企业远程控制如何保障安全？向日葵“全流程安全远控闭环”解析

远程控制为企业带来的便利与业务上的赋能是显而易见的，但很多企业依然对广泛的使用远程控制持一个观望的态度，其中最主要的原因，就是安全。

由于远程控制的原理和特性，它天然地会成为一个企业信息安全敏感领域，企业在引进远程控制解决方案时，对于安全的评估甚至多于对业务赋能考量。

针对这一现状，国民级远程控制品牌“贝锐向日葵”在安全方面持续发力，提出了“全流程安全远控闭环”体系，该体系基于远程控制技术和相关场景，整合诸多安全功能策略，全方位保障用户远控安全，这里我们就来简单介绍一下这一体系。

关键安全策略：以被控为核心

无论是接受或对他人提供远程协助，还是我们需要远程控制自己远端的设备，观察远程控制的拓扑结构，我们不难发现被控端的位置都更靠近隐私或机密信息的中心，这决定了其在安全方面处于更加核心的位置。

针对这一特性，向日葵以被控端安全为基础，打造了安全闭环体系。

事前，我们可以通过下列功能设置来提前规避部分风险，这些功能包括双重验证访问、设置防骚扰策略、被控风险提醒...

事中，向日葵也通过下列功能，确保了您作为被协助一方，牢牢掌握自己设备的主导权，防止设备脱离您的掌控，包括：风险进程实时防护、敏感进程名单告警、通过微信发送告警通知、被控端在操作上处于主导地位

此外，在我们接受远程协助的过程中，始终在操作上处于主导地位，我们可以禁止控制端鼠标操作、文件传输，如果主被控双方同时在操作鼠标，鼠标的控制器有限属于被协助一方，我们可以及时阻止主控端对您实施安全敏感的操作。

事后，向日葵也提供了事后追溯的手段：我们可以查看远程控制和文件传输等操作的详细记录，这些记录也可以通过上文提到过的通知功能，发送至您的向日葵软件端和绑定的微信。

针对远程办公这类无人值守场景，向日葵远程控制同样搭载了对应的功能，防止被控端设备成为新的“安全敞口”，保证隐私安全。

当向日葵远程控制被部署至一台新设备，我们在登录时需要进行【设备登录验证】，即对登录者的身份进行验证，同时异地登录会发出告警提示，以确保登录环境与身份是可信的。

此外，向日葵在对无人值守设备发起远控时，采用了【双重密码保护】策略，可以使用账号密码+被控端本地系统用户名与密码双重校验，进一步提升被控端的安全性。

当我们正在对远端自己的设备进行远程控制时，向日葵支持设置隐私屏、客户端自动锁定、被控结束后自动锁屏等策略。

企业远控体系：灵活、精细化的全方位远控管理

在企业远控解决方案层面，贝锐向日葵基于各行各业的远控方案应用、实施经验，同样基于“事前防范-事中守护-事后追溯”的安全逻辑，为企业远控需求构建了一个完善且灵活的安全框架。

该安全框架包括诸多实用且成熟的功能，例如基于事前防范的精细化授权、多因子安全保护；基于事中守护的水印策略、软件自定义权限；基于事后追溯的日志审计、硬件变更记录等等...

企业可以根据自身需要，调整最为合适的安全整体策略，灵活应对具体业务中的安全需求，实现自主的、多场景、多用途的安全远控。

举例而言，企业可以采用“文件传输方向可控”、“禁止企业外人员远控”、“客户端运行保护”、“远控自动断开&后台批量结束远控”等功能，来根据不同的业务属性，对远程控制权限进行精细化管理，提升远程控制的安全性

安全技术架构：远控底层安全设计。

贝锐向日葵拥有可靠的底层身份验证机制以及通讯安全设计，确保被控端只有经过用户授权才能进行远控，同时也保障了远控时通讯数据的保密及信息安全。

贝锐向日葵还对企业版及个人版的业务进行了隔离，两者互不干扰同时，贝锐向日葵支持私有化部署，可将所有数据、包括配置信息、日志信息等全部留存在用户提供的本地服务器，并且贝锐向日葵私有化部署版本不与公有云版本以及其他私有化部署产生任何数据通讯。

身份验证方面，贝锐向日葵保证只有被控客户端本机才能签发远程会话的准入授权。在未经授权的情况下，即使是处于同一局域网的贝锐向日葵客户端，彼此之间也不会进行任何通讯、不会建立任何的数据连接。

另一方面，贝锐向日葵将重要的被控端身份验证信息进行本地存储。本地存储的策略可以保证外部攻击者无法通过服务器上的数据获得被控端的任何控制权限。同时，本地存储的身份验证信息，经过算法加密，并且每台被控设备拥有仅保存于本地的专属密钥，即使攻击者入侵被控设备，也无法直接获取到解密后的身份验证信息。

加密机制方面，向日葵采用双向RSA+AES加密传输，同时也支持国密SM2+SM4双向加密传输。

上述过程中密钥仅对会话有效，即使攻击者截获数据，也几乎不可能在会话有效期内破解双向通信内容。