2022混合办公安全白皮书：以万全应万变，从持续验证到持续保护

混合办公是数字科技发展、外部不确定性增强、人才 国际化和组织降本增效等多方面因素共同推动形成，其中安全成为最受关注的核心问题之一。我们希望《2022 年混合办公安全白皮书》中研究提出的 5 大安全要素和安全成熟度模型，来帮助企业更清楚的定位自身在混合办公安全领域的发展水平，以及持续发展和优化的方向。腾讯研究院院长腾讯安全副总裁混合办公可能带来新的安全风险，需要企业和员工着手重新建立新的安全意识、安全机制、安全壁垒；采取新的工具和理念来监督访问控制，确保企业和员工的数据、网络、终端安全可信。腾讯基于自身最佳实践，以腾讯 iOA 零信任安全解决方案为基础，致力于帮助企业实现终端在任意网络环境中安全、稳定、高效的访问企业资源及数据。司晓方斌 顾问丁珂、司晓、方斌、杨光夫、刘若潇、黄李明腾讯研究院刘琼、 翟尤、白惠天、陈维宣、王焕超、袁媛、王鹏、徐思彦、徐一平腾讯安全程文杰、杨育斌、王未来、李国民腾讯企业IT部蔡晨、蔡东赟、王冠楠、蔡晓萍、仇瑞晋腾讯公关部王成、邱春龙、王冠梓、刘玲腾讯市场部付蓉洁、康雨辰 前言2020 年以来，全球每一个组织和员工，都面临着工作方式的巨大改变。在新冠疫情的影响下，传统的集合式物理办公模式受阻。我们正处于一个颠覆性趋势关口—由传统的办公模式转为远程办公模式，再由远程办公模式转为混合办公模式。在混合办公模式下，员工可以根据所在地疫情防控的变化，灵活选择在何地办公。这一过程中，企业和员工也经历了一个适应期，从最早的手足无措，过渡到了有选择性地进行混合办公模式。然而，在混合办公模式之下，如何应对安全问题、消除安全盲区，保障员工的工作效率和企业的经济效益，已经成了最大的关注重心。所有企业需要不断地探索如何构建更稳固的组织架构和工作运营模式，进而增强企业的韧性和自身安全防护能力。尤其是随着云计算、大数据等技术广泛应用，企业原有的网络边界逐渐模糊；加上混合办公模式不同于以往集体物理的办公空间，相关人员自身的身份安全也不能被实时确认，身份被盗取或者劫持的可能性大大增加。因此，需要企业和员工着手重新建立新的安全意识、安全机制、安全壁垒；采取新的工具和理念来监督访问控制，确保企业和员工的数据、网络、终端安全可信。为此，腾讯研究院联合腾讯安全，以企业员工为研究对象，制作调查问卷并有效收回 3788 份，围绕企业员工在混合办公模式下，对于安全与效率等看法，进行数据分析和解读。同时，我们总结出了 i-DEAN 五大混合办公安全要素，帮助企业更好地理解和梳理混合办公安全所涵盖的领域和内容。我们进一步建立了一套评估混合办公安全成熟度的模型，帮助企业评估自身混合办公安全的成熟度，指导企业根据自身情况，针对具体的混合办公安全维度进行补齐和发展。 报告十大核心观点 一、混合办公发展历程( 一 ) 工具萌芽和概念提出阶段( 二 ) 工具丰富化和小范围流行阶段( 三 ) 大范围加速流行的快速发展阶段 二、混合办公驱动因素分析 ( 一 ) 外部显性因素：科技变革和疫情倒逼( 二 ) 深层次隐形因素：全球不确定性与人才国际化 三、混合办公趋势展望 ( 一 ) 混合办公是人类办公模式的历史性演进和迭代( 二 ) 混合办公已然流行，但仍有很大的增长空间 四、混合办公安全日益成为重要焦点 ( 一 ) 在混合办公模式下，安全是重要关注点( 二 ) 企业在混合办公模式下对安全的认知和保障普遍不足( 三 ) 网络攻击规模化与攻击门槛降低 CONTENTS目录060607080910120415182006081015 五、混合办公安全5大关键要素( 一 ) i-DEAN 5 大要素 ( 二 ) 混合办公安全成熟度的模型( 三 ) 混合办公成熟度模型实践 六、零信任体系正在成为解决混合办公安全的重要手段 ( 一 ) 零信任概念综述( 二 ) 零信任在混合办公场景下的作用体现七、腾讯零信任应用实践( 一 ) 腾讯 iOA 应用实践( 二 ) iOA 优势( 三 ) 腾讯零信任产品如何助力混合办公安全 ( 四 ) 腾讯零信任产品助力混合办公安全成熟度 八、结束语九、腾讯零信任在混合办公安全领域的落地案例2126344142434636392136414850 04以♰全应♰变➢持絯낉霆到持絯保䫡混合办公是科技发展、工具丰富、外部不确定性增强、人才国际化和对办公效率的追求等多方面因素共同推动形成。报告十大核心观点63.8% 的受访者认为，混合办公不只是疫情下的短暂过渡，而是人类办公模式的历史性演进和迭代。混合办公，是未来已来的新的工作模式、是新的企业生存策略和竞争战略。所有致力于未来竞争的企业，都将向混合办公模式迁移，先行者将享有先发优势。企业管理者须从根本上重新审视和设计企业的运作模式，制定能够赋予员工极大灵活性的计划。 混合办公模式下，安全和效率成为最受关注的核心问题。受访者把安全（68.3%）排在了混合办公中第二重要的要素，仅次于效率（82.6%）。当前，企业在混合办公模式下安全能力不足。86.6% 的受访者表示，企业对混合办公安全要求和规范指导不充分或无相关指导；74.6% 的受访者认为其所在企业的混合办公模式不成熟。12345 05 2022䎃混合办公安全白皮书混合办公仍有较大的增长空间，83.8% 员工对混合办公这一新办公模式表示非常支持，73% 的员工表示混合办公带来了效率提升。自下而上的支持认同将推动混合办公模式持续快速发展，企业混合办公模式的应用范围和频率将在未来若干年持续提升。零信任理念在企业安全领域拥有巨大潜力。65.8% 的受访者认为，未来零信任会在企业安全领域发挥更大的作用。混合办公安全应包含 5 大要素：身份安全、数据安全、设备安全、应用安全、网络安全，被称为 i-DEAN 混合办公安全 5 要素，其中身份安全是核心。混合办公安全成熟度评价模型由 6 个维度组成：架构设计、业务契合度、规章制度、团队配备、技术工具、运营迭代。通过对每个维度从低到高 1-5 打分和加权相加，可以评估企业混合办公安全的成熟度水平。效率、安全与合规是企业对零信任的核心期待。企业决定是否启动零信任安全管理程序的关键因素中，排名最高的3 项分别是：加强安全 / 数据保护（50.7%）、提升业务效率（45.5%）、减少端点和物联网安全威胁（39.1%）。678910 06以♰全应♰变➢持絯낉霆到持絯保䫡(一)工具萌芽和概念提出阶段2006 年，美国 Google 公司推出了测试版在线协作型文档工具 Google Docs（1），旨在解决不同员工通过不同设备对同一文档对象进行协作。2009 年，英特尔公司提出 BYOD（Bring Your Own Device）概念。BYOD 指的是携带自己的设备（这里提到的设备最初为 PC 和笔记本电脑，后续也随着科技发展，加入了手机、平板电脑等（2）），在办公室内或办公室外不固定的地点进行办公。这个时期混合 办公主要以“远程办公”的形态进行呈现，可以视作混合办公的萌芽期。(二)工具丰富化和小范围流行阶段移动互联网时代的来临，让办公设备日益多元化，连接效率大幅提升，而知识经济的发展使得以互联网行业为代表的知识密集型产业对沟通、协作的需求急速增加。美国与中国市场纷纷涌现了大量的线上办公和协同办公产品，以及对应的信息安全产品。混合办公的概念在以互联网行业、咨询行业为代表的知识密集型行业间开始普及。在海外，2013 年远程会议软件 Zoom 上市；同年，线上协作工具 Slack 上线。在国内，2014 年腾讯推出企业微信，同时市场上诞生大量协同办公产品，例如在线文档领域的石墨文档、一、混合办公发展历程 07 2022䎃混合办公安全白皮书腾讯文档；在信息安全领域，各类公司和工具也陆续出现，例如主打移动安全的指掌易，360 公司“天机”系列等；移动设备管理 (MDM)、移动应用的管理 (MAM)、移动文档内容的管理 (MCM)、邮件安全管理 (MEM) 和对 IM 管理 (MIM) 工具产品也持续诞生。在其他领域如合同领域，也出现上上签等公司，整体来说在这一时期，混合办公相关的工具开始快速丰富化。 (三)大范围加速流行的快速发展阶段新冠疫情导致通勤和日常交通的不确定性和高昂的成本代价，影响了几乎所有的行业。从而使得混合办公跳出了原有的知识密集型行业，在推动几乎所有的行业，例如金融、教育、文化传媒、公共服务（政府、事业单位）开始加速普及。在美国，2020 年 5 月，Twitter 首席执行官宣布：可以选择永久居家办公，即使是疫情结束之后。（3）2021 年 5 月，谷歌宣布将进行混合工作周，办公室工作和远程办公并行。（4）同年6 月，亚马逊宣布将为员工提供更加灵活的工作选择，包括增加在家办公的选项，每周在办公室工作三天，两天在家工作，具体日期因团队而异。（5）Uber 推出灵活混合工作模式，员工可以选择 50% 时间在办公室工作，50% 时间居家办公。（6）在中国，2020 年，国家发改委等 13 部门联合印发《关于支持新业态新模式健康发展激活消费市场带动扩大就业的意见》明确提出，当前各企业应该鼓励发展便捷在线办公，支持推广远程办公应用，开发安全可靠的远程协同办公工具。腾讯会议自 2019 年底推出以来，用户量和参会量激增，从几千人到上线两周年用户数已超过 2 亿。截至 2021 年底，腾讯会议用户参会次数已超过 40 亿次，覆盖国家和地区超过 220 个。(7)目前，混合办公已经成为中国社会的新常态之一。 08以♰全应♰变➢持絯낉霆到持絯保䫡混合办公形成驱动因素分为显性以及隐性两类二、混合办公驱动因素分析(一)外部显性因素：科技变革和疫情倒逼在发展初期，混合办公主要是由科技变革带动。这一时期由个人电脑的快速发展带来的电脑软件开发热潮，使得更多的线上协作办公成为可能，且工作也不再依赖于特定的公司电脑设备。之后由于移动互联网的快速发展，在此浪潮中混合办公所需的各类应用在智能手机上应运而生，随着软件与云计算的驱动，数字工具开始大量使用，为混合办公提供了技术支撑，例如企业微信、腾讯会议等工具正在缩小同步沟通的鸿沟，这些工具在虚拟环境中重塑了全新的办公体验。这两个阶段，其实都是以科技为驱动力，在为真正的混合办公大浪潮作积累和铺垫。在当前时期，混合办公的发展由外部因素推动。疫情作为突发事件，将混合办公的应用率在各行各业大幅拉升，前期的各类能为混合办公所用的软件、技术、工具，配合智能手机、手提电脑和平板，在混合办公模式下被大幅使用，成就了混合办公的浪潮。Gartner 分析师甚至认为，疫情让混合办公趋势加快5-10 年到来。 09 2022䎃混合办公安全白皮书(二)深层次隐形因素：全球不确定性与人才国际化一方面，世界不确定性的增加使得传统办公模式在各类物理风险面前越来越脆弱。从近 10 年来看，在全球范围内，难以预测的“黑天鹅”事件频繁发生。从企业办公模式效率上来看，传统的集中办公模式无法有效应对突发事件。即使许多企业拥有多个城市的分支机构，通常也主要以业务线和职能划分，但当突发事件使得某个城市分部关闭时，公司的某个业务线便可能直接瘫痪。随着远程会议、协同工作软件的发展，远程办公在技术上已经趋向成熟，加上混合办公模式，打破了以往传统工作所建立的工作与生活的边界，作为一种人力资源管理创新的弹性工作制，在物理空间及公司设备上都具有灵活性，可以很大程度应对突发事件。另一方面人才国际化的持续深化和对办公协作效率的追求。在当前的时代背景下，不同国家的人才之间协作越发紧密。面对彼此之间文化与时差的差异，高效灵活的混合办公模式成为了企业的运营核心。它可以促进同步沟通协作、完成异步协作。还可以记录与同步工具与功能模块。自此，传统物理空间内集中的办公模式不再是唯一的选择。在混合办公模式下，同城员工在效率提升的前提下可以采取办公室办公；需要与其他地区同事协同工作时，这种模式可以打破时间、空间的限制，让不同地区的员工进行高效的远程协作。混合办公模式具有的极致灵活性，可以使员工提升办公协作效率，增强对于工作地点、时间和方式的控制权，企业管理者为实现弹性