遠程安全運維管理包括哪些層面

遠程安全運維管理包括以下層面：

• 終端安全：遠程接入使用的終端分為公司統一配發和個人終端，根據公司的辦公設備使用規定，在域控接入、策略配置、反病毒終端的部署上都應滿足遠程接入的安全需求。對于允許使用個人計算機或移動設備接入的員工，應安裝公司要求的反病毒終端以及遠程準入客戶端。

• 賬號管理：需要通過VPN撥入辦公網絡的員工應首先提交遠程訪問申請，申請至少包括申請原因、所需權限、部門負責人的審批；對于臨時開通的賬號應按需設置賬戶過期時間。關于遠程運維的開通，在等級保護2.0標準中的安全運維管理部分中有明確的要求：應嚴格控制遠程運維的開通，經過審批后才可開通遠程運維接口或通道，操作過程中應保留不可更改的審計日志，操作結束后立即關閉接口或通道。分配的賬號需要遵循的原則有強制的密碼復雜度策略；強制的密碼過期時間；賬戶失敗鎖定次數設置；強制開啟雙因素認證（MFA）；進行VPN接入時，VPN使用者無論身處何地，都可以隨時通過互聯網安全通信。通過VPN來實現遠程辦公的商業價值非常吸引人，許多公司都開始制定自己的戰略，利用互聯網作為主要的傳輸媒介，甚至包括商業秘密數據的傳輸。

• 身份認證：身份認證技術是在計算機網絡中確認操作者身份的過程中產生的有效解決方法，作為訪問控制的基礎，是解決主動攻擊威脅的重要防御措施之一。值得注意的是，目前最常見的靜態密碼方式面臨失竊、爆破、社會工程學、鍵盤監聽等風險，因此雙因素認證也就成為目前主流的認證方式。所謂雙因素就是將兩種認證方法結合起來，進一步加強認證的安全性，目前使用最為廣泛的雙因素有：動態口令+靜態密碼；USB KEY+靜態密碼；二層靜態密碼等。有些系統為提高用戶體驗，僅僅在新設備的初次登錄時啟用雙因素認證，之后則依托設備指紋、風控系統實現已登錄過（已授權）設備的單一認證。

• 訪問控制：訪問控制是按用戶身份及其所歸屬的某項定義組來限制用戶對某些信息項的訪問，或限制對某些控制功能的使用的一種技術。訪問控制通常用于系統管理員控制用戶對服務器、目錄、文件等網絡資源的訪問。

• 操作安全：運維服務器環境通過堡壘機實現服務器的安全運維，所有變更操作都必須有經過審批的變更申請單，所有操作應遵循標準作業流程（SOP）。

• 操作審計：設備能夠對字符串、圖形、文件傳輸、數據庫等全程操作行為進行審計；通過設備錄像方式實時監控運維人員對操作系統、安全設備、網絡設備、數據庫等進行的各種操作，對違規行為進行事中控制；對終端指令信息能夠進行精確搜索和錄像精確定位，可用于安全分析、資源變更追蹤以及合規性審計等場景。

• 數據安全：遠程運維用戶基于開放的互聯網訪問應用系統，由于加密算法強度、密鑰失竊等問題，可能會造成配置數據被攻擊者破解或篡改，別有用心的運維人員甚至可能會通過截圖等方式竊取核心IT資產的關鍵配置信息等問題。數據安全治理以“數據安全使用”為愿景，覆蓋安全防護、敏感信息管理、合規三大目標。通過對數據的分級分類、使用狀況梳理、訪問控制以及定期稽核，實現數據的使用安全。

回答所涉及的環境：聯想天逸510S、Windows 10。