何謂安全檔案傳輸?

何謂安全檔案傳輸?

作者: Doug Barney
發布日期: 八月 05, 2021 0 Comments

安全檔案傳輸聽起來很簡單,安全的傳輸檔案。但問題的核心在於為何需要安全地傳輸檔案?如果不這樣做會如何?還有如何才能確實做好?

還好,這篇部落格文章並非只是單純的回答何謂安全檔案傳輸。而是將說明如何確保檔案傳輸的安全性,並將涵蓋以下問題:

  • 為何需要安全地傳輸檔案?
  • 如果沒有安全地傳輸檔案會如何?
  • 哪些檔案需要安全地傳輸?
  • 以及到底該怎麼做?

為何需要安全的檔案傳輸?

智慧財產是現今創新企業的命脈。於此同時,競爭也比以往更加激烈,而您的對手會很想知道您公司的情況。但最大的問題在於網路犯罪份子的數量與複雜性都在不斷增長,像是勒索軟體等許多網路攻擊都是以服務的方式提供,所以現在隨便什麼人都能成功發動勒索軟體攻擊或破壞您的資料。最後,資料外洩防護(Data Loss Prevention,DLP)是一個關鍵領域,因為遺失資料最終將導致失去業務,而且還可能面臨巨額的合規罰款以及可能壓倒企業的公關危機。

許多資料往往在移動時會面臨最大的風險,例如在傳輸檔案時。這就是對任何有安全意識的企業而言,安全檔案傳輸是絕對必要的原因。

EDI 並非解方

安全檔案傳輸一點都不新奇,而且主要企業(特別是受到合規法令約束的企業)多年來都有一套自己的方式。對於有許多合作夥伴的大型公司來說,電子資料交換(Electronic Data Interchange,EDI)就是解方。此存在已久的技術一向是共享事物的關鍵,像是與交易合作夥伴的發票往來等。EDI 可以應付與眾多合作夥伴的大量交換,而且大多為交易導向。EDI 解決的問題與安全檔案傳輸解決方案不同。事實上,EDI 交換的並非真正的檔案本身。

檔案是另一回事。檔案不是交易,而是更大的內容,可能有各種不同的格式,例如 word 文件、試算表、PDF、資料庫紀錄及各式各樣的非結構化資料,包括圖檔。正是這種非結構化的資料,讓 EDI 難以應付且無法保障安全。事實上,專家相信,受限於只能傳輸結構化資料的 EDI,僅能處理企業需要共享資料的20%,剩餘的80%都要交由安全檔案傳輸解決方案及其他工具處理。

EDI 亦需要交易合作夥伴在資料格式上達成共識。許多情況下,交易合作夥伴不支援某種特定格式,因此需要轉譯。這時就需要用到檔案傳輸管理(Managed File Transfer,MFT)解決方案,例如 Progress 的 MOVEit。MOVEit 能處理這些轉譯並將檔案傳輸整合至 MOVEit MFT 解決方案與工作流程中。

所以現在您知道我的意圖了。但我們還沒有定義何謂檔案傳輸管理(MFT)。正如其名,MFT 是一種運送及傳輸各類檔案與文件的方法。不同於 Dropbox 等低階解決方案,MFT 解決方案可以納入自動化,簡化大量檔案的傳輸、稽核以追蹤檔案是已否成功發送,還有安全性,以免檔案被篡改或破壞。稍後有MFT的詳細說明。

其他錯誤(且不安全)的檔案傳輸方式

電子郵件:讓我們從或許仍是最常用的檔案傳輸方式開始-老派的電子郵件。電子郵件附件一度讓生活更輕鬆-如果是您剛出生嬰兒的照片,這種方式沒什麼問題。但網路犯罪份子真正想要的可不是什麼小嬰兒的照片。而當附件中含有未公開的公司財務資訊時,電子郵件毫無招架之力。

同時,電子郵件也不是永遠可靠。有多少次您的信件被退回或被丟到垃圾郵件資料夾中?如果您打錯地址了呢?就會有一個您根本不認識的人收到未公開的公司財務資訊,而且可能會轉發給競爭對手。用於檔案傳輸的電子郵件根本無法擴充,而現在越來越多的電子郵件用戶端設有檔案大小的限制,因此不管怎樣都不能傳送較大的檔案。而且要如何確保您的電子郵件與附件送到收件人手裡?真的是靠回條嗎?回條上次發揮作用是什麼時候的事?

隨身碟及硬碟:我們要回到過去,談談用隨身碟或甚至是硬碟運送檔案。您在想我是活在哪個時代,但事實上有些人還在用這種實體運送方法傳遞檔案-這真的很可怕又不安全。隨身碟幾乎都沒有保護或加密,任何意外拿到的人都能查看所有內容。更糟的是,隨身碟依舊是常見的病毒載體。您想要檔案上夾帶有一些勒索軟體嗎?我想您的企業中沒有人使用這種方式,但如果有,應該讓他們馬上停止這麼做!

檔案同步及共享:檔案同步及共享分為兩種:企業級與一般級。通常這些是同一套解決方案-一種免費而且有儲存容量限制,另一種需要付費,但有更多儲存容量且稍微安全一點(真的只有一點)。

這裡有許多的問題和隱憂。首先,身分驗證通常都是採用最基本的方式且容易被駭,多重要素身分驗證是少數特例,並非常規。而這些系統在最終使用者的裝置之間同步,這是另一個安全漏洞。如果一支 iPhone 與 Dropbox 或 Google Drive 同步,則任何拿到手機的人都能看到檔案。

別誤會我的意思,這些都是用於一般檔案類型共享的絕佳解決方案,非關鍵資料能用此方式交換,不會有什麼問題。但關鍵資料、機密資料及屬於合規性規定涵蓋範圍的資料,則絕不能採用此方式。

檔案傳輸協定(FTP):當我們提到 ETI 及 FTP 之類的字眼時,會發現檔案傳輸解決方案與技術已存在一段時間-事實上有幾十年了。FTP 符合該定義,而且一直是 IT、高級使用者與業務人員用來移動檔案的方式,他們認為這是一種安全的方式。這是一項很棒的技術,而且對許多使用情況而言,仍不失為一種好方法。只是安全檔案傳輸不在其中。

FTP 在安全方面不合格,不建議用於機密資料或任何屬於合規性規定範圍的內容。FTP 還有其他致命的缺點,當需要移動很多檔案時,IT 經常要靠腳本將流程自動化,而腳本本身有其複雜性。首先,必須有人花時間寫腳本,且要有人測試腳本確認符合預期。但腳本在管理上很複雜,而且通常只有編寫的人才看得懂-如果哪天那個人離職了呢?

雖然腳本能提供低度的自動化,但真的無法滿足企業需要傳送的檔案量,或是您可需要的不同類型的傳輸。簡言之,FTP 難以保障安全、不易自動化,而且無法妥善追蹤與稽核您的檔案傳輸。

最糟糕的情況是採用多種不同的傳輸檔案方式。在此情況下,檔案副本散落各處,沒有集中的監督與安全防護,早晚會出事。

安全檔案傳輸究竟是什麼?答案就是 MFT

若要安全,檔案傳輸必須受到完整的保護,這意味著在靜止時加密,並對傳輸本身加以追蹤,確保正確發生。此外,任何存取檔案傳輸系統的人皆應驗證身分,最好是經由多重要素身分驗證。我們提過追蹤,應提升此部分的層次,稽核並登錄所有的檔案傳輸,以便完整記錄所有的移動以及與這些傳輸有關的任何問題。

這些問題正是當初開發檔案傳輸管理(MFT)技術的原因。事實上,我們剛才幾乎已經將何謂MFT解決方案說完了-以上全部都是。

憑藉所有這些屬性,MFT 可以完全或大部分取代您目前所用的檔案傳輸方式。這是一個單一、安全、可管理的自動化解決方案,透過單一介面檢視所有活動,大幅降低了檔案傳輸出錯的風險。同時,您的最終使用者及IT會因為自動化及單一介面而更有生產力,與使用各種不同且通常不安全又有問題的傳輸解決方案相比,能創造出正投資報酬率(ROI)。

未必總能滿足加密需求

許多「安全」檔案傳輸工具聲稱安全,因為其並非完全開放,需要設置帳戶及密碼才能存取。這就像是在說您的珠寶很安全,因為門上有鎖,但窗戶卻是打開的一樣。沒有 MFA,幾乎所有東西都會被駭,這些宣稱安全的方案也是如此。

即使網路犯罪份子侵入檔案傳輸系統,您的資料仍應受到保護,要能做到這點只有透過對資料本身進行加密保護。

否則,即便是受到保護的IT解決方案,例如位於防火牆後方且限制最終使用者存取的資料庫,仍可能在資料庫檔案離開DBMS及匯出或傳輸時遭到破壞。這可能發生在傳輸過程,或像是將檔案移到伺服器時,以及檔案靜止不動時。

優良的 MFT 解決方案隨時都能加密資料。

瞭解更多關於 MOVEit 檔案傳輸管理的詳細資訊或取得免費試用版

Doug Barney

Doug Barney was the founding editor of Redmond Magazine, Redmond Channel Partner, Redmond Developer News and Virtualization Review. Doug also served as Executive Editor of Network World, Editor in Chief of AmigaWorld, and Editor in Chief of Network Computing.

評語

Comments are disabled in preview mode.
主題

Sitefinity Training and Certification Now Available.

Let our experts teach you how to use Sitefinity's best-in-class features to deliver compelling digital experiences.

Learn More
Latest Stories
in Your Inbox

Subscribe to get all the news, info and tutorials you need to build better business apps and sites