今天所讲的远程协作软件的安全性,相信也是绝大多数用户选择软件时必须考虑的第一要素。但现实的情况是,在互联网大数据时代,没有绝对的安全,只有相对的安全。如何定义一款远程协作软件的安全性,从保障用户隐私到远程控制的安全,至少要包含用户认证、权限设置、安全日志、隐私保护功能,以及获得国家级权威认证,一般就可以算作是安全系数很高的远程软件了。
再纵观国内外远控的安全性,国外相关软件的研发起点早,技术实力超前,但由于某些代理商等原因,导致使用该软件时频频出错,面临许多限制和阻碍。出于安全方面的考虑,国内政府平台或央国企明文禁止使用国外远程协作软件。所以,本篇文章我将围绕“安全性”对国内的两款主流远程协作软件ToDesk和向日葵进行评测,期望对你有所帮助。
一般而言,企业内网的“防火墙”坚不可摧,宛如铜墙铁壁,黑客是很难攻克的。然而远程软件可以轻松打破物理限制,穿透企业内网开启协同办公,虽然发生的概率极低,却不可避免的存在着信息、数据泄露的风险。站在用户角度,我归纳了远程过程中易受到安全威胁的三大路径,分别是:
● 客户端
主要表现为缺乏网络层防护和处于不安的软件环境,不具备企业级防火墙防护能力,很容易被病毒、木马攻击;不安的软件环境容易引入不安全对象,被恶意文件获取控制权,窃取身份信息、敏感数据等。
● 数据传输
在未加密或有漏洞的信息通道上共享、传输和存储文件也会导致安全风险增加,例如网盘存储和共享数据,还有不安全的CDN可能会导致敏感信息泄露。
● 第三方服务端
远程工作经常使用到的第三方通信和协作工具,点开来历不明的链接或被诱骗下载恶意软件的可能性增加,大部分是人为错误引发;还有另一种情况是接入业务应用或API,在研发流程中管控不严,导致业务安全漏洞(CSRF 等)。
列出以上问题是为了更好地帮助大家认识到远程安全问题,从中我们可以注意到,多半是网络、管理、人为操作等方面的原因,但是,如何最大限度地规避非人为安全隐患,是远程协作软件必须要提升和强化的技术能力。
2. ToDesk和向日葵安全性分析安全性测试根据安全指标的不同,测试策略会有变化。安全是相对的,需要具体情况具体分析,所以测试的最终结果并不能完全证明该软件就是安全的,只能验证安全项目设置的有效性,让我们对远程协作软件的安全防范能力有大致了解。
用户认证涉及到用户密码是否加密、是否可复制、用户退出是否删除其登录时的相关信息、是否可以使用退出键等。
○ ToDesk
ToDesk采用了端到端加密技术,通过设置公私密钥,也就是软件打开后看到的远程设备代码和临时密码/安全密码,密码只有所有者知道。
在加密过程中,只有发送方和指定接收方操作解密动作,才能访问终端数据,任何无关的第三方都无法访问加密数据,甚至服务提供商本身也无法访问。所以,密钥在远程协作中不能随意透露,是保障个人数据安全的前提。
ToDesk设备代码旁边可复制设备的邀请信息,主要是为了方便对方远控,在此基础上想要提升防范性,可以在【安全设置】里选择自定义安全密码或更换临时密码的刷新频率,频率调至每小时或者每次远程后,保证密码有效可控。
ToDesk退出机制相对简单,点击账户头像“退出登录”,退出后将无法发起连接,也就是不能对本设备再发起有效连接,而且会关闭临时连接记录,用户远程足迹不泄露。
○ 向日葵
向日葵“识别码”和“验证码”是远程连接的必备凭证,验证码更新在系统设置的【安全】里可选“永不”、“每日”、“每次被控后”,选择项没有ToDesk多;向日葵的自定义密码,设定条件也相对也没有那么严格。
向日葵安全设定仅有两项,一是安全验证方式,设定设备列表的使用和远控本机是否双重验证,双重验证虽然提高了安全性,但体验感不是特别好,日常使用会比较麻烦;二是默认勾选强制校验证书。
向日葵的退出机制有两种选项,分别是【退出】和【退出登录】,区别就是退出即无法远控本机,但保留用户的登录账户;退出登录则退出账号,需要重新验证登录。
○ ToDesk
ToDesk为了加强安全验证,提供多重访问权限,一是关于本设备的访问,是否允许被控、校验本机锁屏密码、非同账号需手动同意等,多因认证确保本人,不给侵害者可趁之机。
二是客户端的界面访问锁定,在【高级设置】-【显示设置】-【界面锁定】,可以选择启动、最小化时界面锁定,直接封锁ToDesk客户端界面信息。需要特别注意,锁定前一定一定要保存好你的安全密码。
三是黑白名单设置。ToDesk提供黑白名单自主维护功能,同样在【安全设置】内勾选,并手动添加账号/设备ID。黑名单内的账号/设备将不允许远程本设备,远程时会提示被控拒绝连接请求或访问被拒绝。
另外,保障远程访问安全,提醒功能也很重要。ToDesk连接成功桌面右下角会弹出登录提示,提示本电脑正在被控制,且标签只能折起无法关闭,不存在“偷偷被控”或”不知情远控”。一旦发现异常操作,点击“断开”立刻断连。
○ 向日葵
向日葵可以在【系统设置】-【安全】里修改控制端的访问权限,比如: 在【隐私设置】里,可以设置禁止/允许同步本机剪贴板的文本内容,禁止/允许通过剪贴板/拖拽与本机传输内容,仅允许对方访问指定文件夹等,勾选后对方会看到操作提示,但实测会出现卡顿。
向日葵拉到最底下,IP地址过滤处可以添加黑白名单IP,比ToDesk多出来的是【勿扰时段】,选定时间内不能远程本机。
向日葵同样有设备上下线提醒,哦,还有收费服务到期提醒,这一点真心不用!广告弹出得已经够频繁的了,建议提供关闭广告服务。
○ ToDesk
ToDesk个人版目前是没有历史日志的。但ToDesk企业版不仅提供了详细的连接日志,每一次连接的发起人、连接对象、起止时间、文件传输等信息都会详细记录,支持快速回查定位、加盖明暗水印、可控文件传输、远控操作云录屏等,录制视频多重加密,管理员统一管理,多种途径严防信息外泄。
ToDesk企业版致力于让每个需要远程办公的企业都可以放心使用,设定了23项措施,具有批量部署、统一配置和分组管理的功能,有针对性地将安全隐患控制在事前、事中、事后,为15个安全场景提供全方位安全防卫。
目前ToDesk企业版支持免费试用7天,安全审计栏目下就可以查看详细的风险/异常警报、连接日志、文件传输日志和管理员的控制台日志,部署权限设置,自定义用户远程操作和管理权限。
○ 向日葵
向日葵免费版支持日志导出,但是每次点开都必定会弹出开通会员的广告;设置下的历史记录功能同时支持TXT保存,信息量不是很大,主要是记录时间点。
○ ToDesk
基于防止信息泄露的需求,ToDesk隐私屏功能,能够一键让被控端直接黑屏,避免不必要的“围观”,使得工作注意力更集中,不用担心远程操作暴露。
ToDesk对于用户隐私的措施还有,在远控结束后自动锁定本机,可以安心的结束远程下线;针对隐私屏强制关闭时自动锁定;非本机登录账号控制本设备时,自动锁定ToDesk客户端。
○ 向日葵
向日葵有同款黑屏功能,没更新的版本叫“黑屏”,现在也改叫“隐私屏”。实测多次点击隐私屏竟然不支持?不管是输入识别码远控还是免输入远控都不支持黑屏,加入常用设备也无效,唉...真不知道咋搞。
○ ToDesk
ToDesk是国家高新技术企业,并成功入选信通院“卓信大数据计划”成员单位,获得统信、中科方德、麒麟软件、三级等保、ISO27001信息安全管理体系、ISO9001质量管理体系等多个资质认证证书,以及各大领域组织的认可和共同信赖。
同时,ToDesk合作企业已超30万家,其中不乏世界名企、互联网巨头、国内高校等,已为金融证券、医疗健康、教育教学、互动娱乐等领域提供安全可靠的远程解决方案。
○ 向日葵
向日葵扎根行业17年,是国家高新、国家级专精特新企业,荣获双软企业、三级等保、统信UOS、麒麟软件、中科方德以及ISO9001、ISO27001多项安全认证资质。根据官网数据显示,服务企业客户已超70万,覆盖零售、信息科技、医疗医药、工业制造等行业。
虽然向日葵的行业资质很全面,但崩溃的频率极高,近期也出现了这个问题。坦白说,我也是从疫情期间开始使用远程办公,因为向日葵时常出现问题,后面经朋友介绍了ToDesk,就一直在用ToDesk。相对来说,做了17年的向日葵应该在产品优化上更用点心才是。
向日葵还出过比较严重的安全事故,曾有同事反馈使用向日葵时,有人莫名其妙的连上自己的电脑,想想都可怕!我特意去搜了下相关报道,据说是黑客利用向日葵已知漏洞来实施入侵。要知道软件漏洞入侵,是软件在设计过程中存在缺陷所致,黑客只要掌握这些漏洞,通过技术手段就能实施侵害,对电脑或服务器进行篡改、窃取、部署病毒或勒索攻击等。
实测的整体感受是,两款都是安全资质非常全面的远程协作软件,安全设置上的功能略有不同,但一个已经运行17年,一个才创立不到3年,远程实力上已经不分伯仲。ToDesk端对端加密技术安全度很高,支持多因认证叠加,运行比较舒畅,设定比较符合用户需求。老大哥向日葵也有很多亮点,可以对同步剪贴板、指定文件夹等进行单独授权,还有免费版的日志和历史记录查看,但是时常崩溃、卡顿,严重的还会遭黑客攻击,被部署勒索病毒,其安全性着实令人担忧。
总之,远控的目的是让大家不受环境限制有序开展各项支持事宜,减轻工作任务和通勤时间,节省人力财力物力,不要让这一点被非法侵害者利用,所以,在技术防备的基础上,提升安全防护意识也很有必要,简单说下三点:,一是要做好密码保护,提高安全密码设置,保护好远程软件上的密码和设备码,不随意分享给陌生人;二是加强自身电脑的防护级别,下载安全防护软件,开启防火墙,定期电脑杀毒,更新安全补丁等等;三是不要轻易转账,不要向他人透露关于钱财的一切信息,警惕各种来历不明的链接,留意防诈骗提醒,开通延迟转账等;四是巧用远程软件防护,例如,远程时开启ToDesk隐私屏;用ToDesk连接家人手机打开摄像头,远程监控周边是否安全等。
