技術(shù)
導(dǎo)讀:連接是互聯(lián)網(wǎng)的本質(zhì)之一,而由此衍生出的遠(yuǎn)程桌面技術(shù),或者說(shuō)筆者較為關(guān)心的遠(yuǎn)程運(yùn)維領(lǐng)域,則成為了作為互聯(lián)網(wǎng)的重要應(yīng)用。而這正是顯著體現(xiàn)互聯(lián)網(wǎng)“雙刃劍”屬性的地方之一,我們這里就以遠(yuǎn)程運(yùn)維管理為核心,探討企業(yè)面對(duì)這把雙刃劍應(yīng)該如何構(gòu)建成熟合理的安全策略和體系。
過(guò)去的30年,是中國(guó)互聯(lián)網(wǎng)高速發(fā)展的30年。
在這30年中,上至社會(huì)進(jìn)步、文明發(fā)展,下至衣食住行、就醫(yī)求學(xué),方方面面皆因互聯(lián)網(wǎng)技術(shù)的發(fā)展而獲得了足夠多的正面賦能??梢赃@樣說(shuō),我們今天的生活如此便捷,生產(chǎn)力提升如此巨大,社會(huì)進(jìn)步如此顯著,與互聯(lián)網(wǎng)技術(shù)是分不開(kāi)的。
但是,凡事皆有兩面,互聯(lián)網(wǎng)相關(guān)技術(shù)也是一柄雙刃劍。這一端是高效、高生產(chǎn)力,而另一端則有涉及個(gè)人及企業(yè)隱私信息的網(wǎng)絡(luò)新信息安全之虞。近年來(lái)頻發(fā)的網(wǎng)絡(luò)安全事故和勒索病毒事件便是佐證。
連接是互聯(lián)網(wǎng)的本質(zhì)之一,而由此衍生出的遠(yuǎn)程桌面技術(shù),或者說(shuō)筆者較為關(guān)心的遠(yuǎn)程運(yùn)維領(lǐng)域,則成為了作為互聯(lián)網(wǎng)的重要應(yīng)用。而這正是顯著體現(xiàn)互聯(lián)網(wǎng)“雙刃劍”屬性的地方之一,我們這里就以遠(yuǎn)程運(yùn)維管理為核心,探討企業(yè)面對(duì)這把雙刃劍應(yīng)該如何構(gòu)建成熟合理的安全策略和體系。
遠(yuǎn)程=不安全?很大程度上源于歷史與誤解
遠(yuǎn)程控制、遠(yuǎn)程協(xié)助之所以在潛意識(shí)里讓大家覺(jué)得不安全,很大程度上源于曾經(jīng)發(fā)生過(guò)的一些網(wǎng)絡(luò)安全事故,這些事故的前因后果網(wǎng)絡(luò)上都搜索得到,這里就不贅述了。不可否認(rèn)的是,這些事故確乎讓人們對(duì)遠(yuǎn)程控制、遠(yuǎn)程運(yùn)維這些領(lǐng)域產(chǎn)生了不小的誤解。
但追根溯源,這些事故發(fā)生的核心源于往往并非遠(yuǎn)程控制技術(shù)如何如何,而在于彼時(shí)相關(guān)人員和企業(yè)的安全意識(shí)淡薄。如今,遠(yuǎn)程控制所涉及的相關(guān)通信加密技術(shù)以及相當(dāng)完善,黑客想通過(guò)正面強(qiáng)攻的方式突破安全屏障制造網(wǎng)絡(luò)安全事故的可能性大大降低,規(guī)范合理的使用遠(yuǎn)程桌面技術(shù)是相當(dāng)安全。
當(dāng)然,墻高池深并不意味著絕對(duì)的安全,很多網(wǎng)絡(luò)攻擊其實(shí)是光明正大的從“大門(mén)”溜達(dá)進(jìn)去的,原因就在于密碼的無(wú)意泄露,相關(guān)人員安全意識(shí)不強(qiáng)等等。
因此,我們沒(méi)有必要在涉及安全時(shí)一味地對(duì)遠(yuǎn)程控制技術(shù)持否定態(tài)度,遠(yuǎn)程控制技術(shù)在運(yùn)維管理等領(lǐng)域的優(yōu)勢(shì)顯而易見(jiàn),安全與效率的兩全其美是完全可以做到的。技術(shù)永遠(yuǎn)不會(huì)是洪水猛獸,對(duì)于安全上的擔(dān)憂(yōu),我們應(yīng)當(dāng)從構(gòu)建體系和整體策略入手辯證的看待,一旦陷入“遠(yuǎn)程=不安全”的偏執(zhí),可能會(huì)即得不到效率的提升,也做不到全面的安全。
那么站在企業(yè)運(yùn)維管理者的角度,我們應(yīng)該如何構(gòu)建一個(gè)合理完善的遠(yuǎn)程運(yùn)維安全管理體系呢?
構(gòu)建遠(yuǎn)程運(yùn)維安全管理策略的幾個(gè)要點(diǎn)
在筆者看來(lái),企業(yè)在構(gòu)建遠(yuǎn)程運(yùn)維方面,乃至于整體的企業(yè)信息安全策略時(shí),應(yīng)當(dāng)注重以下幾個(gè)要點(diǎn),首先是針對(duì)整體的企業(yè)信息安全的:
●強(qiáng)化安全意識(shí),杜絕無(wú)意泄露
前文提到過(guò),許多信息安全事故的發(fā)生源于安全意識(shí)的薄弱,因此強(qiáng)化企業(yè)內(nèi)部人員的信息安全意識(shí)尤為重要。對(duì)此企業(yè)可以定期在內(nèi)部進(jìn)行信息安全培訓(xùn),提升相關(guān)人員的敏感性。
●設(shè)置硬性安全門(mén)檻,補(bǔ)全內(nèi)部規(guī)章制度
安全意識(shí)的種子種下后,還需要對(duì)應(yīng)的制度進(jìn)行強(qiáng)化。對(duì)此,企業(yè)可以制訂一系列的規(guī)章制度,比如規(guī)定公司設(shè)備訪問(wèn)密碼必須使用強(qiáng)密碼、限定網(wǎng)絡(luò)中主體所需最小特權(quán)等等。
●定期進(jìn)行安全篩查,及時(shí)修復(fù)系統(tǒng)漏洞
為了防止過(guò)久不更新的系統(tǒng)被簡(jiǎn)單入侵,定期的進(jìn)行安全篩查,更新并修復(fù)系統(tǒng)漏洞也十分重要,同時(shí)企業(yè)應(yīng)當(dāng)建立嚴(yán)格執(zhí)行的數(shù)據(jù)備份與恢復(fù)方案,確保敏感數(shù)據(jù)的安全性。
●采用安全可靠的商用解決方案
在業(yè)務(wù)的解決方案上,選擇可靠的,有安全保障的,成熟的商用解決方案。
此外,針對(duì)遠(yuǎn)程運(yùn)維這個(gè)環(huán)節(jié)本身,下面的要點(diǎn)也值得注意:
●制定明確的流程規(guī)范,強(qiáng)化遠(yuǎn)程運(yùn)維追溯能力
●選擇安全相關(guān)技術(shù)過(guò)硬,值得信賴(lài)的遠(yuǎn)程控制工具
可以看出,無(wú)論是企業(yè)本身的信息安全保障,還是涉及業(yè)務(wù)層面的遠(yuǎn)程運(yùn)維管理,除了規(guī)范化的管理之外,商用解決方案本身所處的位置也十分重要,使用一款安全可靠的遠(yuǎn)程控制解決方案方可在業(yè)務(wù)和安全上兩全其美。
怎樣的遠(yuǎn)程控制解決方案才算“安全”
說(shuō)了那么多,那么怎樣的遠(yuǎn)程控制解決方案對(duì)于企業(yè)來(lái)說(shuō)才說(shuō)的上安全呢?
首先,要有過(guò)硬的技術(shù)支撐,有權(quán)威的機(jī)構(gòu)背書(shū),不能被技術(shù)手段輕易攻破;第二,方案本身的安全策略和手段要足夠豐富,能夠融入企業(yè)整體的網(wǎng)絡(luò)信息安全體系。
從這兩個(gè)方面來(lái)看,貝銳旗下國(guó)產(chǎn)專(zhuān)業(yè)遠(yuǎn)程控制品牌“向日葵遠(yuǎn)程控制”(下簡(jiǎn)稱(chēng)“向日葵”)所推出的一系列商用遠(yuǎn)程控制產(chǎn)品是十分合適的,作為遠(yuǎn)程運(yùn)維的載體,“向日葵”在業(yè)內(nèi)耕耘了十余年,品牌創(chuàng)立之初立意于“陽(yáng)光下的遠(yuǎn)程控制”,可見(jiàn)其對(duì)于安全的重視,頗有撥云見(jiàn)日的決心,發(fā)展至今也始終秉持著初期的理念,成為了國(guó)產(chǎn)軟件中的翹楚。
而在方案本身的安全策略方面,向日葵也考慮的足夠全面:
●多因子安全,登錄防范
可創(chuàng)建IP、時(shí)間段黑白名單庫(kù),僅允許授權(quán)的地址及時(shí)間段遠(yuǎn)控,未知連接將會(huì)被自動(dòng)拒絕;基于條件的登錄,可單獨(dú)或疊加驗(yàn)證MAC地址、IP及時(shí)間段,防止因帳號(hào)密碼泄露導(dǎo)致運(yùn)維身份冒用。
●異地登錄提醒,防范帳號(hào)丟失
為了保護(hù)帳號(hào)安全,當(dāng)判斷到帳號(hào)在異地登錄,發(fā)出告警,提醒用戶(hù)確認(rèn)登錄安全;可開(kāi)啟新設(shè)備登錄驗(yàn)證,檢測(cè)到新設(shè)備登錄時(shí),需要管理員進(jìn)行二次確認(rèn),僅有受信任的設(shè)備才可登錄。
●設(shè)置告警策略,實(shí)時(shí)接收告警
可自由配置企業(yè)的告警策略,告警信息及時(shí)推送給指定告警對(duì)象,避免因消息滯后導(dǎo)致設(shè)備異常未能及時(shí)處理。
●安全審計(jì),職責(zé)追蹤
準(zhǔn)確記錄遠(yuǎn)控時(shí)間,操作的時(shí)間與行為確保發(fā)生安全事件時(shí)可有效追溯;可查看帳號(hào)的登錄時(shí)間,登錄地點(diǎn)以及在什么平臺(tái)登錄,判斷帳號(hào)是否存在安全問(wèn)題
而在安全技術(shù)方面,向日葵數(shù)據(jù)傳輸采用最高級(jí)加密標(biāo)準(zhǔn)AES 256位對(duì)稱(chēng)加密及RSA 2048位非對(duì)稱(chēng)加密,實(shí)現(xiàn)用戶(hù)資料、會(huì)話的多重加密保護(hù)。
同時(shí),向日葵系列產(chǎn)品和服務(wù)已經(jīng)通過(guò)國(guó)家公安部信息系統(tǒng)安全等級(jí)保護(hù)三級(jí)認(rèn)證、WHQL微軟徽標(biāo)認(rèn)證、ISO9001質(zhì)量管理體系認(rèn)證和ISO27001信息安全管理體系認(rèn)證,并相繼獲得“中國(guó)遠(yuǎn)程控制行業(yè)用戶(hù)放心品牌”、“中國(guó)軟件技術(shù)最佳解決方案”、“中國(guó)智慧辦公產(chǎn)業(yè)最佳產(chǎn)品”等榮譽(yù),得到廣大用戶(hù)及專(zhuān)業(yè)組織認(rèn)可。