近日,知名遠(yuǎn)程控制品牌“貝銳向日葵”發(fā)布了著重加強(qiáng)遠(yuǎn)控安全性的大版本“向日葵15”,同時也同步發(fā)布了《貝銳向日葵遠(yuǎn)控安全標(biāo)準(zhǔn)白皮書》,該白皮書詳細(xì)介紹了向日葵遠(yuǎn)程控制作為國民級遠(yuǎn)控應(yīng)用,為構(gòu)建遠(yuǎn)程控制安全體系而做出的努力。
時值國家網(wǎng)絡(luò)安全宣傳周,向日葵遠(yuǎn)程控制的一系列圍繞安全展開的迭代和發(fā)布,很顯然響應(yīng)了國家層面的號召,順應(yīng)了關(guān)注網(wǎng)絡(luò)安全的大潮,這里我們就以《貝銳向日葵遠(yuǎn)控安全標(biāo)準(zhǔn)白皮書》為基本資料,了解一下向日葵為我們構(gòu)建了一個怎樣的遠(yuǎn)控安全體系。
遠(yuǎn)控安全是基本責(zé)任,持續(xù)保持技術(shù)領(lǐng)先和資源投入
貝銳向日葵自2009年發(fā)布以來,始終秉持“陽光下的遠(yuǎn)程控制”這一理念,作為行業(yè)引領(lǐng)者,貝銳深知信息安全對于用戶的重要性。
為保證用戶安全,貝銳從安全合規(guī)認(rèn)證、產(chǎn)品安全策略、安全技術(shù)架構(gòu)、安全團(tuán)隊(duì)四個方面持續(xù)投入,基于各行各業(yè)的遠(yuǎn)控方案應(yīng)用、實(shí)施經(jīng)驗(yàn),成功搭建了一套行之有效的安全事件應(yīng)對體系。
同時向日葵還對安全技術(shù)體系進(jìn)行不斷延展引入先進(jìn)的DevSecOps研發(fā)流程,設(shè)立獨(dú)立于研發(fā)體系外的安全部門,深度參與研發(fā)流程,在企業(yè)內(nèi)部持續(xù)對產(chǎn)品持續(xù)進(jìn)行安全測試。
此外,貝銳在2019 年對專業(yè)的安全團(tuán)隊(duì)進(jìn)行升級,除了原有的安全專家,還通過與業(yè)內(nèi)知名白帽黑客積極合作、上線安全響應(yīng)平臺(SRC),構(gòu)建了一套標(biāo)準(zhǔn)化的長效的安全體系,完善保證遠(yuǎn)控環(huán)境的安全。
向日葵安全合規(guī):等保三領(lǐng)銜,通過各項(xiàng)體系認(rèn)證
向日葵通過了國家信息系統(tǒng)安全等級保護(hù)第三級認(rèn)證(等保三),同時獲得了國際安全管理體系標(biāo)準(zhǔn)ISO27001認(rèn)證。
此外,貝銳向日葵積極融入國產(chǎn)信創(chuàng)體系,始終實(shí)現(xiàn)了遠(yuǎn)程控制技術(shù)自主可控,致力于為不同行業(yè)的國產(chǎn)系統(tǒng)用戶提供安全穩(wěn)定的遠(yuǎn)程連接,賦能本土企業(yè)內(nèi)部管理,助力高效辦公。
為解決政企國企、教育行業(yè)等信創(chuàng)產(chǎn)業(yè)用戶的遠(yuǎn)程辦公、遠(yuǎn)程運(yùn)維需求,向日葵現(xiàn)積極適配國產(chǎn)操作系統(tǒng)及芯片,提供信創(chuàng)體系的遠(yuǎn)程控制解決方案,目前已獲得統(tǒng)信UOS認(rèn)證、麒麟軟件認(rèn)證、中科方德認(rèn)證。
在數(shù)據(jù)合規(guī)處理方面,向日葵也依據(jù)等保相關(guān)管理辦法進(jìn)行數(shù)據(jù)處理和信息儲存,嚴(yán)守安全合規(guī)標(biāo)準(zhǔn)。
向日葵遠(yuǎn)程控制業(yè)務(wù)安全體系:構(gòu)建全流程安全遠(yuǎn)控閉環(huán)
貝銳向日葵遠(yuǎn)程控制以個人被控端安全以及企業(yè)安全管理為核心,構(gòu)建了遠(yuǎn)控行業(yè)首個安全合規(guī)體系,具備“事前、事中、事后”遠(yuǎn)程控制安全閉環(huán),可在全流程、全場景下有效發(fā)揮作用,全方位保證遠(yuǎn)控安全。
在企業(yè)遠(yuǎn)控解決方案層面,貝銳向日葵基于各行各業(yè)的遠(yuǎn)控方案應(yīng)用、實(shí)施經(jīng)驗(yàn),同樣基于“事前防范-事中守護(hù)-事后追溯”的安全邏輯,為企業(yè)遠(yuǎn)控需求構(gòu)建了一個完善且靈活的安全框架。
同時,企業(yè)可以根據(jù)自身需要,調(diào)整最為合適的安全整體策略,靈活應(yīng)對具體業(yè)務(wù)中的安全需求,實(shí)現(xiàn)自主、多場景、多用途的安全遠(yuǎn)控。
向日葵安全技術(shù)架構(gòu):可靠的底層安全設(shè)計(jì)
貝銳向日葵擁有可靠的底層身份驗(yàn)證機(jī)制以及通訊安全設(shè)計(jì),確保被控端只有經(jīng)過用戶授權(quán)才能進(jìn)行遠(yuǎn)控,同時也保障了遠(yuǎn)控時通訊數(shù)據(jù)的保密及信息安全。
架構(gòu)部署方面,向日葵服務(wù)體系采用微服務(wù)架構(gòu)以及容器化部署方式,通過透明加密等存儲技術(shù)實(shí)現(xiàn)基礎(chǔ)的數(shù)據(jù)安全性,應(yīng)用層實(shí)現(xiàn)敏感數(shù)據(jù)的脫敏與加密存儲。
貝銳向日葵還對企業(yè)版及個人版的業(yè)務(wù)進(jìn)行了隔離,兩者互不干擾同時,貝銳向日葵支持私有化部署,可將所有數(shù)據(jù)、包括配置信息、日志信息等全部留存在用戶提供的本地服務(wù)器,并且貝銳向日葵私有化部署版本不與公有云版本以及其他私有化部署產(chǎn)生任何數(shù)據(jù)通訊。
身份驗(yàn)證方面,貝銳向日葵保證只有被控客戶端本機(jī)才能簽發(fā)遠(yuǎn)程會話的準(zhǔn)入授權(quán)。在未經(jīng)授權(quán)的情況下,即使是處于同一局域網(wǎng)的貝銳向日葵客戶端,彼此之間也不會進(jìn)行任何通訊、不會建立任何的數(shù)據(jù)連接。
另一方面,貝銳向日葵將重要的被控端身份驗(yàn)證信息進(jìn)行本地存儲,云端既不傳輸,也不存儲被控端的任何登錄驗(yàn)證信息,包括但不限于:訪問碼的驗(yàn)證碼、被控的系統(tǒng)賬密、被控端設(shè)置的訪問密碼。
本地存儲的策略可以保證外部攻擊者無法通過服務(wù)器上的數(shù)據(jù)獲得被控端的任何控制權(quán)限。同時,本地存儲的身份驗(yàn)證信息,經(jīng)過算法加密,并且每臺被控設(shè)備擁有僅保存于本地的專屬密鑰,即使攻擊者入侵被控設(shè)備,也無法直接獲取到解密后的身份驗(yàn)證信息。
加密機(jī)制方面,向日葵采用雙向RSA+AES加密傳輸,同時也支持國密SM2+SM4雙向加密傳輸。
上述過程中密鑰僅對會話有效,即使攻擊者截獲數(shù)據(jù),也幾乎不可能在會話有效期內(nèi)破解雙向通信內(nèi)容。
安全團(tuán)隊(duì)與體系:自建高效安全響應(yīng)平臺
貝銳自建有安全響應(yīng)平臺(SRC,Security Response Center),構(gòu)建了一條標(biāo)準(zhǔn)化的長效的安全體系,完善保證遠(yuǎn)控環(huán)境的網(wǎng)絡(luò)安全,整合公共網(wǎng)絡(luò)安全能力及早發(fā)現(xiàn)問題,并按照行業(yè)標(biāo)準(zhǔn)的SLA(Service Level Agreement),構(gòu)建了一條標(biāo)準(zhǔn)化的長效的安全服務(wù)體系,完善保證遠(yuǎn)控時的信息安全。
同時,貝銳已經(jīng)建立了DevSecOps流程,在保證產(chǎn)品開發(fā)效率和質(zhì)量的同時,將安全性作為一個核心考慮因素。
