跨系统安全地共享和同步文件的能力是企业IT的基石。每天可能发生数百万次文件传输,其中涉及所有类型、大小和结构的文件。
最基本的文件传输技术通过网络将数据从一个系统移动到另一个系统。不幸的是,传统的文件传输机制(例如电子邮件和FTP)历来缺乏内置的安全功能。
当今的企业需要确信文件传输不会损害其数据的机密性、完整性和可用性(CIA),这是信息安全的主要要求。大型企业面临的风险更高,因为大量潜在敏感信息在内部和外部用户和系统之间不断移动。安全文件传输服务旨在保护企业的数据,同时将其从A点移动到B点。
安全文件传输的工作原理
安全文件传输服务都有一种保护文件的通用方法:访问控制。
这种访问控制的实现方式在不同类别的产品之间可能有很大差异,更不用说每个类别中的单个产品了。但基本思想是发送者和接收者之间存在某种共享秘密。它可以像通过电子邮件传输的难以猜测的URL或商定的密码一样简单。或者它可能像与企业身份和访问管理系统的集成一样复杂。这一共享密钥用于在文件从发件人传输到收件人之前对其进行加密。在获得加密文件后,收件人的计算机使用共享密钥对文件进行解密。
为满足当今企业的机密性、完整性和可用性(CIA)要求,安全文件传输服务需要两管齐下的方法:
安全文件传输服务的类型
最基本的安全文件传输服务(例如基于SCP的服务)只有命令行界面,因此最适合IT而不是最终用户。与其他类别的文件传输系统相比,它们提供的功能很少,但设置和使用成本相对较低。一些人认为这种类型的转移是有利的,因为企业保持完全控制,没有第三方(例如云计算提供商)参与。
基于安全文件传输协议 (SFTP)的安全文件传输服务通常比基于安全复制协议(SCP)的安全文件传输服务功能更丰富。基于SFTP的文件传输通常具有可用的图形用户界面(GUI),这使它们更易于使用。然而一般来说,基于SCP和SFTP的系统都缺乏更复杂的文件传输系统的许多功能。
另一个支持文件传输安全的IT系统是文件托管服务。最初旨在用于最终用户协作,文件托管服务通常还提供访问控制和加密功能,使用户能够通过电子邮件将链接发送给某人,从而授予他们对服务上托管文件的安全访问权限。
当今最先进的文件传输平台类型是托管文件传输(MFT)。安全文件传输通常直接在发件人和收件人之间进行。相比之下,MFT提供了一个中介系统,它可能是企业设施内的专用 服务器 或云平台提供的服务。文件从发送者传送到MFT存储库,在该存储库中通过访问控制措施(包括对存储文件的加密)进行严格保护。从MFT存储库到接收者的传输发生在稍后的时间。这将发送者的系统与接收者的系统隔离开来,并且还允许更容易地监控和跟踪所有各方的存储库和传输使用情况。
电子邮件还提供基本的文件传输功能,因此应加密以确保安全。电子邮件加密产品可以支持通过电子邮件进行大文件传输。
安全文件传输服务功能
投资于安全文件传输服务的企业应该考虑是否需要以下高级功能,这些功能通常适用于MFT产品,有时也适用于其他类型的文件传输服务:
审计
审核日志提供详细的活动和性能数据,企业可以使用这些数据来证明符合数据隐私标准和法规。如果个人身份信息(例如财务或健康数据)正在发挥作用,这一点尤其重要。
传统文件传输方法(例如SCP)历来缺乏审计功能。文件托管服务通常至少提供一些文件传输审计功能,而大多数MFT平台提供全面的审计日志。
自动调度
安全文件传输服务提供了一系列调度功能。基本功能可能意味着用户可以安排在特定时间传输特定文件。
更复杂的系统还可以智能地错开时间要求不高的文件传输,以减少对带宽或处理的需求。通过管理资源使用,这种智能调度可以节省企业的资金,并防止无意的拒绝服务。
八种企业级安全文件传输服务
以下列出了8种顶级企业级安全文件传输服务。这些产品提供从基本到高级的各种功能。
1. Box Business
类型:文件托管服务。
交付:SaaS。可以通过基于浏览器的UI访问;桌面和移动设备的可选本地应用程序下载。
操作系统:Android、iOS、macOS、Windows。
支持的协议和标准:TLS、被动FTP/FTP安全/显式FTPS(仅限商业和企业层;供应商不建议将FTP/FTPS/FTPES作为主要访问方法)。不支持主动FTP。
特点:活动目录(AD)和单点登录(SSO);审计日志;云存储;企业友好型设计;文件同步和版本控制;HIPAA和FedRAMP合规性(企业级);与Microsoft365、Google Workspace、Slack和1500多个其他企业应用程序集成;威胁检测(Enterprise Plus tier);工作流程自动化。
最大文件大小:150GB(Enterprise Plus tier)。
2. Citrix ShareFile
类型:MFT。
交付:SaaS。可通过基于浏览器的UI访问;桌面和移动设备的可选本地应用程序下载。
操作系统:Android、iOS、macOS、Windows。
支持的协议和标准:TLS/SSL、FTP/FTPS。
特点:广告集成;单点登录;活动记录;高级安全功能,包括远程设备锁定和擦除选项;用于防止数据丢失的云访问安全代理集成;集中管理平台;加密电子邮件;企业友好型设计;文件同步和版本控制;与Microsoft365集成;HIPAA合规性配置;GMail和Outlook插件;无限的云存储。
最大文件大小:100GB(高级和高级层)。
3. IBM Sterling Secure File Transfer
类型:MFT
交付:容器化软件。部署在企业级服务器上,无论是内部部署、云中部署还是混合部署。
操作系统:Linux、IBMZ上的Linux、macOS、多个Unix平台、Windows。
支持的协议和标准:适用性声明2(AS2)、FTP、FTPS、Odette FTP2(OFTP2)、Pretty Good Privacy、SFTP。
特点:跨协议的自动入站和出站文件传输;文件同步;智能化、集中管理平台;支持第三方集成的RESTful API;可扩展的产品,支持广泛的B2B文件传输要求,适用于小型企业、中型企业和大型企业。
最大文件大小:取决于协议:AS2(2GB)、FTP(10GB)、FTPS(10GB)、OFTP2(5GB)、SFTP(10GB)
4. pCloud Business
类型:文件托管服务
交付:SaaS。可通过基于浏览器的UI访问;桌面和移动设备的可选本地应用程序下载。
操作系统:Android、iOS、Linux、macOS、Windows
支持的协议和标准:TLS/SSL、AES-256;可选的附加加密对用户的私钥使用4,096位RSA,对每个文件和每个文件夹的密钥使用256位AES。
特点:活动记录;具有成本效益;支持企业级需求;可选的零知识客户端加密;加密或不加密单个文件的选项;文件共享、同步和版本控制;数据备份;数字资产管理;逐个团队和逐个用户的访问控制;无限的云存储。
最大文件大小:无限制。
5. Peer Global File Service
类型:基于云的分布式文件管理服务。
交付:SaaS。管理中心可通过本地应用程序或浏览器访问。管理中心和代理都需要安装软件。
操作系统:Linux、Windows。
支持的协议和标准:TCP/IP、TLS/SSL。
特点:自动大文件传输;支持跨云平台、混合部署和内部部署环境的多站点文件共享;与所有主要存储平台的集成;中央管理控制台;全面的活动日志;广告整合;文件同步;异常事件检测。
最大文件大小:无限制。
6. Resilio CONnect
类型:点对点(P2P)文件传输和同步服务。
交付:SaaS。管理控制台和端点代理都需要安装软件。基于浏览器的用户界面。
操作系统:
支持的协议和标准:基于BitTorrent的专有P2P协议。
特点:审计日志;支持跨多个位置和不同网络和系统传输或复制数百万个文件;自动化、智能调度;中央管理控制台;与其他企业IT工具的集成;文件共享、同步和版本控制;工作优先级;云存储支持;远程端点代理升级;对大型、多地点的企业有效;可以扩展以支持数千个端点和数百万个文件。
最大文件大小:无限制。
7. SpiderOak CrossClave
类型:文件托管服务,
交付:托管和内部部署选项。需要内部部署应用程序安装。基于浏览器的访问可用,但出于安全原因,供应商不鼓励使用。
操作系统:Android、iOS、Linux、macOS、Windows
支持的协议和标准:基于专有分布式账本技术的私有区块链平台;商业国家安全算法套件。
最大文件大小:共享、备份或同步时对文件大小没有硬性限制。供应商建议将单个文件限制为10GB或更少以进行备份,并在同步时限制为3GB或更少。
8. Tresorit
类型:云存储和文件托管服务。
交付:SaaS。可通过桌面应用程序、移动应用程序和基于浏览器的UI访问。
操作系统:Android、iOS、Linux、macOS、Windows。
支持的协议和标准:TLS;专有密码协议;AES-256。
特点:零知识E2EE,包括基于浏览器的访问;Gmail和Outlook集成;企业应用支持;文件同步和版本控制;加密云存储;符合HIPAA和GDPR(BusinessPlus和Enterprise级别)。
最大文件大小:20GB(企业层)。
Tresorit有一个名为TresoritSend的免费独立文件传输应用程序,其中包括E2EE。用户一次最多可以上传100个文件,只要文件不超过5GB。收件人总共只能下载10次共享文件。
上述每个安全文件传输服务都提供了广泛的功能。定价各不相同,有从单用户到多地点企业的分层选项。
如何选择安全的文件传输服务
以下列表提供了有关选择适合文件传输要求的系统的指南:
(1)审核业务需求。数据管理团队应定期与业务部门领导和高级管理层讨论技术要求。这有助于识别可能的趋势并让IT团队为任何特殊事件(例如合并)做好准备。
(2)查看历史业绩数据。分析来自现有文件传输系统的数据以标记指标,并确定可能为选择过程提供信息的趋势。
(3)准备文件传输和其他IT趋势的预测。使用历史性能数据生成预测,这在准备主要 IT 系统的更改时非常宝贵。令人信服的预测数据有助于证明昂贵的未来投资是合理的。
(4)与其他 IT 领导讨论安全文件传输服务。与其他企业的 IT 主管交谈以了解他们用于文件传输的内容以及他们的经验是很有用的。
(5)研究和检查可用的系统。审查合适的文件传输系统候选者,包括当前供应商。
(6)准备投标邀请书(RFP)。如果建议进行竞争性投标,需要准备一份正式的RFP,其中指定企业当前的文件传输活动,以及短期、中期和长期需求。RFP应包括服务级别协议的要求。
(7)发出RFP,并考虑召开投标人会议。有时亲自召集投标人或通过视频会议来讨论 RFP,并了解每个供应商及其对服务和支持的承诺很有用。
(8)选择最佳产品,启动项目计划。选择新系统或更新系统后,完成必要的文书工作,并准备项目计划以促进新系统的安装、测试、验收和推出。
(9)企业和进行用户培训。与供应商合作,准备并向所有员工提供有关新系统的培训。
(10)在正式推出之前完成验收测试。这可确保新系统按规定执行并且用户对它感到满意。
使用软件开发生命周期作为选择和实施新文件传输系统的框架。系统投入生产后,定期检查和审核系统的性能,并向管理层简要介绍调查结果。
网络安全涉及的内容有哪些?
为了保证企业信息的安全性,企业CIMS网至少应该采取以下几项安全措施:(1)数据加密/解密 数据加密的目的是为了隐蔽和保护具有一定密级的信息,既可以用于信息存储,也可以用于信息传输,使其不被非授权方识别。 数据解密则是指将被加密的信息还原。 通常,用于信息加密和解密的参数,分别称之为加密密钥和解密密钥。 对信息进行加密/解密有两种体制,一种是单密钥体制或对称加密体制(如DES),另一种是双密钥体制或不对称加密体制(如RSA)。 在单密钥体制中,加密密钥和解密密钥相同。 系统的保密性主要取决于密钥的安全性。 双密钥体制又称为公开密钥体制,采用双密钥体制的每个用户都有一对选定的密钥,一个是公开的(可由所有人获取),另一个是秘密的(仅由密钥的拥有者知道)。 公开密钥体制的主要特点是将加密和解密能力分开,因而可以实现多个用户加密的信息只能由一个用户解读,或者实现一个用户加密的消息可以由多个用户解读。 数据加密/解密技术是所有安全技术的基础。 (2)数字签名 数字签名机制提供了一种鉴别方法,以解决伪造、抵赖、冒充等问题。 它与手写签名不同,手写签名反映某个人的个性特征是不变的;而数字签名则随被签的对象而变化,数字签名与被签对象是不可分割的。 数字签名一般采用不对称加密技术(如RSA): 通过对被签对象(称为明文)进行某种变换(如文摘),得到一个值,发送者使用自己的秘密密钥对该值进行加密运算,形成签名并附在明文之后传递给接收者;接收者使用发送者的公开密钥对签名进行解密运算,同时对明文实施相同的变换,如其值和解密结果一致,则签名有效,证明本文确实由对应的发送者发送。 当然,签名也可以采用其它的方式,用于证实接收者确实收到了某份报文。 (3)身份认证 身份认证也称身份鉴别,其目的是鉴别通信伙伴的身份,或者在对方声称自己的身份之后,能够进行验证。 身份认证通常需要加密技术、密钥管理技术、数字签名技术,以及可信机构(鉴别服务站)的支持。 可以支持身份认证的协议很多,如Needham-schroedar鉴别协议、X.509鉴别协议、Kerberos鉴别协议等。 实施身份认证的基本思路是直接采用不对称加密体制,由称为鉴别服务站的可信机构负责用户的密钥分配和管理,通信伙伴通过声明各自拥有的秘密密钥来证明自己的身份。 (4)访问控制 访问控制的目的是保证网络资源不被未授权地访问和使用。 资源访问控制通常采用网络资源矩阵来定义用户对资源的访问权限;对于信息资源,还可以直接利用各种系统(如数据库管理系统)内在的访问控制能力,为不同的用户定义不同的访问权限,有利于信息的有序控制。 同样,设备的使用也属于访问控制的范畴,网络中心,尤其是主机房应当加强管理,严禁外人进入。 对于跨网的访问控制,签证(Visas)和防火墙是企业CIMS网络建设中可选择的较好技术。 (5)防病毒系统 计算机病毒通常是一段程序或一组指令,其目的是要破坏用户的计算机系统。 因此,企业CIMS网必须加强防病毒措施,如安装防病毒卡、驻留防毒软件和定期清毒等,以避免不必要的损失。 需要指出的是,病毒软件也在不断地升级,因此应当注意防毒/杀毒软件的更新换代。 (6)加强人员管理 要保证企业CIMS网络的安全性,除了技术上的措施外,人的因素也很重要,因为人是各种安全技术的实施者。 在CIMS网中,不管所采用的安全技术多么先进,如果人为的泄密或破坏,那么再先进的安全技术也是徒劳的。 因此,在一个CIMS企业中,必须制定安全规则,加强人员管理,避免权力过度集中。 这样,才能确保CIMS网的安全。
mstp关键是什么?如何承载企业以太网传输?
在MSTP的透明传送以太网业务功能中,MSTP利用TDM的机制,将SDH中的VC指配给以太网端口,独享SDH提供的线路带宽,具有很好的带宽保证功能和安全隔离保证功能,适合有较高QOS的以太网租线业务和核心层应用;
但是这种方式基于固定时隙结构不具备动态带宽分配特性。 业务颗粒受限于VC,一般最小为2MB/S,无法实现流量控制、多个以太网业务的统计复用和带宽共享,用来传输以太网业务难以适应突发性与速率可变性的特点,业务带宽利用率较低,缺乏灵活性。
实际应用中,在实际通道带宽是一个VC-12所承载和传送的10M以太网业务中,它的实际吞吐量不超过E1;
在没有达到E1带宽极限时,采用大帧,通道没有帧丢失,对于小帧,在没有达到带宽极限时,由于数据包短造成封装效率低,网元的帧处理软件无法跟上数量较多的小帧,就会产生帧丢失,当超过带宽极限时,业务将产生大量帧丢失;
当采用大帧达到带宽容限时,业务传输时延将突然变大。
对于使用二层交换进行以太网业务接入和汇聚的方式可以实现数据传送的统计复用、带宽共享、端口汇聚,通过VLAN方式来实现用户隔离和速率控制,目前大多数MSTP产品都支持二层交换方式。 以太网业务在每个业务节点进行封装、解封装,并进行二层交换,使得各个业务节点可以共享共同的传输通道,节约了局端以太网的接口;以太网板卡在端口上通过对不同的802.P值的业务流量映射到不同的队列进行处理,实现优先级策略;可以基于端口或者VLAN设置速率限制(如最小和最大带宽),使得系统有了一定的带宽控制机制,对富余的带宽通过竞争接入。 然而在以太网的业务保护方面,依赖于STP协议(生成树协议)来进行故障恢复,可能花费数十秒时间,远远大于SDH50ms的自愈保护时间,倒换速率比较慢。 而且,二层交换对同一等级业务竞争带宽缺乏完善的公平算法,使得在网络拥塞时尤其是在以太环网运用时难以保证用户的带宽。
通过内嵌RPR模块来实现以太环网已经为众多设备制造商所接受。 RPP提供MAC层与物理层之间的介质无关接口,构架在MSTP上实现以太网业务的带宽公平分配、业务优先级处理以及提高带宽利用率。
传统商务和电子商务的区别
电子商务将传统商业活动中物流、资金流、信息流的传递方式利用网络科技整合,企业将重要的信息以全球信息网(www)、企业内部网(Intranet)或外联网(EXTRAnet)直接与分布各地的客户、员工、经销商及供应商连接,创造更具竞争力的经营优势。 电子商务与传统的商务活动方式相比,具有以下几个特点: 1.交易虚拟化 通过Internet为代表的计算机互联网络进行的贸易,贸易双方从贸易磋商、签订合同到支付等,无需当面进行,均通过计算机互联网络完成,整个交易完全虚拟化。 对卖方来说,可以到网络管理机构申请域名,制作自己的主页,组织产品信息上网。 而虚拟现实、网上聊天等新技术的发展使买方能够根据自己的需求选择广告,并将信息反馈给卖方。 通过信息的推拉互动,签定电子合同,完成交易并进行电子支付。 整个交易都在网络这个虚拟的环境中进行。 2.交易成本低 电子商务使得买卖双方的交易成本大大降低,具体表现在:(1)距离越远,网络上进行信息传递的成本相对于信件、电话、传真而言就越低。 此外,缩短时间及减少重复的数据录人也降低了信息成本。 (2)买卖双方通过网络进行商务活动,无需中介者参与,减少了交易的有关环节。 (3)卖方可通过互联网络进行产品介绍、宣传,避免了在传统方式下做广告、发印刷产品等大量费用。 (4)电子商务实行“无纸贸易”,可减少90%的文件处理费用。 (5)互联网使买卖双方即时沟通供需信息,使无库存生产和无库存销售成为可能,从而使库成本降为零。 (6)企业利用内部网(Intranet)可实现“无纸办公(OA)”,提高了内部信息传递的效率,节省时间,并降低管理成本。 通过互联网络把其公司总部、代理商以及分布在其他国家的子公司、分公司联系在一起,及时对各地市场情况作出反应,即时生产,即时销售,降低存货费用,采用产效快捷的配迭公司提供交货服务,从而降低产品成本。 (7)传统的贸易平台是地面店铺,新的电子商务贸易平台则是网吧或办公室。 3.交易效率高 由于互联网络将贸易中的商业报文标准化,使商业报文能在世界各地瞬间完成传递与计算机自动处理,将原料采购,产品生产、需求与销售、银行汇兑、保险,货物托运及申报等过程无须人员干预,而在最短的时间内完成。 传统贸易方式中,用信件、电话和传真传递信息、必须有人的参与,且每个环节都要花不少时间。 有时由于人员合作和工作时间的问题,会延误传输时间,失去最佳商机。 电子商务克服了传统贸易方式费用高、易出错、处理速度慢等缺点,极大地缩短了交易时间,使整个交易非常快捷与方便。 4.交易透明化买卖双方从交易的洽谈、签约以及货款的支付、交货通知等整个交易过程都在网络上进行。 通畅、快捷的信息传输可以保证各种信息之间互相核对,可以防止伪造信息的流通。 例如,在典型的许可证EDI系统中,由于加强了发证单位和验证单位的通信、核对,假的许可证就不易漏网。 海关EDI也帮助杜绝边境的假出口、兜圈子、骗退税等行径。 转
发表评论