远程服务安全保障技术研究

季宏志，王 昆

（中国铁路信息科技集团有限公司，北京 100844）

随着互联网技术的发展，通过有线网络和无线网络，实现了数据远程传输及信息夸地域共享。IPv4到IPv6的升级使得网络能够容纳更多终端，与5G等最新通信技术提供更加广泛的信号覆盖范围[1-3]。从常规的数据包传输完成信息共享到内容更加丰富、形式更加多样化的用户服务的改进，使得应用需求得到极大释放。与此同时，信息技术的应用也在不断取得新突破，以工业产业信息化革命为主要特征的工业互联网平台正在进入传统行业，针对数据来源多样化、数据属性复杂化及数据传输实时化的特点，传统通信的单一数据传输模式已不能满足要求，以语音、图像及实时视频为代表的远程操控模式逐步受到相关企业平台的青睐[4-6]。

安全防护是一个重要的问题，网络安全已经成为网络服务中不可忽略的问题之一。安全领域的研究中，关于网络安全的研究已经从传统的互联网安全延伸到指定的网络领域[7-10]。在远程服务上，安全防护经历了单一的数据加密、防火墙隔离、第二信道密码发送到主动发现威胁并进行实时处理的阶段。远程服务作为当前网络的主要应用方式之一在各方面均有应用，本文将针对远程服务的现状进行研究，分析其中的特点，并结合当前最新研究技术和铁路远程服务要求，探索相应的远程服务安全保障方式。

1 远程服务现状

1.1 基于VPN模式的远程服务安全保障

虚拟专用网（VPN，Virtual Private Network）是指采用隧道技术及加密、身份认证等方法通过公用网络建立一条临时、安全的隧道连接。VPN 具有2个含义：

（1）虚拟是指不使用长途专线建立私有数据网络，而是将其建立在分布广泛的公用网络，尤其是互联网上；

（2）它又是一个专网，能够使每个VPN 用户都可以基于公用网络搭建一条属于自己的、独立有效的传输环境。

正是由于VPN技术自身具有的相关安全特性，使得基于互联网场景的远程服务通常采用VPN技术实现其中的接入部分。

目前， VPN 技术主要有IPSecVPN和SSLVPN。因为SSLVPN的如下特点，所以在互联网场景的远程服务安全保障中使用更为广泛。

（1）使用简便：采用SSLVPN在互联网上进行数据传输时，无需安装客户端也无需手工配置，直接使用浏览器即可实现简捷操作。

（2）安全性高：SSLVPN不仅采用隧道加密技术保证传输数据的安全及保密性，采用数据认证识别技术保证数据信息的完整性和合法性，采用用户身份验证技术保证连接用户的可靠性，能够提供端到端、用户到资源的安全性。

（3）控制粒度细：SSLVPN的加密是在传输层之上，由于与应用层协议独立，所以更容易提供细粒度访问控制，可以对用户的权限、资源、服务、文件进行更加细致的控制。

（4）系统整合简捷：SSLVPN与第三方认证系统（如：Radius、AD、LDAP等）结合更加简易，结合数字证书、日志管理系统的使用及与堡垒机、防火墙等安全设备联动，能够形成一个较好的远程服务安全保障环境。

（5）网内控制：SSLVPN既可以允许用户接入虚拟专网后继续访问互联网服务，也能够控制用户与互联网隔离。通过完全控制自身专有虚拟网络的安全策略及网络管理设置，能够实现远程服务安全保障所需的网络要求。

通过以上说明可以看出，基于VPN模式的远程服务安全保障技术在数据传输加密、用户认证授权、业务访问控制、堡垒机联动防控方面都有较好的能力，但同时也看到该模式下对于终端安全防控、业务数据防护及堡垒机以外的操作记录都管控有限。

1.2 基于云桌面模式的远程服务安全保障

云桌面又称桌面虚拟化，是一种替代传统个人PC的新模式。它以云计算为基础，通过采用虚拟化和加密技术实现各类型终端与云桌面进行连接。云桌面模式可以将用户的桌面环境与用户的终端设备有效解耦分开，使用户无论身在何处，都能够利用身边合规的终端设备访问桌面环境。在内部管理人员根据需求，对终端进行灵活的统一管理、统一认证，对云端资源进行统一安全的保护，对云桌面所需运维环境进行统一快捷的部署管控。

基于云桌面模式的远程服务安全保障，由于该情况下前端显示与后端服务相分离，所以显示出如下的特点。

（1）数据高安全保护：由于云端数据不落地，终端只是接收和显示相应的图像，所以当运维有外部人员协作参与时，能够有效杜绝内部数据被非法下载和窃取的风险。

（2）操作行为可审计：外部人员在运维过程中的所有查询、访问、配置、搜索等操作均可在云桌面中进行记录，形成审计日志数据。

（3）云端终端统一管控：能够实现对桌面的统一管控，如软件更新、补丁升级、基线部署和防毒杀毒等，通过对外部人员统一提供运维桌面，避免了其自带终端的网络接入，有效地防范了第三方设备入网引起的安全隐患。

通过以上介绍可以看出，基于云桌面模式的远程服务安全保障技术在内部数据保护、操作行为审计、终端环境管控、用户认证授权方面都有较好的能力，同时可与VPN模式结合，发挥更好的效果。

1.3 基于企业移动管理模式的远程服务安全保障

企业移动管理（EMM，Enterprise Mobility Management）是指通过移动信息化管理技术和手段，针对企业移动信息化建设过程涉及到的内部移动设备、应用和信息等内容提供信息化管理及安全保障的解决能力。用户通过对智能终端进行注册、配置EMM管理网关等相应操作，最终达到移动设备、用户、应用以及内容的管理功能，实现对用户从人员、设备到应用、内容的全面管控。

基于EMM模式的远程服务安全保障，由于面对移动无线场景的管理，所以体显出如下的特点。

（1）移动设备管理：能够对移动设备进行统一管理。实现对移动设备操作、启用、运维、锁屏、位置分析等功能。可以远程查看移动设备的程序安装列表、硬件配置、使用情况等状态。

（2）移动应用管理：针对单位内部App能够实现内审渠道发布，提供必要的安全保障，结合应用策略，能够对远端移动设备的应用进行应用身份验证、应用功能限制、黑白名单、远程强制安装、应用卸载与关闭等管理。

（3）移动内容管理：能够保障企业移动数据的安全，防止企业敏感信息泄露。如发生设备丢失、被盗等情况，还可以通过管理后台对设备进行远程擦除操作。

（4）用户行为管理：能够追溯用户操作行为，对行为进行记录实现审计。

通过以上介绍可以看出，基于EMM模式的远程服务安全保障技术，针对移动场景，在设备管理、人员管理、应用管理和内容管理等方面都有较好的防控思路，适合移动环境下的远程服务支持。

1.4 远程服务安全保障对比

远程服务模式对比，如表1所示。

表1 远程服务模式对比

2 铁路行业远程服务安全保障研究

2.1 铁路行业远程服务安全需求分析

作为国家运输动脉的铁路行业，在业务上具有路线覆盖范围广、控制系统分散、协同性要求高等特点。针对这些特点，在铁路系统远程服务过程中，需要满足用户身份安全、系统性能正常、数据传输保密、行为可审计等要求。此外，由于设备的不断升级换代，在不同场所、不同设备接口标准下需要进行数据共享以及功能联调，在移动管理以及安全粒度控制上需要灵活设置。结合铁路行业远程服务的安全需求及当前远程服务模式，在面对铁路信息化基础环境及平台的远程服务安全保障时，对不同的场景应根据实际需求和条件，分别考虑3种模式或将3种模式进行组合考虑，VPN模式和云桌面模式可以相互结合优势互补，使1+1组合后的整体能力能够更加有效地提供远程服务安全保障。

2.2 零信任网络

零信任网络是安全防控新策略，其防控思路于2010年初次提出。主要是面向网络安全防控中由于防控界限模糊而导致的部分安全功能削弱提出的解决方案[11-13]。当前远程服务正在企业中不断推进，对于企业云端与终端之间的安全链接、用户终端位置频繁发生变化的情况，以边界安全防护为主的策略已经不能适应安全防控要求。零信任网络是基于外部信息不能自动信任的思想而组建的网络，对于网络中终端、设备、网关等参与网络传输行为的基本单元，其行为或介入目标没有清楚之前，均认为是可疑对象，需要进行访问权限检测与确认。从结构上划分，零信任网络可以分为不可信任区、零信任检测区和数据服务资源区，如图1所示。图中，不可信任区主要包括外来请求接入的用户或属性未知的设备；零信任检测区是安全检测与安全授权的关键部分，包含特定的算法与策略；数据服务资源区是目标访问区域，包括云端、系统服务等。

图1 零信任网络结构

2.3 零信任策略下远程服务安全保障策略

本文通过分析当前远程服务模式与铁路远程服务的安全需求，鉴于零信任策略防护思路，提出考虑零信任策略的铁路行业远程服务安全保障策略。在实施远程服务中，由于铁路行业设备接入数量多、分布广、随机性较大的特点，移动性强、系统版本多样化的设备和终端在进行远程服务中需要进行零信任检查。本文提出的策略从远程服务提出开始，经历了零信任检查与远程服务模式推荐等过程，如图2所示。

图2 零信任策略下铁路远程服务安全保障流程

图2中，零信任检查远程服务请求的属性，分析其身份、进行验证并授予最小权限，同时，结合当前远程服务需要重点防护的环节和特点等，根据铁路行业网络分布分为内网请求、外网请求、专网请求和其他请求的情况，选择相应的远程服务模式或多个模式的组合。

3 结束语

远程服务是当前网络服务的重要环节之一，安全保障是远程服务的基础。本文根据铁路网络远程服务的特点及要求，结合当前远程服务模式及安全防护最新进展，研究了零信任网络下铁路行业远程服务安全保障技术，可为今后铁路相关服务的安全保障提供有益的参考。