守护远控安全，向日葵“全流程安全闭环”体系解析

在远程控制领域，安全一直是最核心的关键词，如何保障远程控制的全流程安全，是远控厂商的重要课题。

针对安全，国民级远程控制品牌“向日葵远程控制”于近期提出了“全流程安全闭环”体系，该体系基于远程控制技术和相关场景，整合诸多安全功能策略，全方位保障用户远控安全。这里我们就对这一体系以及其搭载的功能进行一个简单的分析，具体了解一下向日葵远程控制的远控安全保障能力。

远控安全策略：以被控端为核心

本次向日葵15所推出的“全流程安全闭环”体系，运转的核心是远程控制中的“被控端”，我们基于远控的原理以及远程控制的常用场景分析，以“被控端”为核心是有其必然性和合理性的。

无论是我们需要接受或对他人提供远程协助，还是我们需要远程控制自己不在身边的设备，我们观察远程控制的拓扑结构，被控端的位置都更靠近隐私或机密信息的中心，在安全方面都是处于核心地位的。

具体功能层面，当他人在向我们发起远程桌面请求前，我们可以通过下列功能设置来提前规避部分风险，这些功能包括 双重验证访问、设置防骚扰策略、被控风险提醒...

在远程协助进行的过程中，向日葵也通过下列功能，确保了您作为被协助一方，牢牢掌握自己设备的主导权，防止设备脱离您的掌控，包括： 风险进程实时防护、敏感进程名单告警、通过 微信 发送告警通知、被控端在操作上处于主导地位

此外，在我们接受远程协助的过程中，始终在操作上处于主导地位，我们可以禁止控制端鼠标操作、文件传输，如果主被控双方同时在操作鼠标，鼠标的控制器有限属于被协助一方，我们可以及时阻止主控端对您实施安全敏感的操作。

当远程协助结束后，向日葵也提供了事后追溯的手段：我们可以查看远程控制和文件传输等操作的详细记录，这些记录也可以通过上文提到过的通知功能，发送至您的向日葵软件端和绑定的微信。

远控自己无人值守的设备也很安全

另一种远程控制的典型场景，就是以远程办公为代表的，远程控制属于自己但不在身边的无人值守设备。

在这种场景下，我们的安全担忧主要来自于被控设备现场发生的隐私泄露，向日葵远程控制同样搭载了对应的功能，防止被控端设备成为新的“安全敞口”，保证隐私安全。

当向日葵远程控制被部署至一台新设备，我们在登录时需要进行【 设备登录验证 】，即对登录者的身份进行验证，同时异地登录会发出告警提示，以确保登录环境与身份是可信的。

此外，向日葵在对无人值守设备发起远控时，采用了 【双重密码保护】 策略，可以使用账号密码+被控端本地系统用户名与密码双重校验，进一步提升被控端的安全性。

当我们正在对远端自己的设备进行远程控制时，向日葵支持设置 隐私屏、客户端自动锁定、被控结束后自动锁屏 等策略。

企业远控安全： “事前防范-事中守护-事后追溯”

在企业远控层面，向日葵也早已在安全方面深度耕耘，基于“事前防范-事中守护-事后追溯”的安全逻辑，为企业远控需求构建了一个完善且灵活的安全框架。

该安全框架包括诸多实用且成熟的功能，例如基于事前防范的 精细化授权 、 多因子安全保护 ；基于事中守护的 水印策略、软件自定义权限 ；基于事后追溯的 日志审计、硬件变更记录 等等...

企业可以根据自身需要，调整最为合适的安全整体策略，灵活应对具体业务中的安全需求，实现自主的、多场景、多用途的安全远控。

在企业可以采用的安全策略中，于近期推出的“文件传输方向可控”、”禁止企业外人员远控”、“客户端运行保护”、“远控自动断开&后台批量结束远控”等功能非常具有实用价值，大家可以重点关注相关信息。

安全技术架构：远控底层安全设计解析

贝锐向日葵拥有可靠的底层身份验证机制以及通讯安全设计，确保被控端只有经过用户授权才能进行远控，同时也保障了远控时通讯数据的保密及信息安全。

架构部署方面， 向日葵服务体系采用微服务架构以及容器化部署方式，通过透明加密等存储技术实现基础的数据安全性，应用层实现敏感数据的脱敏与加密存储。

贝锐向日葵还对企业版及个人版的业务进行了隔离，两者互不干扰同时，贝锐向日葵支持私有化部署，可将所有数据、包括配置信息、日志信息等全部留存在用户提供的本地服务器，并且贝锐向日葵私有化部署版本不与公有云版本以及其他私有化部署产生任何数据通讯。

身份验证方面 ，贝锐向日葵保证只有被控客户端本机才能签发远程会话的准入授权。在未经授权的情况下，即使是处于同一局域网的贝锐向日葵客户端，彼此之间也不会进行任何通讯、不会建立任何的数据连接。

另一方面，贝锐向日葵将重要的被控端身份验证信息进行本地存储，云端既不传输，也不存储被控端的任何登录验证信息，包括但不限于：访问码的验证码、被控的系统账密、被控端设置的访问密码。

本地存储的策略可以保证外部攻击者无法通过服务器上的数据获得被控端的任何控制权限。同时，本地存储的身份验证信息，经过算法加密，并且每台被控设备拥有仅保存于本地的专属密钥，即使攻击者入侵被控设备，也无法直接获取到解密后的身份验证信息。

加密机制方面， 向日葵采用双向RSA+AES加密传输，同时也支持国密SM2+SM4双向加密传输。

上述过程中密钥仅对会话有效，即使攻击者截获数据，也几乎不可能在会话有效期内破解双向通信内容。