近年来,随着远程办公、跨国协作需求的激增,企业对虚拟专用网络(VPN)技术的依赖日益加深,2023年某知名房地产集团——万达集团被曝使用非法或非授权的“VPN”进行内部网络访问后,引发了业界对数据安全、合规风险及IT治理的广泛讨论,这一事件不仅暴露了部分企业在网络安全管理上的漏洞,也敲响了警钟:企业不能将“便捷”凌驾于“合规”之上。
需要明确什么是“万达VPN”,这里的“万达VPN”并非指万达集团自建的合法企业级加密通道,而是指其员工在未获得公司正式批准的情况下,私自使用第三方开源或商业类VPN工具(如OpenVPN、WireGuard等),绕过防火墙、访问境外服务器或规避内网策略的行为,这类行为通常出于两个目的:一是为获取境外资源(如国际新闻、学术数据库、海外视频平台等);二是为了在异地办公时实现快速连接总部网络。
从技术角度看,这种“私搭乱建”的做法存在严重安全隐患,第一,缺乏统一管理的客户端配置容易导致证书泄露、密码明文传输等问题,一旦被攻击者利用,整个内网可能面临渗透风险;第二,未经过审计的日志记录使得安全事件无法追溯,违反了《中华人民共和国网络安全法》第21条关于“网络运营者应当建立网络安全监测预警和信息通报制度”的要求;第三,若员工通过非法代理访问敏感系统(如财务、人事数据库),极易引发数据泄露,造成重大经济损失甚至法律纠纷。
更深层次的问题在于企业管理层对IT治理的忽视,许多企业虽然部署了基础防火墙、终端防护软件,但并未建立完善的访问控制策略和用户行为分析机制,是否允许员工使用特定类型的外联工具?是否对异常流量(如大量跨境访问)设置告警阈值?这些问题在“万达VPN”事件中均未得到妥善回应,该事件曝光后,万达方面虽表示正在排查相关问题并加强员工培训,但外界普遍认为,这反映出其在“零信任架构”落地方面的滞后——即默认所有用户和设备都是不可信的,必须持续验证身份和权限。
此类事件也暴露出监管政策执行不到位的问题,我国对跨境数据流动有严格规定,尤其是涉及金融、医疗、能源等行业,若企业因“方便”而绕过合规流程,可能触犯《数据安全法》第30条关于“重要数据处理者应向主管部门申报数据出境”的条款,面临行政处罚甚至刑事责任。
对此,建议企业采取三步走策略:一是制定清晰的IT使用规范,明确禁止未经授权的网络接入方式;二是引入SIEM(安全信息与事件管理系统)实时监控网络行为,识别潜在威胁;三是定期开展红蓝对抗演练和员工安全意识培训,让合规成为企业文化的一部分。
“万达VPN”事件不是孤立个案,而是中国企业数字化转型过程中必须面对的现实挑战,唯有将安全意识融入日常运维,才能真正构建起可信、可控、可管的企业网络环境。
