遠程控制如何安全通過護網攻防？用私有化部署可解

現在企業的很多業務場景下，遠程控制已經成為了剛需工具之一。但另一方面，遠程控制軟件在很多安全合規敏感的業務場景下又是被“重點關照”的對象，尤其在護網攻防期間，一旦遠程控制類軟件因固定端口、特征進程名稱等被紅隊掃描工具識別掃出，一頓通報整改的壓力少不了，比如下面圖中的例子：

但是，遠程控制軟件也不能直接禁用，一來是影響運維效率，二來是很多企業已經將遠程控制深度融合到業務中，比如售后技術支持等部門，直接禁用可能會導致核心業務的停滯。

面對這種情況，企業應該如何處理遠程需求？如何搭建遠控方案？面對業務剛需與安全合規的兩難，我們可以調整部署思路，通過向日葵SDK+私有化部署的嵌入式方案實現遠程控制能力與合規要求的統一。

對于企業來說，傳統遠程控制方案的合規困境主要有下面兩個方面：

● 個人版軟件游離于企業管控體系之外，弱密碼風險極高。

● 標準SaaS企業版雖具備基礎安全管理能力，但標準化進程名和固定端口，極易被掃描工具特征庫識別。

面對上述困境，貝銳向日葵私有化部署或者SDK方案其實都是很好的解題思路。

向日葵私有化部署模式下，遠控系統的整體運行形態更接近于企業自研遠控應用，既具備原生向日葵的遠程控制能力，又能滿足安全部門對“遠控進程、特征端口”的識別規避要求，避免被識別為已知遠控工具。

具體來說，通過向日葵的私有化部署模式，企業可將向日葵遠控系統部署至自有服務器，完全掌握所有數據鏈路與訪問策略，并且向日葵私有化部署時還具備以下能力：

• 客戶端定制化能力：支持對向日葵客戶端軟件的名稱、圖標、進程名稱等關鍵標識進行自定義。這意味著，在操作系統層面，向日葵遠控客戶端將不再暴露出其通用特征，無法被以“進程特征”的方式進行識別。
  

• 通信端口可配置：向日葵私有化方案允許企業根據內網策略自定義遠控通信所使用的端口。所設端口與官方公開版使用端口不重合，從而規避了被安全設備基于端口號識別的風險。

另一方面，對于希望將遠程控制能力深度融合進自有業務系統的企業來說，向日葵私有化部署的SDK集成方案可以提供更為靈活的方式。

同時，私有化部署的SDK方案天然具備更高的“抗識別”能力，尤其適用于對終端設備策略限制嚴格、或安全域分級復雜的場景，包括以下這些優勢：

• SDK形式以API/組件包的方式嵌入原有系統，無需獨立安裝遠控客戶端，遠控鏈路被完全封裝在業務邏輯之中，完全不會在系統中暴露出明顯的遠控軟件特征。
  

• 由于直接將遠控能力進行集成，因此沒有遠程控制相關的獨立進程或服務存在，傳統掃描工具（如EDR、端口掃描器、進程監控工具）幾乎無法以“遠控軟件”的維度對其進行識別。

上述兩種方案思路，我們都可以搭建一個和自身核心業務更加融合，不易被掃出的遠程控制業務方案。

此外，貝銳向日葵全部的業務數據、通信數據都經過RSA+AES算法混合加密，同時也支持支持國密SSL采用SM2+SM4的國密算法。且密鑰僅對單次會話有效，而且畫面、控制、認證等數據分離傳輸，不會被集中攻陷。

對于被控端登入信息，向日葵采用本地存儲策略：密文只保存在被控本地，云端既不傳輸，也不存儲客戶端的任何登入信息，這意味著即使服務器被攻陷，亦無法通過服務器上的數據獲得終端的控制權。

除了上述這些，之前在調研企業遠程控制方案時，發現向日葵的歷史也很長了，已經做了19年，差不多是國內最早的自研遠控方案，在遠程連接這個領域積累了大量用戶，注冊用戶過億，企業客戶也有一百多萬，設備接入量更是達到了20億臺。這些數字雖然不能代表全部實力，但至少說明它在行業內還是非常成熟、可靠的，在官網也能看到大量頭部企業的案例。

另外，還發現目前很多企業已經在用向日葵SDK或者做了私有化部署，除了一些大廠也在用，也看到不少服務商，直接把向日葵的技術嵌入到了自己的業務系統里，用來做遠程支持或者設備管理。

其實，作為一款專注遠控多年的產品，向日葵在安全合規這塊做得還是挺到位的，尤其是在當前政策和數據合規要求越來越嚴的背景下，確實是個值得考慮的選項。像信息系統安全等級保護三級認證，這在國內已經算是比較高的安全標準了。

同時，也可以查到貝銳向日葵還通過了上海計算機軟件技術開發中心的安全滲透測試，被評為“低風險系統”——這個評級在業內算是比較硬的，尤其是在遠控這種敏感應用場景下。據說目前業內能做到這一點的遠控產品并不多。

總的來說，如果大家也在看企業遠控方案，或者在思考怎么在合規前提下做遠程支持，不妨考慮貝銳向日葵私有化+SDK方案。