远程服务安全保障技术分析

远程服务安全保障技术分析

林通达

332522198806280313

摘要：网络安全已经成为网络服务中不可忽略的问题之一。安全领域的研究中，关于网络安全的研究已经从传统的互联网安全延伸到指定的网络领域。在远程服务上，安全防护经历了单一的数据加密、防火墙隔离、第二信道密码发送到主动发现威胁并进行实时处理的阶段。远程服务作为当前网络的主要应用方式之一在各方面均有应用，

关键词：远程服务；安全保障技术；零信任网络

1远程服务安全保障技术

1.1基于企业移动管理模式的远程服务安全保障

企业移动管理（EMM，EnterpriseMobilityManagement）是指通过移动信息化管理技术和手段，针对企业移动信息化建设过程涉及到的内部移动设备、应用和信息等内容提供信息化管理及安全保障的解决能力。用户通过对智能终端进行注册、配置EMM管理网关等相应操作，最终达到移动设备、用户、应用以及内容的管理功能，实现对用户从人员、设备到应用、内容的全面管控。基于EMM模式的远程服务安全保障，由于面对移动无线场景的管理，所以体显出如下的特点。（1）移动设备管理：能够对移动设备进行统一管理。实现对移动设备操作、启用、运维、锁屏、位置分析等功能。可以远程查看移动设备的程序安装列表、硬件配置、使用情况等状态。（2）移动应用管理：针对单位内部App能够实现内审渠道发布，提供必要的安全保障，结合应用策略，能够对远端移动设备的应用进行应用身份验证、应用功能限制、黑白名单、远程强制安装、应用卸载与关闭等管理。（3）移动内容管理：能够保障企业移动数据的安全，防止企业敏感信息泄露。如发生设备丢失、被盗等情况，还可以通过管理后台对设备进行远程擦除操作。（4）用户行为管理：能够追溯用户操作行为，对行为进行记录实现审计。

1.2基于VPN模式的远程服务安全保障

虚拟专用网（VPN，VirtualPrivateNetwork）是指采用隧道技术及加密、身份认证等方法通过公用网络建立一条临时、安全的隧道连接。VPN具有2个含义：虚拟是指不使用长途专线建立私有数据网络，而是将其建立在分布广泛的公用网络，尤其是互联网上；它又是一个专网，能够使每个VPN用户都可以基于公用网络搭建一条属于自己的、独立有效的传输环境。正是由于VPN技术自身具有的相关安全特性，使得基于互联网场景的远程服务通常采用VPN技术实现其中的接入部分。目前，VPN技术主要有IPSecVPN和SSLVPN。因为SSLVPN的如下特点，所以在互联网场景的远程服务安全保障中使用更为广泛。

（1）使用简便：采用SSLVPN在互联网上进行数据传输时，无需安装客户端也无需手工配置，直接使用浏览器即可实现简捷操作。（2）安全性高：SSLVPN不仅采用隧道加密技术保证传输数据的安全及保密性，采用数据认证识别技术保证数据信息的完整性和合法性，采用用户身份验证技术保证连接用户的可靠性，能够提供端到端、用户到资源的安全性。（3）控制粒度细：SSLVPN的加密是在传输层之上，由于与应用层协议独立，所以更容易提供细粒度访问控制，可以对用户的权限、资源、服务、文件进行更加细致的控制。（4）系统整合简捷：SSLVPN与第三方认证系统（如：Radius、AD、LDAP等）结合更加简易，结合数字证书、日志管理系统的使用及与堡垒机、防火墙等安全设备联动，能够形成一个较好的远程服务安全保障环境。（5）网内控制：SSLVPN既可以允许用户接入虚拟专网后继续访问互联网服务，也能够控制用户与互联网隔离。通过完全控制自身专有虚拟网络的安全策略及网络管理设置，能够实现远程服务安全保障所需的网络要求。

1.3基于云桌面模式的远程服务安全保障

云桌面又称桌面虚拟化，是一种替代传统个人PC的新模式。它以云计算为基础，通过采用虚拟化和加密技术实现各类型终端与云桌面进行连接。云桌面模式可以将用户的桌面环境与用户的终端设备有效解耦分开，使用户无论身在何处，都能够利用身边合规的终端设备访问桌面环境。在内部管理人员根据需求，对终端进行灵活的统一管理、统一认证，对云端资源进行统一安全的保护，对云桌面所需运维环境进行统一快捷的部署管控。基于云桌面模式的远程服务安全保障，由于该情况下前端显示与后端服务相分离，所以显示出如下的特点。

1. 数据高安全保护：由于云端数据不落地，终端只是接收和显示相应的图像，所以当运维有外部人员协作参与时，能够有效杜绝内部数据被非法下载和窃取的风险。（2）操作行为可审计：外部人员在运维过程中的所有查询、访问、配置、搜索等操作均可在云桌面中进行记录，形成审计日志数据。（3）云端终端统一管控：能够实现对桌面的统一管控，如软件更新、补丁升级、基线部署和防毒杀毒等，通过对外部人员统一提供运维桌面，避免了其自带终端的网络接入，有效地防范了第三方设备入网引起的安全隐患。

2零信任网络安全防控策略

零信任网络是安全防控新策略，主要是面向网络安全防控中由于防控界限模糊而导致的部分安全功能削弱提出的解决方案。当前远程服务正在企业中不断推进，对于企业云端与终端之间的安全链接、用户终端位置频繁发生变化的情况，以边界安全防护为主的策略已经不能适应安全防控要求。零信任网络是基于外部信息不能自动信任的思想而组建的网络，对于网络中终端、设备、网关等参与网络传输行为的基本单元，其行为或介入目标没有清楚之前，均认为是可疑对象，需要进行访问权限检测与确认。从结构上划分，零信任网络可以分为不可信任区、零信任检测区和数据服务资源区。不可信任区主要包括外来请求接入的用户或属性未知的设备；零信任检测区是安全检测与安全授权的关键部分，包含特定的算法与策略；数据服务资源区是目标访问区域，包括云端、系统服务等。本文提出的策略从远程服务提出开始，经历了零信任检查与远程服务模式推荐等过程，如图1所示。图1中，零信任检查远程服务请求的属性，分析其身份、进行验证并授予最小权限，同时，结合当前远程服务需要重点防护的环节和特点等，根据网络分布分为内网请求、外网请求、专网请求和其他请求的情况，选择相应的远程服务模式或多个模式的组合。

3结束语

远程服务是当前网络服务的重要环节之一，安全保障是远程服务的基础。本结合当前远程服务模式及安全防护最新进展，研究了零信任网络下远程服务安全保障技术，可为相关服务的安全保障提供有益的参考。

参考文献

[1]基于零信任安全架构的机场网络安全防护方案[J].钟翔,郭玮,马勇,王明.民航学报.2019(03)

[2]远程服务及PLC监控在游览车上的应用[J].曾杰,赵洋,曾倩,陈斯宇.科技经济导刊.2019(02)