為任何供應(yīng)商、承包商或最有價(jià)值的客戶提供遠(yuǎn)程訪問，可能都是非常冒險(xiǎn)的業(yè)務(wù)，但依然無法阻擋遠(yuǎn)程訪問通常被視為一種解決遠(yuǎn)程故障、縮短意外停機(jī)的有效方法。為了這種方法的降低風(fēng)險(xiǎn)，可以是采用雙因素身份驗(yàn)證技術(shù)，該技術(shù)旨在實(shí)現(xiàn)整個(gè)組織的安全連接和面向未來的違規(guī)預(yù)防。

想要快速了解網(wǎng)絡(luò)安全意識(shí)的重要性，建議去問問Target、索尼和美國(guó)人事管理辦公室（OPM）的人員。由于外部網(wǎng)用戶的憑據(jù)被盜而導(dǎo)致的數(shù)據(jù)泄露，使它們?cè)跈?quán)威安全媒體CSO的21世紀(jì)最大數(shù)據(jù)泄露事件排名中獲得了一席之地。

這些類型的攻擊不局限于企業(yè)。例如，當(dāng)黑客在2017年滲透到美國(guó)公用事業(yè)公司的控制室時(shí)，在可信賴的供應(yīng)商網(wǎng)絡(luò)被入侵后，造成了停電事故。

然而，在工業(yè)環(huán)境中，遠(yuǎn)程系統(tǒng)或分布在多個(gè)組織的職責(zé)范圍內(nèi)，維護(hù)關(guān)鍵任務(wù)的操作取決于提供外部網(wǎng)訪問。當(dāng)制造企業(yè)將生產(chǎn)優(yōu)先于安全，并且不愿意添加安全措施時(shí)，安全基礎(chǔ)架構(gòu)就會(huì)出現(xiàn)漏洞，更容易遭受攻擊。

但是，當(dāng)無法控制連接中涉及的所有組件時(shí)，這相當(dāng)于向攻擊者發(fā)出了公開的邀請(qǐng)，通過不屬于托管企業(yè)的計(jì)算機(jī)惡意軟件技術(shù)來竊取憑據(jù)。

遠(yuǎn)程訪問，一把雙刃劍

許多遠(yuǎn)程訪問情況是無規(guī)劃的，例如當(dāng)一臺(tái)設(shè)備發(fā)生故障而技術(shù)人員不在現(xiàn)場(chǎng)時(shí)，公司需要引入可信賴的第三方進(jìn)行維修。這種即時(shí)、無計(jì)劃訪問的緊迫性，增加了網(wǎng)絡(luò)安全風(fēng)險(xiǎn)。也許憑證是通過電話提供的，這為黑客獲取訪問權(quán)限發(fā)出了公開邀請(qǐng)。

遠(yuǎn)程訪問可能是一把雙刃劍：保持高生產(chǎn)率的必要性，同時(shí)也讓黑客有了低成本、輕松的接入點(diǎn)。面臨的挑戰(zhàn)是許多用于驗(yàn)證用戶登錄的主要市場(chǎng)選項(xiàng)，例如RSASecurID和智能卡，從未在外聯(lián)網(wǎng)用戶中獲得太多吸引力。主要由于它們不僅是為企業(yè)設(shè)計(jì)的，而且成本高昂，難以支持并給最終用戶帶來太多負(fù)擔(dān)。

需要雙因素身份驗(yàn)證

美國(guó)國(guó)家標(biāo)準(zhǔn)與技術(shù)研究院（NIST）建議對(duì)所有工業(yè)控制系統(tǒng)使用強(qiáng)認(rèn)證。許多人認(rèn)為通信加密可以降低安全風(fēng)險(xiǎn)，但即使在建立連接之前，憑證暴露也可能發(fā)生并產(chǎn)生漏洞。此外，實(shí)用性和成本往往會(huì)成為障礙。

將認(rèn)證保留在用戶手中遲早會(huì)發(fā)生問題。更大的挑戰(zhàn)是驗(yàn)證沒有強(qiáng)力加密虛擬專用網(wǎng)絡(luò)基礎(chǔ)的第三方用戶，這使得進(jìn)行身份驗(yàn)證變得不可能和不切實(shí)際。如果沒有這種級(jí)別的憑證，您就相當(dāng)于與陌生人進(jìn)行私密談話。

為了最好地保護(hù)遠(yuǎn)程訪問，應(yīng)該使用公鑰加密，這是用于身份驗(yàn)證的黃金準(zhǔn)則。有些人可能認(rèn)為它復(fù)雜且昂貴，除非它內(nèi)置于應(yīng)用程序中。相互公鑰認(rèn)證是確保沒有惡意第三方干預(yù)通信的最有效的技術(shù)解決方案；在這種情況下，只有參與連接的雙方才能交換信息。

6個(gè)遠(yuǎn)程訪問的安全建議

為了確保遠(yuǎn)程訪問的安全性，請(qǐng)檢查以下技術(shù)和選項(xiàng)：

1.內(nèi)置強(qiáng)制性相互身份驗(yàn)證：用戶不能自行決定訪問企業(yè)的資源。

2.自動(dòng)創(chuàng)建端到端加密通道。

3.操作透明，以適應(yīng)現(xiàn)有的網(wǎng)絡(luò)安全系統(tǒng)：提供額外的、而不是替代的安全層。

4.獨(dú)立協(xié)議，適用于任何通信組合，無論是WAN、LAN還是其任何組合。

5.響應(yīng)計(jì)劃外部署：能夠快速部署以支持安全連接。

6.無軟件方法：使用小型硬件設(shè)備直接插入網(wǎng)絡(luò)，無需更改軟件或網(wǎng)絡(luò)配置。

每個(gè)企業(yè)都面臨著艱難的權(quán)衡。在網(wǎng)絡(luò)安全方面，當(dāng)迫切需要意外的遠(yuǎn)程訪問時(shí)，幾乎不可能測(cè)量引入的風(fēng)險(xiǎn)。正如我們經(jīng)常看到的那樣，只需要一個(gè)不安全的進(jìn)入點(diǎn)，就可能完成破壞企業(yè)的安全防線。企業(yè)所需要的是內(nèi)置的雙因素身份驗(yàn)證，以實(shí)現(xiàn)整個(gè)企業(yè)的安全連接和面向未來的違規(guī)預(yù)防。

聲明：本文為轉(zhuǎn)載類文章，如涉及版權(quán)問題，請(qǐng)及時(shí)聯(lián)系我們刪除（QQ: 2737591964），不便之處，敬請(qǐng)諒解！