群里消息一条接着一条，不敢不看，但每条都看不但耽误时间，最后发现和自己有关系的并没几条；开//会议只能靠隔空比划，但是还是不知道对方在说什么，因为不能远程协作站到对方视角观看......
　　虽说疫情阻挡了我们复工的脚步，但并没有阻挡各种远程办公软件席卷而来的热情，能让我们最终选择一款软件的理由，除了协同方便、使用简洁以外，对于数据安全加密也是选择的一大因素。
　　不看不知道，原来我们在远程办公的时候有这么多潜在的安全风险，快来看看你有没有中招？
　　01
　　客户端安全风险
　　客户端面临的安全风险主要由网络层防护缺乏，不安全的软件环境（包括基础软件和办公应用软件），身份窃取和伪造，敏感数据存储等原因造成。今天我们着重看看以下两个方面：
　　远程网络层风险
　　对于家庭场景来讲，远程网络层面临的风险主要是：家用路由器缺乏企业级防火墙的威胁防护能力，比如病毒、木马、后门的检测和阻断能力。
　　远程软件环境风险
　　这个可以先举个例子：
　　CVE-2019-11932：A double free vulnerability in the DDGifSlurp function in decoding.c in the android-gif-drawable library before version 1.2.18, as used in WhatsApp for Android before version 2.19.244 and many other Android applications, allows remote attackers to execute arbitrary code or cause a denial of service when the library is used to parse a specially crafted GIF image
　　简单点说，例子表述的就是攻击者只需要知道受害者电话号码，通过 WhatsApp 向他发送恶意设计的 GIF 文件，就可以在受害者设备上静默安装后门，影响 iOS/Android 多个版本。
　　所以，对于远程软件环境来说，个人使用的移动设备（iOS/Android/Win/Mac/Linux等）， 他们都缺乏企业端安全管控能力，而且会有家庭成员共享账号和电脑的可能，有的设备还会被安装流氓、木马软件。 　　02
　　数据传输安全风险
　　对于用户侧而言，家庭或公共场所有不安全的网络接入，或者客户端使用非加密或有漏洞的协议，都会存在风险。
　　对于服务侧来说，服务端不安全的加密协议配置，以及不安全的 CDN 都会存在数据传输的安全风险。
　　用户侧
　　不安全的网络接入点：公共 WiFi 和钓鱼 WiFi。
　　不安全的协议有：HTTP 明文，未禁用 SSL3/TLS1.0，可能导致的中间人攻击（比如使用老版本浏览器）。
　　服务侧
　　服务端协议的不正确配置，如 SSL3/TLS1.0。
　　不安全的第三方服务，CDN：不安全的运维导致敏感内容泄漏。
　　03
　　服务端安全风险
　　包括数据泄露、数据篡改、数据丢失三个方面。
　　数据泄漏
　　数据泄露问题主要分以下几个方面：基础架构的安全问题，包括 OS 和中间件；业务安全漏洞，包括应用和 API。
　　此外，还存在研发流程缺乏管控，比如在运维的过程中，缺乏审计和管控，剩余数据处理方式存在漏洞。研发的测试环境和日志存在漏洞。
　　数据篡改
　　对于数据篡改主要包括业务逻辑错误，如代码逻辑错误导致的 Bug，以及恶意篡改，如业务安全漏洞（CSRF 等）。
　　数据丢失
　　常见的有业务数据未做备份，导致了数据丢失。
　　此外还有 BCM（Business Continuity Management）计划不完善，如无异地灾备，RTO（Recovery Point Objective）太长，RPO（Recovery Time Objective）太长等。
　　所以对于小伙伴们来说，人在家中坐，安全问题还是会从网络中来，对于远程办公模式下如何保障数据安全，如何才能保障我们以及公司的利益，字节跳动飞书安全与合规技术总监李鸣雷有话说。