盗墓笔记小说下载,我欲封天耳根小说零,小说阅读网站

新聞中心

這里有您想知道的互聯(lián)網(wǎng)營銷解決方案

安全管理文件傳輸如何幫助滿足規(guī)程遵從

現(xiàn)代科技帶來的最大便利是信息得以從一個人或系統(tǒng)快速地傳遞到另一個，但是，傳遞文件的方法卻沒有方法本身那樣安全——或者也不如法規(guī)要求的那樣安全。

本文是《Tips and Tricks Guide to Managed File Transfer》（《管理文件傳輸技巧指南》）卷一的摘錄，作者Don Jones在文中解釋了要確保安全的文件傳輸管理，同時符合法規(guī)要求，你的企業(yè)需要采取哪些步驟。

如今的公司正面臨著越來越多的來自法律和行業(yè)內(nèi)部的要求，這些要求大多圍繞安全主題。法律規(guī)定有健康保險流通與責任法案（HIPAA）、薩班斯法案（SOX）、格拉姆-利奇-比利雷法案（Gramm-Leach-Bliley ，GLBA）、支付卡行業(yè)數(shù)據(jù)安全標準（PCI DSS）、巴塞爾II以及更多嚴格的與你業(yè)務涉及的特殊數(shù)據(jù)——通常是業(yè)務的核心數(shù)據(jù)，如客戶信息和財務數(shù)據(jù)——相關的數(shù)據(jù)安全要求。

有時候，這些要求在技術上非常嚴謹。如PCI DSS，關于什么樣的數(shù)據(jù)必須被保護（客戶和持卡人信息）、什么時候必須被保護（轉(zhuǎn)移和儲存的時候）以及怎樣保護（大多數(shù)時候是加密），該標準都有具體的規(guī)定。但另外一些時候，某些數(shù)據(jù)安全要求又顯得很籠統(tǒng)，沒有那么多技術性質(zhì)。HIPAA就是這樣，該法案只是籠統(tǒng)地要求病人信息不能夠向未授權的第三方透露；2009年HIPAA的補充法案同時還要求數(shù)據(jù)持有方在數(shù)據(jù)意外泄漏時要通知相關個人。

從技術上來講，那些業(yè)務級的標準要求通常都難以實現(xiàn)。例如，假設你在醫(yī)療行業(yè)工作，受到HIPAA的制約。如果你需要將病人信息轉(zhuǎn)給一個合作伙伴，那么你就必須按照HIPAA的規(guī)定來做。這意味著你需要實現(xiàn)以下幾種技術控制：

儲存數(shù)據(jù)時進行加密

在公司內(nèi)部的傳輸過程中可能需要對數(shù)據(jù)加密，尤其是使用公共網(wǎng)絡傳輸數(shù)據(jù)的時候（如遠程辦公的員工訪問數(shù)據(jù)時）

向合作伙伴傳輸數(shù)據(jù)時要加密數(shù)據(jù)

安全地刪除傳輸過程產(chǎn)生的臨時文件

跟蹤每一起數(shù)據(jù)保存期間的數(shù)據(jù)訪問

跟蹤每一次數(shù)據(jù)傳輸

將跟蹤信息保存在防篡改的數(shù)據(jù)庫或日志中

控制能夠發(fā)起特殊數(shù)據(jù)傳輸?shù)膯T工

理解法律法規(guī)是如何影響文件傳輸?shù)?p#

一個管理文件傳輸（Managed File Transfer，MFT）系統(tǒng)可以幫助你滿足上述許多要求。通過使用一個正確配置的MFT系統(tǒng)作為唯一的數(shù)據(jù)傳輸手段——在公司內(nèi)部以及公司之間可能都需要——你可以更加容易地實現(xiàn)這些數(shù)據(jù)安全要求。

一個MFT系統(tǒng)——主要用于數(shù)據(jù)傳輸——顯然不能直接滿足“靜態(tài)數(shù)據(jù)（data at rest）”——指儲存在你的文件服務器、數(shù)據(jù)庫等內(nèi)的數(shù)據(jù)——的安全要求。然而，因為MFT系統(tǒng)經(jīng)常保存被傳輸數(shù)據(jù)的臨時拷貝，所以它們會受到“靜態(tài)數(shù)據(jù)”安全要求的影響。一個有效的MFT系統(tǒng)能夠完全保障此類臨時文件的安全，即只有MFT系統(tǒng)本身可以訪問這些文件，也即任何對這些文件的訪問都需要審核。通常地，MFT系統(tǒng)依賴于底層操作系統(tǒng)(OS)——如Windows或者Linux——來提供安全性和對臨時文件的訪問的審核。一個好的MFT系統(tǒng)具有自動地、安全地清除不需要的臨時文件的能力，減少這些文件成為數(shù)據(jù)泄漏源頭的可能。

數(shù)據(jù)開始進行傳輸后，MFT系統(tǒng)在滿足安全要求方面的價值才真正體現(xiàn)出來。一個受到聯(lián)邦信息處理標準（FIPS）140-2認證的MFT系統(tǒng)能夠自動地提供足夠的加密級別，符合大多數(shù)美國和加拿大的安全標準；你只需保證你的MFT系統(tǒng)使用支持此類加密文件傳輸協(xié)議即可。

MFT系統(tǒng)（至少要是一個優(yōu)秀的MFT系統(tǒng)）能夠跟蹤是誰傳輸了文件、什么時候傳輸?shù)摹鬏斶^程持續(xù)了多長時間、傳輸?shù)哪康牡亍鬏數(shù)氖鞘裁次募鹊?。這些信息應該保存在安全的、防篡改的數(shù)據(jù)庫中，該數(shù)據(jù)庫不能被直接修改（除非是受到高度信任的管理員）。一個優(yōu)秀的MFT系統(tǒng)同樣能夠集中控制誰能夠發(fā)起傳輸、誰可以使用最高級別的管理策略修改系統(tǒng)使用的文件傳輸協(xié)議、何種日志文件可以保存以及何種文件允許被傳輸。

用以實現(xiàn)這種級別的安全規(guī)定的技術可能很復雜。事實上，提供必要的加密協(xié)議可能會要求驚人數(shù)量的專業(yè)知識，因為一個完全符合規(guī)定的MFT系統(tǒng)需要提供FIPS認證的加密算法和加密模塊。對供應商來說，獲得這種認證需要耗費大量的金錢和時間，而且也要求具有高水平的軟件和加密技術。

管理文件傳輸（MFT）系統(tǒng)應具備的功能

對安全規(guī)則的徹底理解也是非常重要的。例如，某些規(guī)定要求，只有當泄漏數(shù)據(jù)是未加密的，你才需要向客戶通報數(shù)據(jù)泄漏事件。這意味著，對數(shù)據(jù)和傳輸數(shù)據(jù)流都進行加密可以使你的生活更加簡單：如果在數(shù)據(jù)傳輸之前或之后發(fā)生不當?shù)男孤瑪?shù)據(jù)傳輸過程及數(shù)據(jù)本身還是加密的，所以實際上你并沒有泄漏任何東西。如圖1所示，MFT系統(tǒng)就能夠提供這種功能，通常是使用如PGP之類的工業(yè)標準技術，建立一個基于文件加密的中間層。

圖1：多層加密幫助滿足不同的安全要求

通過加入認證機制——確保發(fā)送和接受雙方在開始任何傳輸之前都能夠確認對方身份——你可以進一步滿足安全規(guī)則需求。使用加密哈希算法，如安全散列算法（Secure Hash Algorithm，SHA），你可以確保文件在傳輸過程中不會被破壞或者篡改，從而提供了進一步的保護。

必須要設立的技術協(xié)議和配置有很多。建立自己的支持SFTP、PHP、SSL、SHA以及許多其他安全相關的協(xié)議和技術的系統(tǒng)是不可行的。實際上，對現(xiàn)在的企業(yè)來說，在評估MFT系統(tǒng)時，要求他們成為系統(tǒng)細節(jié)方面的專家是不切實際的。容我解釋一下：通常，企業(yè)會嘗試將安全規(guī)定轉(zhuǎn)化為對應的技術要求，然后尋求能夠滿足這些技術要求的解決方案。我把這稱為“二次映射（double mapping）”，如圖2所展示的那樣。#p#

圖2：將安全規(guī)定映射為技術要求，再尋求解決方案

企業(yè)的此類努力無法得到（一定能找到解決方案的）保證。安全規(guī)定已經(jīng)公布了足夠長時間，已經(jīng)得到了很好的理解；提供符合規(guī)定的安全系統(tǒng)的供應商會為你完成上述映射。圖3顯示了什么是你應該尋找的：一個具有直接滿足安全規(guī)定的能力的系統(tǒng)，該系統(tǒng)可以在你需要的時候提供底層的技術解釋，但其重點還是在業(yè)務層面。

圖3：映射安全規(guī)定到安全系統(tǒng)的功能

這并不是說貴公司不應該關心底層的技術實現(xiàn)；而是你首先需要關心的是如何滿足規(guī)定以及尋找滿足規(guī)定的解決方案——如例子中的SOX DS5.11。供應商會在圖表中提供必要的信息，如圖4中的摘要。

圖4：展示安全規(guī)定的映射

這才是問題“管理文件傳輸系統(tǒng)如何幫助我滿足和實現(xiàn)安全規(guī)定”的真正答案。你應該要能指出與你業(yè)務相關的法律或行業(yè)規(guī)則，然后看看一個現(xiàn)有的解決方案是如何滿足這些特定規(guī)則的。

【編輯推薦】

嗅探TFTP配置文件傳輸
內(nèi)網(wǎng)安全管理隱患應從準入控制做起
終端安全管理，準入控制為先
對VPN、防火墻集中安全管理平臺的詳細介紹

分享文章：安全管理文件傳輸如何幫助滿足規(guī)程遵從
URL標題：http://www.fisionsoft.com.cn/article/codciii.html

新聞中心

其他資訊