導(dǎo)讀:連接是互聯(lián)網(wǎng)的本質(zhì)之一,而由此衍生出的遠(yuǎn)程桌面技術(shù),或者說筆者較為關(guān)心的遠(yuǎn)程運維領(lǐng)域,則成為了作為互聯(lián)網(wǎng)的重要應(yīng)用。而這正是顯著體現(xiàn)互聯(lián)網(wǎng)“雙刃劍”屬性的地方之一,我們這里就以遠(yuǎn)程運維管理為核心,探討企業(yè)面對這把雙刃劍應(yīng)該如何構(gòu)建成熟合理的安全策略和體系。
過去的30年,是中國互聯(lián)網(wǎng)高速發(fā)展的30年。
在這30年中,上至社會進(jìn)步、文明發(fā)展,下至衣食住行、就醫(yī)求學(xué),方方面面皆因互聯(lián)網(wǎng)技術(shù)的發(fā)展而獲得了足夠多的正面賦能??梢赃@樣說,我們今天的生活如此便捷,生產(chǎn)力提升如此巨大,社會進(jìn)步如此顯著,與互聯(lián)網(wǎng)技術(shù)是分不開的。
但是,凡事皆有兩面,互聯(lián)網(wǎng)相關(guān)技術(shù)也是一柄雙刃劍。這一端是高效、高生產(chǎn)力,而另一端則有涉及個人及企業(yè)隱私信息的網(wǎng)絡(luò)新信息安全之虞。近年來頻發(fā)的網(wǎng)絡(luò)安全事故和勒索病毒事件便是佐證。
連接是互聯(lián)網(wǎng)的本質(zhì)之一,而由此衍生出的遠(yuǎn)程桌面技術(shù),或者說筆者較為關(guān)心的遠(yuǎn)程運維領(lǐng)域,則成為了作為互聯(lián)網(wǎng)的重要應(yīng)用。而這正是顯著體現(xiàn)互聯(lián)網(wǎng)“雙刃劍”屬性的地方之一,我們這里就以遠(yuǎn)程運維管理為核心,探討企業(yè)面對這把雙刃劍應(yīng)該如何構(gòu)建成熟合理的安全策略和體系。
遠(yuǎn)程=不安全?很大程度上源于歷史與誤解
遠(yuǎn)程控制、遠(yuǎn)程協(xié)助之所以在潛意識里讓大家覺得不安全,很大程度上源于曾經(jīng)發(fā)生過的一些網(wǎng)絡(luò)安全事故,這些事故的前因后果網(wǎng)絡(luò)上都搜索得到,這里就不贅述了。不可否認(rèn)的是,這些事故確乎讓人們對遠(yuǎn)程控制、遠(yuǎn)程運維這些領(lǐng)域產(chǎn)生了不小的誤解。
但追根溯源,這些事故發(fā)生的核心源于往往并非遠(yuǎn)程控制技術(shù)如何如何,而在于彼時相關(guān)人員和企業(yè)的安全意識淡薄。如今,遠(yuǎn)程控制所涉及的相關(guān)通信加密技術(shù)以及相當(dāng)完善,黑客想通過正面強攻的方式突破安全屏障制造網(wǎng)絡(luò)安全事故的可能性大大降低,規(guī)范合理的使用遠(yuǎn)程桌面技術(shù)是相當(dāng)安全。
當(dāng)然,墻高池深并不意味著絕對的安全,很多網(wǎng)絡(luò)攻擊其實是光明正大的從“大門”溜達(dá)進(jìn)去的,原因就在于密碼的無意泄露,相關(guān)人員安全意識不強等等。
因此,我們沒有必要在涉及安全時一味地對遠(yuǎn)程控制技術(shù)持否定態(tài)度,遠(yuǎn)程控制技術(shù)在運維管理等領(lǐng)域的優(yōu)勢顯而易見,安全與效率的兩全其美是完全可以做到的。技術(shù)永遠(yuǎn)不會是洪水猛獸,對于安全上的擔(dān)憂,我們應(yīng)當(dāng)從構(gòu)建體系和整體策略入手辯證的看待,一旦陷入“遠(yuǎn)程=不安全”的偏執(zhí),可能會即得不到效率的提升,也做不到全面的安全。
那么站在企業(yè)運維管理者的角度,我們應(yīng)該如何構(gòu)建一個合理完善的遠(yuǎn)程運維安全管理體系呢?
構(gòu)建遠(yuǎn)程運維安全管理策略的幾個要點
在筆者看來,企業(yè)在構(gòu)建遠(yuǎn)程運維方面,乃至于整體的企業(yè)信息安全策略時,應(yīng)當(dāng)注重以下幾個要點,首先是針對整體的企業(yè)信息安全的:
●強化安全意識,杜絕無意泄露
前文提到過,許多信息安全事故的發(fā)生源于安全意識的薄弱,因此強化企業(yè)內(nèi)部人員的信息安全意識尤為重要。對此企業(yè)可以定期在內(nèi)部進(jìn)行信息安全培訓(xùn),提升相關(guān)人員的敏感性。
●設(shè)置硬性安全門檻,補全內(nèi)部規(guī)章制度
安全意識的種子種下后,還需要對應(yīng)的制度進(jìn)行強化。對此,企業(yè)可以制訂一系列的規(guī)章制度,比如規(guī)定公司設(shè)備訪問密碼必須使用強密碼、限定網(wǎng)絡(luò)中主體所需最小特權(quán)等等。
●定期進(jìn)行安全篩查,及時修復(fù)系統(tǒng)漏洞
為了防止過久不更新的系統(tǒng)被簡單入侵,定期的進(jìn)行安全篩查,更新并修復(fù)系統(tǒng)漏洞也十分重要,同時企業(yè)應(yīng)當(dāng)建立嚴(yán)格執(zhí)行的數(shù)據(jù)備份與恢復(fù)方案,確保敏感數(shù)據(jù)的安全性。
●采用安全可靠的商用解決方案
在業(yè)務(wù)的解決方案上,選擇可靠的,有安全保障的,成熟的商用解決方案。
此外,針對遠(yuǎn)程運維這個環(huán)節(jié)本身,下面的要點也值得注意:
●制定明確的流程規(guī)范,強化遠(yuǎn)程運維追溯能力
●選擇安全相關(guān)技術(shù)過硬,值得信賴的遠(yuǎn)程控制工具
可以看出,無論是企業(yè)本身的信息安全保障,還是涉及業(yè)務(wù)層面的遠(yuǎn)程運維管理,除了規(guī)范化的管理之外,商用解決方案本身所處的位置也十分重要,使用一款安全可靠的遠(yuǎn)程控制解決方案方可在業(yè)務(wù)和安全上兩全其美。
怎樣的遠(yuǎn)程控制解決方案才算“安全”
說了那么多,那么怎樣的遠(yuǎn)程控制解決方案對于企業(yè)來說才說的上安全呢?
首先,要有過硬的技術(shù)支撐,有權(quán)威的機構(gòu)背書,不能被技術(shù)手段輕易攻破;第二,方案本身的安全策略和手段要足夠豐富,能夠融入企業(yè)整體的網(wǎng)絡(luò)信息安全體系。
從這兩個方面來看,貝銳旗下國產(chǎn)專業(yè)遠(yuǎn)程控制品牌“向日葵遠(yuǎn)程控制”(下簡稱“向日葵”)所推出的一系列商用遠(yuǎn)程控制產(chǎn)品是十分合適的,作為遠(yuǎn)程運維的載體,“向日葵”在業(yè)內(nèi)耕耘了十余年,品牌創(chuàng)立之初立意于“陽光下的遠(yuǎn)程控制”,可見其對于安全的重視,頗有撥云見日的決心,發(fā)展至今也始終秉持著初期的理念,成為了國產(chǎn)軟件中的翹楚。
而在方案本身的安全策略方面,向日葵也考慮的足夠全面:
●多因子安全,登錄防范
可創(chuàng)建IP、時間段黑白名單庫,僅允許授權(quán)的地址及時間段遠(yuǎn)控,未知連接將會被自動拒絕;基于條件的登錄,可單獨或疊加驗證MAC地址、IP及時間段,防止因帳號密碼泄露導(dǎo)致運維身份冒用。
●異地登錄提醒,防范帳號丟失
為了保護(hù)帳號安全,當(dāng)判斷到帳號在異地登錄,發(fā)出告警,提醒用戶確認(rèn)登錄安全;可開啟新設(shè)備登錄驗證,檢測到新設(shè)備登錄時,需要管理員進(jìn)行二次確認(rèn),僅有受信任的設(shè)備才可登錄。
●設(shè)置告警策略,實時接收告警
可自由配置企業(yè)的告警策略,告警信息及時推送給指定告警對象,避免因消息滯后導(dǎo)致設(shè)備異常未能及時處理。
●安全審計,職責(zé)追蹤
準(zhǔn)確記錄遠(yuǎn)控時間,操作的時間與行為確保發(fā)生安全事件時可有效追溯;可查看帳號的登錄時間,登錄地點以及在什么平臺登錄,判斷帳號是否存在安全問題
而在安全技術(shù)方面,向日葵數(shù)據(jù)傳輸采用最高級加密標(biāo)準(zhǔn)AES 256位對稱加密及RSA 2048位非對稱加密,實現(xiàn)用戶資料、會話的多重加密保護(hù)。
同時,向日葵系列產(chǎn)品和服務(wù)已經(jīng)通過國家公安部信息系統(tǒng)安全等級保護(hù)三級認(rèn)證、WHQL微軟徽標(biāo)認(rèn)證、ISO9001質(zhì)量管理體系認(rèn)證和ISO27001信息安全管理體系認(rèn)證,并相繼獲得“中國遠(yuǎn)程控制行業(yè)用戶放心品牌”、“中國軟件技術(shù)最佳解決方案”、“中國智慧辦公產(chǎn)業(yè)最佳產(chǎn)品”等榮譽,得到廣大用戶及專業(yè)組織認(rèn)可。