远程控制方案在护网攻防场景下如何“过关”？

每年的护网行动，远程控制软件都是重点关照对象，很多企业为了求稳干脆在护网期间将远程控制一禁了之，虽说是出于无奈，但这样处理也不免显得过于粗犷。

毕竟在很多业务场景下，远程控制已经成为了刚需，如果护网期间无法正常使用远程控制，非常影响日常业务的开展。

那么，有没有什么远程控制方案可以通过护网期间的各种检测，抵挡护网行动中的模拟攻击，在护网期间正常且安全的使用呢？这里笔者就结合自身的理解和体验来简单聊一聊。

前提：选择有认证的国产大牌厂商方案

首先需要明确一个大前提，那就是远控方案的选择，必须是在安全上有足够权威认证的国产厂商，比如贝锐向日葵。

这样厂商在技术上独立自主，产品方案已经通过诸如等保三、多平台的信创认证等安全“门槛”，在护网攻防场景中有着最基本的保障。

笔者自己所在企业就是使用的向日葵方案，这里简单介绍一下它的相关安全技术和认证：

● 通过 “国家信息系统安全等级保护三级”认证

● 通过ISO/IEC 27001信息安全管理标准认证

● 通过ISO9001质量管理体系认证

● 采用双向RSA+AES加密传输，同时支持国密SM2+SM4双向加密传输

兼容主流国产操作系统及芯片：

贝锐向日葵支持统信UOS、银河麒麟、中科方德、深度deepin等操作系统；以及飞腾、鲲鹏、兆芯、海光、龙芯等国产芯片。

几种常见的远程控制方案业务模式

回到远控方案本身，远程控制厂商提供的方案一般针对不同的客户有不同的业务模式，在护网大背景下，选择正确的方案很重要。

我这里就以向日葵为例，先简单介绍一下。

首先最常见的，就是个人版软件。个人版远控软件个人注册，自行管理，在企业场景中使用实际上是游离在管理体系之外的，但凡使用者中有人采用了弱密码，就非常容易成为攻击的突破口，所以个人版远控软件在护网环境下，是万万使不得的。

然后是标准的企业版SaaS服务。也就是我们经常说的“企业版”，这种方案不具备太高的定制属性，安全性和易管理方面肯定比个人版高出不少，但在护网攻防中依旧会被扫出。

最后，是定制的企业版+私有化部署。采用这种方案，远程控制软件可以进行高度的定制，远程控制相关数据可以全部保留在企业本地或者企业自有服务器，最大幅度满足网安的合规要求。

私有化部署+定制，如何通过护网行动的考验

说的具体一点，向日葵私有化部署方案在护网中的优势可以总结为下列几条：

● 主控端不采用局域网主动扫描机制查找被控端设备，不会触发相关内网安全预警行为。

● 企业版定制包采用独立的数字签名，区别于个人版及标准企业主被控安装包。同时支持软件名称、进程、图标等自定义，无法经扫描后直接被识别为向日葵远控软件，而是判定为企业自身的应用。

● 私有化部署版本另外支持域名、端口自定义。即便有开放端口，也被认为是企业自身应用的外网访问需求，且无法被有效利用来发起攻击。