远程办公已经成为未来不可或缺的一部分IT战略，前员工的现场工作时代似乎越来越远。随着疫情的爆发，IT industry很快学会了如何支持和管理全球的劳动力和客户群，远程办公也可以作为一种长期的IT策略来实施。
远程办公羊小咩额度怎么套取出来?羊小咩逾期几天上征信?

因此，企业应该了解未来的远程办公和混合办公模式，并制定相关政策。

制定企业总部的IT安全策略，与远程员工的信息安全相比，是一个非常不同的思路。从安全角度来看，在为总部设计战略时，需要考虑更多的变量。举个例子，以前 IT 可以很容易地监控传入的 IP 地址作为登录凭证的起点，但是现在，如果用户不通过公司 VPN 连接，就很难再做到这一点。因此，许多企业决定首先为远程员工制定安全策略。问题是，如何在不影响工作效率的情况下，为远程员工建立一个安全的基础。

为此，IT 部门可以部署零信任策略。零信任假设用户、设备、网络等资源不可信，用户必须验证身份或满足处于安全状态的条件，才能访问所需的资源。

在零信任部署的初始阶段，企业可以采用条件访问策略，该策略规定用户只有通过特定验证条件后才能访问 IT 资源，这些资源与用户已经通过凭证授权访问的内容无关，相当于在现有 IT 环境基础上增加了一层防护。条件访问策略包含以下三个关键因素：

• 验证用户身份
• 验证可信设备
• 验证用户是否连接到许可网络

下面将分别介绍条件访问的三大要素。

1. 验证用户身份

验证用户身份是确保远程访问安全的首要步骤，除了强密码之外还可以使用条件访问管理所有形式的凭证控制工具，包括多因素认证（MFA）。

在凭证泄露的情况下，MFA 是抵御网络钓鱼攻击的有力武器，可以防止黑客从任意位置利用凭据。然而，有些企业认为如果可以验证用户的网络位置可能就不需要强制实施额外的安全层，这时也可以使用条件访问强制远程员工输入 MFA 凭证，现场办公的员工可以直接跳过。

企业还可以对需要访问企业资源的特定组要求实施多因素认证 MFA。例如，客户服务团队只需要用邮件和客户沟通，所以可以跳过 MFA 提示直接访问设备，而其他部门员工都必须在设备上使用 MFA 保护业务中的关键软件或系统。

2. 验证可信设备

要确保员工只能从公司安全设备访问资源可以使用设备信任组件。当用户从可信设备访问资源时，IT 部门可以设置策略，减少 MFA 的提示次数；使用自带设备（BYOD）等不可信设备时则会触发条件访问策略。

条件访问还可以防止员工从不可信设备访问公司资源，IT 部门可以设置策略规定哪些设备可以访问哪些公司资源。对于不可信设备，员工只能检查邮件，没有其他访问权限。

由于现在几乎所有设备都可以访问邮件和网页，企业 IT 部门可以利用好条件访问根据公司相关政策对设备和访问权限进行适当管控。

3. 验证网络

条件访问策略的最后一个要素是网络信任策略。鉴于远程办公在未来很有可能会常态化，确保员工的网络安全也是必不可少的一步。

1）通过白名单 IP 识别网络信任

建立网络信任最安全的方法是使用已知的 IP 地址列表允许员工通过家庭网络或使用 VPN 访问企业资源。通过网络信任策略，企业可以防止员工在公共网络等不可靠网络上访问敏感资源，而连接家庭网络或 VPN 的员工可以获取完整的访问权限。

但在具体实践中，一旦远程用户群扩张到一定程度，或者员工的办公场所产生更多变化，网络信任也会给管理带来困难。所以，上述保护网络信任的方法对于小型企业或远程员工数量固定的企业来说更有效果。当员工连接到安全的许可网络时，网络信任可作为部分条件，放宽用户的访问认证。