以下的文章主要向大家讲述的是安全技巧之保护企业FTP安全的最佳实践方法,虽然各种威胁在不断的发展演变,但文件传输协议(通常称为FTP)基本上还是跟几年前一样,而且还在大范围的使用。
安全技巧:保护企业FTP安全最佳实践 安全技巧:保护企业FTP安全最佳实践[2] 虽然各种威胁在持续发展演变,但是文件传输协议(通常称为FTP)基本上还是跟几年前一样,而且还在大范围的使用。
FTP主要用来传输大文件,它就是为了这个目的设计的。FTP是一种客户端 服务器 (主从模式)协议,它使用控制和数据两条通道进行文件传输。控制通道用来进行身份认证,并给服务器发送命令。该协议本身不支持加密,因此,在控制通道中发送的所有流量都是直接发送的,或者说是未加密的,这是该协议的弱点之一。
在企业中,FTP服务通常被用来处理那些不敏感的内容,而且跟其他敏感信息系统都是完全隔离的。人们还得保证FTP服务能够及时更新。配置错误的以及结构不合理的FTP服务可能会成为企业中重要的安全漏洞。
企业确保关键FTP安全的最佳做法是什么?FTP安全状况达到可以传输敏感数据的地步了吗,或者说有什么好的方法可以让FTP更安全?如果FTP还不够安全,不足以用来传输敏感数据,那么有哪些协议可以替代它呢?我们会在本文中回答这些问题。
FTP无处不在,这一点不可否认。就像其他广泛使用的技术一样,FTP也开始成为攻击者易于攻击的目标。这么多年来,攻击者已经有了许多使用FTP以及利用FTP漏洞的经验。有关FTP服务安全性的讨论很激烈,一般来说,人们没有就哪种方法能最好地保护企业FTP安全达成共识。
主要是由于商业需要,才让这项服务继续存在,而没有使用其他更加安全的替代产品。对我来说,任何使用或者考虑使用FTP的企业都应该先问自己以下三个问题:
a.我们真的需要FTP吗?
b.我们怎样才能安全地设置FTP(我将会解释这个自相矛盾的情况)?
c.有没有既安全又容易使用的FTP替代产品?
第一问题很有趣。从技术上讲,答案是否定的。其实市面上有许多更加安全的其他技术,我们将在后面讨论。然而,实际的答案却是肯定的,因为FTP应用非常广泛,而且具有跨平台的支持性,大多数企业都被迫选择支持FTP。
我花了相当多的时间对过滤设备(即防火墙)上的FTP连接进行故障排除,了解到FTP的控制和数据通道设计不是很适合在数据包穿越多个不同的网络设备环境中使用。给你们举个例子,初始化一个网络代理后面的公司网络以及负载均衡环境中服务器之间的FTP会话,并不是那么简单的故障排除工作。
正如我先前提到的,FTP是一个客户端服务器协议,使用单独的控制和数据通道进行文件传输。控制通道用来进行身份认证,并给服务器发送命令。这种身份认证机制比较脆弱,因为认证信息没有经过加密就直接发送到服务器,使得这种网络传输很容易被窃听。在一般的FTP实施过程中,一些典型的安全漏洞让这个问题更加复杂化。
尽管FTP存在安全弊端,但是许多企业还是选择它进行大容量的数据传输。大多数工作站、应用程序,甚至网络过滤设备都内置了对FTP的支持。其他产品可能会更加安全,但是它们还是无法与FTP的便利性和低成本相抗衡。
让我们暂且假设FTP是唯一的选择。那么,我们可以来仔细研究几种能够让这项服务达到一定安全性的方法。我先从网络设计阶段开始,我们可以把FTP服务限制在专用虚拟局域网网段上。这一般需要从你的交换机、路由器或者防火墙设备中分出一个单独的专用网段来管理FTP服务。这种做法有多方面的目的。
不仅能使你专门使用防火墙的一部分来防护这个网段,并进行渐进政策(控制源IP)控制和简化故障排除(主动/被动连接);而且会给你提供一个阻塞点(choke point),从而监视和使用网络安全设备,比如IDS或者IPS。在这种情况下,阻塞点方法可以非常方便的进行监测和预防,你能够监视利用FTP服务(比如IDS)相关漏洞而发起的攻击,或者主动拦截利用IPS对FTP服务的攻击等。
下一步,我们需要侧重于让管理FTP的服务器本身变得更为强大(尽管我在上文中提到首先要进行网络设计,但是我不建议在所有的安全强化步骤完成之后才对服务器进行处理)。我建议大家不仅仅要考虑应用最新补丁,按照因特网安全中心(CIS)的标准来设置服务器,还要考虑更多的东西。
当受到攻击的时候,FTP服务往往会引起严重的附加损失。这是因为,在许多情况下,FTP服务是具有高优先级的过程(比如,作为根用户),如果被攻击者成功利用的话,攻击者会得到系统级的权限。
在服务器上隔离FTP服务,可以很大程度的防止这种漏洞利用攻击。这与基于网络的隔离有所不同,这种隔离是通过处理服务的硬件实现的。FTP隔离可以通过在虚拟环境(开源Xen系统管理程序)中运行FTP服务或者改变根目录(chroot)来实现。
在改变根目录这种方法中,管理员能够在处理过程中改变磁盘根目录,这基本上限制了超出自身限制范围的操作以及访问文件系统敏感区域的能力。改变根目录可以用几种方法实现;有些例子用“/etc/ftpchroot”为特定用户确定一个chroot环境,有些则使用“ftp-chroot”登录类。这两种方法都建议FTP后台程序在ls支持下重新编译,所以没有特殊的依赖关系。
最后,目前有一种易于安全维护的企业FTP安全替代品,叫做Secure Shell(SSH)。与FTP不一样,SSH以加密的形式发送所有内容。SSH使用加密的传输服务,并且把一个文件传输代理放在最高层,避免了FTP服务普遍的安全缺陷和复杂性。
为了简单起见,我认为SCP(主要是文件传输)、SFTP(运行在SSH上面的、全新的文件传输协议)和以SSH为通道的FTP会话,每种服务都使用了SSH,它们都可以作为FTP可以接受的、更加安全的替代品。在这个分类中比较奇怪的是FTPS(SSL上的FTP)。说实话,我认为FTPS作为 FTP替代品不可行,因为它与防火墙不兼容。使用更加安全的协议需要进行服务隔离,并且要采取适当的服务器安全强化步骤。
FTP另外一个有趣的替代品可能就是数字内容传输服务了,它能够提供安全的文件传输,又能简化管理。它往往是基于云的服务,其中包括文件跟踪、传输通知、流程集成工具以及可编写脚本的API等功能。虽然这些服务原本是为了数字内容的传输而设计的,但我想它们也可以为企业提供好的文件传输服务。
FTP是一个敏感的话题。有些用户喜欢它的便利性,但是总的来讲,网络和安全团队并没有被这一点所迷惑。人们能够指出FTP的多项缺点,并且指出可以替代它的解决方法。有许多方法可以与FTP共存,但如果你的企业更适合使用像SSH这样更加安全的产品,我强烈建议您用它取代企业FTP安全。
文件传输协议的五种安全文件传输替代方案
在安全文件传输需求日益增长的背景下,FTP协议已无法满足企业对数据安全性的严格要求。 本文将探讨五种替代方案,旨在提供更安全、可靠的文件传输方式,帮助企业降低安全风险。 首先,Secure File Transfer Protocol (SFTP) 通过SSH协议提供数据传输,显著增强安全性,防止未经授权的访问和数据泄露。 SFTP采用用户身份验证,确保发送方和接收方在传输过程中身份真实,有效防止黑客攻击。 其次,FTP over SSL/TLS (FTPS) 在 FTP 基础上增加了 SSL/TLS 加密层,提供隐式和显式两种安全模式,确保数据在传输过程中的加密和完整性验证。 同时,FTPS 支持额外的身份验证措施,进一步提升安全性。 另外,Applicable Statement 2 (AS2) 专门用于安全传输电子数据交换 (EDI) 信息,通过 TLS 加密和数字证书验证,确保信息在互联网上传输的安全性和可靠性。 AS2 适用于需要高效、安全地交换信息的大型公司,尤其在零售行业。 HTTPS 则通过提供证书身份验证和数据加密,为 HTTP 协议增加安全性,保护用户身份和敏感信息。 在文件传输过程中,HTTPS 提供了一个简单且安全的界面,支持从业务合作伙伴或客户上载数据,确保数据在传输过程中的安全。 最后,Managed File Transfer (MFT) 解决方案整合了多种安全文件传输选项,包括 SFTP、FTPS、AS2 和 HTTPS。 MFT 使用 AES-256 加密标准,自动加密文件,并支持报告功能,显示用户访问权限和文件传输记录,为企业提供全面的安全保护。 对于超大文件传输需求,镭速云平台提供创新的解决方案,无需繁琐的上传下载流程。 只需一次上传,即可通过分享功能,将文件快速传递给相关人员,支持全球范围内的无缝传输。 镭速云平台采用 AES-256 加密标准,确保文件传输过程中的数据安全,提供高效、便捷的文件传输体验。 镭速云平台通过一站式文件传输加速解决方案,满足企业在文件传输加速、安全性、可管理和可控性等多方面的需求。 与 FTP 等传统文件传输方式相比,镭速云平台显著提升了文件传输速度,降低了安全风险,成为企业文件传输的理想选择。 总之,通过采用安全文件传输替代方案,如 SFTP、FTPS、AS2、HTTPS 和 MFT,企业能够有效降低 FTP 带来的安全风险,并实现高效、安全的文件传输。 同时,镭速云平台提供创新的超大文件传输解决方案,为企业提供便捷、可靠的数据交换途径。
公司如何防止电脑泄密
01防止公司内部数据泄密
通过动态加解密技术,有效防止公司内部数据泄密。 即员工在创建、编辑文档时会被自动加密存放在硬盘上,防止员工故意或由于疏忽而造成泄密或对文件恶意破坏。
管理思路>>
● 不改变员工使用习惯、不改变文件格式、不改变公司网络结构、不降低员工办公效率、不封闭公司网络、不封闭公司电脑的外设端口;●企业内部形成类似一个“用户无感知的加密网”,员工未经授权,不管任何方式,数据离开了公司的环境,都无法正常查看;●只有经过公司审批后,用户才可在授予的权限范围内,访问该文件;
●做到公司内部文档交互自由流通,无任何影响。
02防止机密文件在公司内部扩散
管理思路>>
● 被授权的员工获得该机密文件后,打开时必须输入授权人设定的正确口令,才能访问该机密文件;●被授权的员工经过合法的身份认证后,也只能在赋予的权限范围内访问该机密文件;●机密文件访问权限控制包括:阅读次数、打印次数、是否可截屏、是否可编辑、阅读时间、禁止删除、过期自毁等。
03防止员工外出办公泄密
管理思路>>
短期外出:方便员工晚上回家或者周末在家也能正常加解密文件,不需要额外的操作。 长期外出:在规定的期限内,携带笔记本在外也可以正常工作,超过期限,将无法打开加密文档。 永久外出:对在分公司或办事处用户,可使用永久离线,保证总部与分部之间的资料都是加密的,可以互相访问,又可以控制分部的资料,防止外泄。
04防止员工离职泄密
管理思路>>
● 员工在新建、编辑重要文件(如:CAD文件、设计图纸等)时,服务器自动对重要文件备份到服务器指定隐藏目录下保存,避免员工离职时有意删除或格式化电脑,给企业带来损失;●通过对公司电脑上的数据透明加密,有效地避免了员工离职时想带走大量重要资料的行为。
05防止文件外发后泄密
与外界进行频繁的信息沟通已成为公司必要的一种业务模式,这些交互的信息可能会涉及企业核心信息,而这些信息一旦流出企业就面临着失控的风险。为了解决对外业务交互的后顾之忧,我们提供信息对外发布管理思路:
管理思路>>
●当需要给客户或合作伙伴外发文件时,首先向上级领导进行外发申请,而后才有权将该文件打包成受控文件,外发给客户合作伙伴;●被授权的客户或合作伙伴获得该受控外发文件后,打开时需先进行合法的身份认证,才能在授予的权限范围内访问;●身份认证的方式包括:口令认证、机器码认证、联网认证;●访问权限包括:阅读次数、可打印、可截屏、可编辑、阅读期限、过期自毁、回收等;●被授权的客户或者伙伴在访问该文件时,无需在自己的电脑上安装任何插件,即可访问。
06防止电脑丢失泄密
在计算机广泛使用的今天,笔记本电脑的丢失会给我们带来很大的麻烦,除了经济损失外,电脑中存储的涉密资料及个人隐私的泄密会成为另一个潜在的威胁,有可能给我们带来无可挽回的损失。 数据的加密保证了在笔记本电脑丢失的情况下,电脑中存储的资料仍然不被泄密。
07防止员工打印泄密
管理思路>>
●对员工是否可打印、可在哪台打印、打印何类型文档,做到事前控制;
●对打印的内容进行记录,并提供详细打印日志报表,便于审计;
●提供水印功能起到防伪的作用。
08防止移动终端办公泄密
与iPad 、iPhone结合,实现通过iPad 、iPhone方式在线访问公司服务器的加密数据,提高公司领导层的办公效率。
09避开服务器复杂环境,防止服务器数据泄密
管理思路>>
●公司内部加密数据上传到公司指定的白名单服务器时,数据会被自动解密成明文后保存在服务器上;●员工将服务器上明文数据下载到公司内部终端时,数据被自动加密,避免数据泄密;●员工在公司外在线访问公司服务器上的数据时,可正常访问;●当员工在公司外下载服务器上的明文数据时,下载被自动禁止,避免明文数据下载后泄密。
10桌面管理降低泄密风险
管理思路>>
● 对终端硬件使用规范管理:U盘、刻录机、打印机等使用规范化管理;●对终端软件使用规范管理:规定企业不同的部门电脑统一安装哪些软件,其他的所有软件都是禁止安装;●对员工网络行为规范化管理:对员工的上网行为规范化管理;●对员工终端软硬件环境、上网行为规范管理后,让员工潜移默化地养成良好的工作习惯,提高保密意识和办公效率,降低数据泄密风险。
最终实现>>
● 对软硬件环境规范管理、对员工网络行为规范管理,让员工养成良好的工作习惯,提高保密意识,降低泄密风险;●对内部文件透明加密后,保持现有的工作模式和操作习惯不变,不改变文件格式、不封闭网络、外设端口,保证办公效率,实现数据防泄密管理,形成“对外受阻,对内无碍”的管理效果;●未经公司授权允许,数据不管以何种方式离开公司均无法正常访问。 只有经过合法流程审批后,才能在公司授予的权限范围内访问;●全程监督、跟踪、记录所有员工的全部操作,实时回溯泄密全过程。
如何限制公司员工随意拷贝公司的重要数据以及文件?
企业局域网如何保护电脑文件安全、防止电脑文件泄密呢?可以通过以下方案来实现:一、通过企业办公管理手段和物理手段保护电脑文件安全、防止电脑文件泄密、防止数据泄密的行为。 在一些涉密要求较高的单位,通常会规定禁止员工私自携带手机、U盘、移动硬盘等所有带有USB存储功能的设备到办公室,防止员工上班期间通过这些工具私自复制和存储电脑文件的行为。 同时,一些单位还通过将电脑的USB接口焊接、为电脑安装带锁机箱的方式将电脑USB接口封闭,从而彻底实现阻止员工使用USB存储设备的可能性。 同时,为了防止员工通过网络泄密,尤其是邮件、网盘、FTP上传、QQ发送文件等方式将电脑文件发送出去的行为,一些单位会完全禁止员工电脑接入互联网,或者安装专门的网络监控软件,可以实时审计员工上网行为和上网内容,一旦发现员工有泄密的行为,则一方面会形成详细的监控日志,便于事后审查;另一方面也会实时阻止此类信息外发,并及时通过网管员或公司管理人员采取人工干预的方式来实现电脑文件安全防护。 总之,通过一些企业管理制度、管理手段和一些物理防范手段,可以在很大程度上保护电脑文件安全、防止数据泄密的情况发生。 但由于上述手段或多或少也会给员工工作带来很大不便,同时也容易引起员工的抵触、反感,影响员工工作积极性和单位的归属感,因此比较合适一些银行、金融、国家安全机关等对涉密要求较高的单位,不太适合一般企事业单位使用,这种情况下则可以考虑部署专门的数据防泄密软件、电脑文件加密软件、数据保护软件的方式来实现。
发表评论