複製鏈接
請複製以下鏈接發送給好友
https://baike.baidu.hk/item/文件傳輸服務/5389842
複製
複製成功

文件傳輸服務

鎖定
文件傳輸服務。 Internet 的入網用户可以利用“文件傳輸服務( FTP )”命令系統進行計算機之間的文件傳輸,使用 FTP 幾乎可以傳送任何類型的多媒體文件,如圖像、聲音、數據壓縮文件等。FTP服務是由TCP/IP的文件傳輸協議支持的,是一種實時的聯機服務。
中文名
文件傳輸服務
外文名
FTP

目錄

  1. 1 服務介紹
  2. 2 評估方式
  3. 3 安全性
  1. 4 架構
  2. 5 特性和易用性
  3. 6 管理方法
  1. 7 報告
  2. 8 安全方法

文件傳輸服務服務介紹

文件傳輸服務。 Internet 的入網用户可以利用“文件傳輸服務( FTP )”命令系統進行計算機之間的文件傳輸,使用 FTP 幾乎可以傳送任何類型的多媒體文件,如圖像、聲音、數據壓縮文件等。FTP服務是由TCP/IP的文件傳輸協議支持的,是一種實時的聯機服務。
採用FTP傳輸文件時,不需要對文件進行復雜的轉換,因此FTP比任何其他方法交換數據都要快的多。Internet與FTP的結合,等於使每個聯網的計算機都擁有了一個容量巨大的備份文件庫,這是單個計算機無法比擬的優勢。但是,這也造成了FTP的一個缺點,那就是用户在文件“下載”到本地之前,無法瞭解文件的內容。所謂下載就是把遠程主機上軟件、文字、圖片圖像與聲音信息轉到本地硬盤上。
文件傳輸服務是一種實時的聯機服務。在進行文件傳輸服務時,首先要登錄到對方的計算機上,登錄後只可以進行與文件查詢、文件傳輸相關的操作。使用FTP可以傳輸多種類型的文件,例如文本文件、圖像文件、聲音文件、數據壓縮文件等。

文件傳輸服務評估方式

在評估安全的文件傳輸應用時,企業應當關注如下重要問題:安全性、架構、特性和易用性、管理、報告、許可協議和總擁有成本。

文件傳輸服務安全性

由於離開公司邊界的數據有可能包含敏感數據或機密信息,鎖定這種數據並確保只有經核准的接收者才能夠接收信息,這應當成為一個關鍵標準。安全評估涉及從多個方面來考察產品,其中包括總體架構、數據的存儲和保護、用户的身份驗證,許可和角色、管理員可定義的策略,甚至還包括一個應用程序如何得到底層平台和現有安全配置的支持。
此外,還要測試其是否能夠防禦常見的漏洞,如防禦SQL注入以及跨站腳本攻擊對於任何面向公眾的應用程序都非常重要。

文件傳輸服務架構

解決方案的總體架構和設計方法可以在很大程度上反映廠商在產品中的計劃和思路。優秀的產品開發者為當今的需要而構建產品,但要預先考慮到明天的需要。在審查任何安全文件傳輸架構時,企業應注意廠商如何處理加密、靈活性、可升級性、對大文件的支持、網絡中斷及策略等。
此外,考慮現有應用程序的集成和擴展、可定製性、性能、用户和系統管理、產品的平台支持和編程接口等問題也很重要。此外,還要考慮該應用程序設計是否符合邏輯,各組件是否能很好地匹配,以及安全文件傳輸應用是否適應現有的基礎架構。

文件傳輸服務特性和易用性

設計良好的用户界面對於任何技術的成功和有效利用都至關重要。一個系統的界面越友好,就越有可能被採用。安全傳輸應用界面的重要元素包括屏幕是否整潔、控制是否直觀、文本表達是否清晰、外觀和感覺是否總體一致等。這些要素直接影響到傳輸方案的採用,而最容易使用的工具將最有可能被終端用户接受。

文件傳輸服務管理方法

管理一個安全文件傳輸方案時涉及兩個重要方面:用户管理和系統配置。基本的用户管理規則包括:使信息副本最小化(例如,在多用户數據庫中)、利用現有的身份和訪問管理數據庫、在無需連續IT干預時就儘可能地使自動系統運行。靈活的系統配置和設置可以使公司更密切地匹配和支持現有的策略和過程。

文件傳輸服務報告

在部署了安全的文件傳輸方案後,報告就成為一個理解方案的利用、審計支持的重要工具。合規需求可能要求報告的生成滿足法律規範,或滿足內部使用指南和公司的監管。對用户活動的監視以及深入分析真實活動的能力有助於確定或糾正不合規的活動和過程,並滿足企業的文件共享限制。
許可協議和總擁有成本
企業實施安全的文件傳輸工具可以使用户用新方式通過安全通道來發送敏感文件和數據。雖然這種功能一開始有可能滿足某些個人或個別部門的需要,但其實施規模往往會越來越大。 [1] 

文件傳輸服務安全方法

防火牆規則:嚴格限制文件傳輸範圍
限制文件傳輸的信道的範圍是防火牆使用的基本規則,但是一旦指定了一個或幾個系統作為你的sFTP樞紐,那麼要確保下面幾個問題:
  • 只有包含在規則允許的sFTP流量系統可以通過防火牆;
  • 只有遠端的被認可的系統可以作為sFTP數據包的源端或目的端;
  • SFTP是通過這些系統的防火牆的唯一的加密流量。儘管sFTP流量是加密的,但它是不透明的管理工具,所以你要確保它是唯一流向這些系統或從這些系統流出的不透明流量。
大多數組織都沒有需要和外部實體或做批量文件的安全傳輸快速增長或系統的變化清單。所以如果你確實需要頻繁或快速的變化,你可能需要利用一些安全協調工具,把必要的規則調整為源端或目的端。
使用主機工具
考慮到你的環境的其餘部分,你需要仔細考慮基於主機的緩解方式。安全和系統管理供應商最近幾年有所改變,在他們的基於主機的系統監控工具中引入了高速分析。特別是有一些已經發現既可以用於正常行為模式,比如操作系統服務調用(惡意軟件、企業內部人員以及外部攻擊人員必須使用的),也可以發現系統上對於性能影響最小的異常情況。運行基於主機的異常行為檢測可以減少敏感數據移到未經許可的通道中。
不要關注內容,要關注網絡行為
除了主機,網絡行為分析還可以發現數據流的變化,甚至是一些工具無法看到的加密數據流的內容。由於它們可以看到流出系統的數據流的數量、目的端以及持續時間,這些工具可以幫助監控該過程中的數據泄露問題。有效利用這種系統很難,尤其是當標識流量“正常”的早期階段;比如入侵檢測系統、數據泄露防護系統、網絡行為分析工具都很容易引發“誤報”,這就提醒我們要判斷哪些是異常行為。安全人員需要花費額外的時間來學習這些系統,或者使用某種專業服務來處理這種耗時的工作。安全團隊還需要確定並遵循安全流程,不斷完善基於警報評估的預警和響應規則,逐漸降低虛假點擊的數量。
做你自己的中間人
預防泄露的最極端的方法是開通所有流經能夠執行這些中間人功能的設備容量網絡的相關部分的加密流量。這些設備內的加密流量面向內部,終止於系統,而通道面向外部,到數據流的另一端結束。通道會對其進行加密解密。然後它可以利用深度數據包檢測工具對內容敏感性進行分析,並標記為可疑,然後完全阻隔或允許通過。如果允許通過,流量將被重新加密,然後發送到目的端。這是一個計算量非常大的任務,而且非常昂貴。但是,通過檢查所有進出的加密流量,可以明顯降低數據被隱藏在加密數據流中的風險。這可以引入他們自己的合理風險,所以加密數據流捕獲的範圍需要仔細定義,並與企業風險管理者討論。如果這個範圍需要擴展到覆蓋用户端點設備和非sFTP加密流,那麼用户需要知道,他們的加密流量可能要暴漏在IT人員面前。 [2] 
參考資料