保护大文件传输安全的四个方法

合集下载
  1. 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
  2. 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
  3. 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。

保护大文件传输安全的四个方法

企业可以使用sFTP解决方案进行大量数据的传输,但要在允许sFTP通过防火墙的同时阻止其它FTP流量。

AD:

企业通常使用FTP与合作伙伴、客户或供应商之间发送和接收大量数据。如果你是一个IT专业人士,那么理所当然,你应该使用安全的FTP(sFTP)解决方案,无论是开源的还是商业的。你要允许sFTP通过防火墙,同时还要阻止其它FTP流量。这也就是说,你要确保安全系统的流量通道只能用于你想做的事情,还要尽量减少敏感数据的意外泄露。下面的几个步骤可以为你提供一些参考。

防火墙规则:严格限制文件传输范围

限制文件传输的信道的范围是防火墙使用的基本规则,但是一旦指定了一个或几个系统作为你的sFTP枢纽,那么要确保下面几个问题: 只有包含在规则允许的sFTP流量系统可以通过防火墙;

只有远端的被认可的系统可以作为sFTP数据包的源端或目的端;

SFTP是通过这些系统的防火墙的唯一的加密流量。尽管sFTP流量是加密的,但它是不透明的管理工具,所以你要确保它是唯一流向这些系统或从这些系统流出的不透明流量。

大多数组织都没有需要和外部实体或做批量文件的安全传输快速增长或系统的变化清单。所以如果你确实需要频繁或快速的变化,你可能需要利用一些安全协调工具,把必要的规则调整为源端或目的端。

使用主机工具

考虑到你的环境的其余部分,你需要仔细考虑基于主机的缓解方式。安全和系统管理供应商最近几年有所改变,在他玛瑙 们的基于主机的系统监控工具中引入了高速分析。特别是有一些已经发

现既可以用于正常行为模式,比如操作系统服务调用(恶意软件、企业

内部人员以及外部攻击人员必须使用的),也可以发现系统上对于性能

影响最小的异常情况。运行基于主机的异常行为检测可以减少敏感数

据移到未经许可的通道中。

不要关注内容,要关注网络行为

除了主机,网络行为分析还可以发现数据流的变化,甚至是一些工

具无法看到的加密数据流的内容。由于它们可以看到流出系统的数阿

里山高山茶 据流的数量、目的端以及持续时间,这些工具可以帮助监控该过程中的数据泄露问题。有效利用这种系统很难,尤其是当标识流量正常的早期阶段;比如入侵检测系统、数据泄露防护系统、网络行为分析工具都很容易引发误报,这就提醒我们要判断哪些是异常行为。安全人员需要花费额外的时间来学习这些系统,或者使用某种专业服务来处理这种耗时的工作。安全团队还需要确定并遵循安全流程,不断完善基于警报评估的预警和响应规则,逐渐降低虚假点击的数量。

做你自己的中间人

预防泄露的最极端的方法是开通所有流经能够执行这些中间人功

能的设备容量网络的相关部分的加密流量。这些设备内的加密流量面

向内部,终止于系统,而通道面向外部,到数据流的另一端结束。通道会对其进行加密解密。然后它可以利用深度数据包检测工具对内容敏感

性进行分析,并标记为可疑,然后完全阻隔或允许通过。如果允许通过,流量将被重新加密,然后发送到目的端。这是一个计算量非常大的任务,

而且非常昂贵。但是,通过检查所有进出的加密流量,可以明显降低数据被隐藏在加密数据流中的风险。这可以引入他们自己的合理风险,所以加密数据流捕获的范围需要仔细定义,并与企业风险管理者讨论。如果这个范围需要扩展到覆盖用户端点设备和非sFTP加密流,那么用户需要知道,他们的加密流量可能要暴漏在IT人员面前。

总结

这些措施可以帮助你降低使用sFTP引入的风险。要知道,数据泄露设计的范围非常广,通过直接从桌面和笔记本电脑到网络上的多种服务使用加密通道是非常困难的。锁定sFTP周围的环

境,甚至是整个数据中心,可以降低数据泄露的风险,但是不能完全消除。在面对Facebook或Tumblr方面的智能手机相机和敏感数据保密的时代,已经没有办法完全避免数据泄露问题了。但是,还是有一些方法可以缓解数据泄露问题。

【编辑推荐】

计算机病毒防范艺术

本书由Symantec首席反病毒研究员执笔,是讲述现代病毒威胁、防御技术和分析工具的权威指南。与多数讲述计算机病毒的书籍不同

相关文档
最新文档