原則，并制定了細(xì)致的相關(guān)規(guī)章制度，以及具體的分階段實(shí)施計劃。公司改造并實(shí)現(xiàn)了混合辦公下的身份安全和數(shù)據(jù)安全的防護(hù)，打通了混合辦公模式下的業(yè)務(wù)全流程與相應(yīng)企業(yè)安全體系，并配備了相應(yīng)的運(yùn)維保障人員，同時其它部門已有跟安全小組對接的計劃。

基于混合辦公安全成熟度模型的評估打分，該企業(yè)的整體混合辦公安全成熟度屬于初步成型階段，即初步形成了有效的混合辦公安全體系，且在大多數(shù)領(lǐng)域有了實(shí)施細(xì)節(jié)，但在整體混合辦公安全體系下，依然有許多不成熟的細(xì)節(jié)。

例如：企業(yè)在技術(shù)工具和運(yùn)維保障方面依然薄弱，需繼續(xù)重點(diǎn)補(bǔ)齊應(yīng)用安全、設(shè)備安全、網(wǎng)絡(luò)安全等能力。此外，該企業(yè)在業(yè)務(wù)契合度和團(tuán)隊(duì)配置兩方面也尚處于初步成型階段，尤其是以業(yè)務(wù)契合度作為混合辦公安全成熟度的中堅核心，也需要企業(yè)進(jìn)一步將所有業(yè)務(wù)與其混合辦公安全體系進(jìn)行磨合。

當(dāng)企業(yè)將自身混合辦公安全成熟度與混合辦公安全“i-DEAN”五要素有機(jī)結(jié)合起來，就能更清楚地定位自身在混合辦公安全領(lǐng)域的發(fā)展水平，以及持續(xù)發(fā)展和優(yōu)化的方向。

?

零信任：混合辦公安全的“解藥”

可以隨處工作的混合辦公，恰恰是對工作場景提出最高要求的一種模式，其背后是安全和效率的雙重保障。那么企業(yè)到底應(yīng)如何開啟混合辦公的安全之旅？

目前，以“零信任”為代表的安全理念正在成為集大成者，將“i-DEAN”五要素融為一體。作為一個全面的安全模型，零信任涵蓋了身份安全、數(shù)據(jù)安全、應(yīng)用安全、網(wǎng)絡(luò)安全、設(shè)備安全等各個方面，致力于構(gòu)建一個以身份為中心的策略模型以實(shí)現(xiàn)動態(tài)的訪問控制，以保護(hù)關(guān)鍵數(shù)據(jù)或者業(yè)務(wù)流程。

在混合辦公模式興起的當(dāng)下，企業(yè)網(wǎng)絡(luò)邊界已消失，企業(yè)中的人、設(shè)備、應(yīng)用、數(shù)據(jù)所面臨的安全風(fēng)險都大大提升。零信任不再基于企業(yè)網(wǎng)絡(luò)邊界作為信任分界線、默認(rèn)企業(yè)內(nèi)網(wǎng)訪問受信，而是企業(yè)網(wǎng)絡(luò)內(nèi)外的任何人、設(shè)備和應(yīng)用都需要“持續(xù)驗(yàn)證，永不信任”，從而保障企業(yè)辦公的終端安全、鏈路安全和訪問控制安全。正因如此，零信任成為解決混合辦公安全問題的重要技術(shù)手段。

不僅如此，對于企業(yè)和員工來說，零信任最大的價值點(diǎn)在于能夠同時實(shí)現(xiàn)安全和效率，這也是企業(yè)夢寐以求的公司運(yùn)營驅(qū)動雙輪。

作為高效的工具，零信任能讓企業(yè)快速打通身份賬號數(shù)據(jù)，從企業(yè)角度統(tǒng)一對各類終端設(shè)備、身份信息進(jìn)行高效的安全管理，很好地幫助企業(yè)提升安全管理和運(yùn)維的效率；同時，終端用戶也可以通過一個零信任客戶端直連網(wǎng)絡(luò)和應(yīng)用，操作簡易且無感，實(shí)現(xiàn)快速訪問公司內(nèi)部服務(wù)。

事實(shí)上，零信任自2010年由研究機(jī)構(gòu)Forrester提出至今已有12年，在技術(shù)和市場的交替驗(yàn)證下已逐步成熟，被越來越多的企業(yè)積極擁抱。

白皮書調(diào)研數(shù)據(jù)顯示，在了解零信任概念的受訪者中，22.7%的受訪者所在企業(yè)零信任產(chǎn)品已經(jīng)到位，40.2%的受訪者所在企業(yè)零信任項(xiàng)目正在進(jìn)行中，22.3%的受訪者所在企業(yè)零信任項(xiàng)目已經(jīng)計劃好。

圖片來源：騰訊研究院、騰訊安全《2022年混合辦公安全白皮書》

蓄勢已久的零信任，正在成為保障混合辦公安全和效率問題的解藥。

零信任落地按下加速鍵

盡管近年來零信任理念理念在技術(shù)圈非?；鸨捎趪鴥?nèi)外不同的市場環(huán)境，零信任在美國已進(jìn)入規(guī)模化發(fā)展階段，而在中國的落地情況依然不容樂觀。

騰訊安全零信任產(chǎn)品總經(jīng)理?xiàng)钣笤诓稍L中表示，目前零信任在落地過程中面臨多種難題：一是如何適配多樣化終端；二是如何保障異構(gòu)網(wǎng)絡(luò)環(huán)境下的服務(wù)穩(wěn)定性和安全性；三是如何協(xié)同和認(rèn)證分散的身份賬號；四是如何做好最小權(quán)限的授權(quán)和治理；五是如何實(shí)現(xiàn)持續(xù)的威脅防護(hù)。此外，零信任能否和企業(yè)現(xiàn)有安全建設(shè)形成聯(lián)動體系，避免信息安全孤島，也是現(xiàn)實(shí)問題。

值得注意的是，零信任落地從來都不是一蹴而就的事。2011年，谷歌內(nèi)部開始實(shí)施零信任，整整花了6年時間才在企業(yè)網(wǎng)實(shí)現(xiàn)了零信任落地。在國內(nèi)，騰訊是最早實(shí)踐零信任的大型廠商之一，從2016年騰訊開始在公司內(nèi)部實(shí)踐零信任整體的體系建設(shè)，到2019年騰訊將內(nèi)部實(shí)踐對外輸出形成商業(yè)版iOA零信任安全管理系統(tǒng)，也歷經(jīng)了4年時間。

但肉眼可見，零信任落地步伐在加速。以騰訊零信任iOA為例，推出幾年之內(nèi)已廣泛應(yīng)用于金融、地產(chǎn)、物流、教育、工業(yè)等十大行業(yè)、數(shù)百家企業(yè)。就在今年早些時候，騰訊iOA的部署終端突破了100萬，成為國內(nèi)首個落地百萬的零信任產(chǎn)品，從市場需求側(cè)證明了零信任在國內(nèi)的成熟和規(guī)?；涞亍?/p>

以混合辦公為代表的遠(yuǎn)程訪問場景，正是國內(nèi)零信任落地的最佳切入口。

高燈科技作為騰訊iOA第一百萬端的客戶，在2020年疫情期間，他們使用的傳統(tǒng)VPN無法支撐激增的遠(yuǎn)程辦公需求，并且高危漏洞頻發(fā)。部署騰訊iOA之后，高燈科技實(shí)現(xiàn)了終端安全一體化，增強(qiáng)了合規(guī)基線的檢測和數(shù)據(jù)安全的管控能力，保證了公司業(yè)務(wù)穩(wěn)定、高效地進(jìn)行。

高燈科技副總裁兼安全負(fù)責(zé)人莫曉盛在采訪中表示，如果按照傳統(tǒng)方式需要部署多家廠商的安全產(chǎn)品，但是騰訊iOA作為一個綜合性安全平臺帶來了一整套的防病毒、終端安全管控、VPN轉(zhuǎn)入、數(shù)據(jù)防泄露等功能，“一個運(yùn)維人員就可以管理多個平臺和系統(tǒng)，防護(hù)效果還比傳統(tǒng)部署方式要好”。

事實(shí)上，和高燈科技面臨同樣困境的政企機(jī)構(gòu)不在少數(shù)。自疫情持續(xù)爆發(fā)以來，混合辦公就成為國內(nèi)政企機(jī)構(gòu)業(yè)務(wù)運(yùn)轉(zhuǎn)的常態(tài)，從而使得零信任的發(fā)展迎來了新的分水嶺。

在這個過程中，騰訊安全也一直在思考如何讓零信任更好的落地。

楊育斌表示，零信任已經(jīng)進(jìn)入了2. 0時代，無論是在事前、事中、事后，都需要對訪問的主體、客體以及環(huán)境進(jìn)行持續(xù)監(jiān)控和防護(hù)，基于各維度風(fēng)險進(jìn)行實(shí)時響應(yīng)，實(shí)現(xiàn)持續(xù)自適應(yīng)風(fēng)險與信任一體化機(jī)制，即“自適應(yīng)零信任階段”。因此，零信任解決方案需要在“接、防、管、控”層面做到一體化。

在此背景下，騰訊安全重磅發(fā)布了全新升級的零信任安全管理系統(tǒng)——騰訊零信任iOA7. 0 版本。據(jù)了解，騰訊零信任iOA7. 0 在可信接入、威脅防護(hù)、安全管理、風(fēng)險控制及全平臺覆蓋等維度上實(shí)現(xiàn)了煥新升級，提升了接入安全性和效率，打造了立體防御體系，實(shí)現(xiàn)多平臺終端全管控和XDR全程聯(lián)動響應(yīng)。

此外，騰訊零信任iOA7. 0在平臺覆蓋上也提升了產(chǎn)品自適配度，有效支持企業(yè)設(shè)備和自帶設(shè)備。這也很好地解決了零信任落地的另一個關(guān)鍵問題，即多廠商的產(chǎn)品異構(gòu)，讓企業(yè)很難將零信任與現(xiàn)有安全設(shè)備聯(lián)動起來，并避免企業(yè)IT投資的浪費(fèi)。

為此，騰訊牽頭聯(lián)合生態(tài)伙伴共同推動零信任的行業(yè)標(biāo)準(zhǔn)化。目前，騰訊零信任標(biāo)準(zhǔn)工作組制定的接口標(biāo)準(zhǔn)，已實(shí)現(xiàn)了同18個行業(yè)安全廠商的對接。接口標(biāo)準(zhǔn)化促進(jìn)了企業(yè)安全辦公體系的融合，進(jìn)一步優(yōu)化了辦公體驗(yàn)，也讓零信任的落地變得更加容易。

結(jié)語

后疫情時代，混合辦公模式已成為企業(yè)新的競爭力來源，安全和效率作為混合辦公模式下的必備能力項(xiàng)，為企業(yè)IT建設(shè)提出了新的挑戰(zhàn)，而零信任無疑是解決混合辦公安全和效率問題的最佳解藥。如今，零信任正在跨越鴻溝進(jìn)入主流市場。

生成海報

免責(zé)聲明：本網(wǎng)站內(nèi)容主要來自原創(chuàng)、合作伙伴供稿和第三方自媒體作者投稿，凡在本網(wǎng)站出現(xiàn)的信息，均僅供參考。本網(wǎng)站將盡力確保所提供信息的準(zhǔn)確性及可靠性，但不保證有關(guān)資料的準(zhǔn)確性及可靠性，讀者在使用前請進(jìn)一步核實(shí)，并對任何自主決定的行為負(fù)責(zé)。本網(wǎng)站對有關(guān)資料所引致的錯誤、不確或遺漏，概不負(fù)任何法律責(zé)任。任何單位或個人認(rèn)為本網(wǎng)站中的網(wǎng)頁或鏈接內(nèi)容可能涉嫌侵犯其知識產(chǎn)權(quán)或存在不實(shí)內(nèi)容時，應(yīng)及時向本網(wǎng)站提出書面權(quán)利通知或不實(shí)情況說明，并提供身份證明、權(quán)屬證明及詳細(xì)侵權(quán)或不實(shí)情況證明。本網(wǎng)站在收到上述法律文件后，將會依法盡快聯(lián)系相關(guān)文章源頭核實(shí)，溝通刪除相關(guān)內(nèi)容或斷開相關(guān)鏈接。