贝锐向日葵发布远控安全白皮书,全方位解读向日葵远程控制安全体系
近日,知名远程控制品牌“贝锐向日葵”发布了着重加强远控安全性的大版本“向日葵15”,同时也同步发布了《贝锐向日葵远控安全标准白皮书》,该白皮书详细介绍了向日葵远程控制作为国民级远控应用,为构建远程控制安全体系而做出的努力。 时值国家网络安全宣传周,向日葵远程控制的一系列围绕安全展开的迭代和发布,很显然响应了国家层面的号召,顺应了关注网络安全的大潮,这里我们就以《贝锐向日葵远控安全标准白皮书》为基本资料,了解一下向日葵为我们构建了一个怎样的远控安全体系。
远控安全是基本责任,持续保持技术领先和资源投入 贝锐向日葵自2009年发布以来,始终秉持“阳光下的远程控制”这一理念,作为行业引领者,贝锐深知信息安全对于用户的重要性。 为保证用户安全,贝锐从安全合规认证、产品安全策略、安全技术架构、安全团队四个方面持续投入,基于各行各业的远控方案应用、实施经验,成功搭建了一套行之有效的安全事件应对体系。 同时向日葵还对安全技术体系进行不断延展引入先进的DevSecOps研发流程,设立独立于研发体系外的安全部门,深度参与研发流程,在企业内部持续对产品持续进行安全测试。 此外,贝锐在2019 年对专业的安全团队进行升级,除了原有的安全专家,还通过与业内知名白帽黑客积极合作、上线安全响应平台(SRC),构建了一套标准化的长效的安全体系,完善保证远控环境的安全。 向日葵安全合规:等保三领衔,通过各项体系认证 向日葵通过了国家信息系统安全等级保护第三级认证(等保三),同时获得了国际安全管理体系标准ISO27001认证。
此外,贝锐向日葵积极融入国产信创体系,始终实现了远程控制技术自主可控,致力于为不同行业的国产系统用户提供安全稳定的远程连接,赋能本土企业内部管理,助力高效办公。 为解决政企国企、教育行业等信创产业用户的远程办公、远程运维需求,向日葵现积极适配国产操作系统及芯片,提供信创体系的远程控制解决方案,目前已获得统信UOS认证、麒麟软件认证、中科方德认证。
在数据合规处理方面,向日葵也依据等保相关管理办法进行数据处理和信息储存,严守安全合规标准。 向日葵远程控制业务安全体系:构建全流程安全远控闭环 贝锐向日葵远程控制以个人被控端安全以及企业安全管理为核心,构建了远控行业首个安全合规体系,具备“事前、事中、事后”远程控制安全闭环,可在全流程、全场景下有效发挥作用,全方位保证远控安全。
在企业远控解决方案层面,贝锐向日葵基于各行各业的远控方案应用、实施经验,同样基于“事前防范-事中守护-事后追溯”的安全逻辑,为企业远控需求构建了一个完善且灵活的安全框架。
同时,企业可以根据自身需要,调整最为合适的安全整体策略,灵活应对具体业务中的安全需求,实现自主、多场景、多用途的安全远控。 向日葵安全技术架构:可靠的底层安全设计 贝锐向日葵拥有可靠的底层身份验证机制以及通讯安全设计,确保被控端只有经过用户授权才能进行远控,同时也保障了远控时通讯数据的保密及信息安全。 架构部署方面,向日葵服务体系采用微服务架构以及容器化部署方式,通过透明加密等存储技术实现基础的数据安全性,应用层实现敏感数据的脱敏与加密存储。 贝锐向日葵还对企业版及个人版的业务进行了隔离,两者互不干扰同时,贝锐向日葵支持私有化部署,可将所有数据、包括配置信息、日志信息等全部留存在用户提供的本地服务器,并且贝锐向日葵私有化部署版本不与公有云版本以及其他私有化部署产生任何数据通讯。 身份验证方面,贝锐向日葵保证只有被控客户端本机才能签发远程会话的准入授权。在未经授权的情况下,即使是处于同一局域网的贝锐向日葵客户端,彼此之间也不会进行任何通讯、不会建立任何的数据连接。 另一方面,贝锐向日葵将重要的被控端身份验证信息进行本地存储,云端既不传输,也不存储被控端的任何登录验证信息,包括但不限于:访问码的验证码、被控的系统账密、被控端设置的访问密码。 本地存储的策略可以保证外部攻击者无法通过服务器上的数据获得被控端的任何控制权限。同时,本地存储的身份验证信息,经过算法加密,并且每台被控设备拥有仅保存于本地的专属密钥,即使攻击者入侵被控设备,也无法直接获取到解密后的身份验证信息。 加密机制方面,向日葵采用双向RSA+AES加密传输,同时也支持国密SM2+SM4双向加密传输。
上述过程中密钥仅对会话有效,即使攻击者截获数据,也几乎不可能在会话有效期内破解双向通信内容。 安全团队与体系:自建高效安全响应平台 贝锐自建有安全响应平台(SRC,Security Response Center),构建了一条标准化的长效的安全体系,完善保证远控环境的网络安全,整合公共网络安全能力及早发现问题,并按照行业标准的SLA(Service Level Agreement),构建了一条标准化的长效的安全服务体系,完善保证远控时的信息安全。 同时,贝锐已经建立了DevSecOps流程,在保证产品开发效率和质量的同时,将安全性作为一个核心考虑因素。
|
|||||||||||