企业对于发送和接收大型文件很是头痛,他们通常会对邮件系统进行严格的文件大小限制,并且,他们也没有提供其他安全传输大型文件的方法,这使员工不得不使用个人电子邮件账户、Dropbox和其他不安全方法来传输文件。
本文将总结大型文件传输的安全问题,并为企业提供一些低成本方法(例如云服务、SSH FTP等)来确保文件传输活动不会造成数据泄露。
不安全文件传输的风险
发送文件是日常工作的一部分,但很多时候,企业的IT系统无法处理这些传输,或者被配置为以不安全的方式传输文件。在企业中,现在员工经常使用流行的个人存储网站来传输文件,但糟糕的密码设置或者服务供应商方面缺乏足够的安全保护都可能造成数据泄露。
这是信息安全团队需要发挥作用的领域,他们需要确保业务部门能够安全正常运作,同时保证其工作效率不受影响。信息安全团队的工作包括让业务部门了解安全风险,并让他们通过人力、流程和技术来缓解风险,最终让业务部门决定如何管理这些风险。
不安全文件传输的风险是巨大的:包含敏感的知识产权、营销战略或者销售预测的文件如果丢失,可能对企业带来负面影响;更糟糕的是,如果信用卡数据、医疗记录和其他客户信息没有安全传输,或者没有遵守PCI DSS和HIPAA法规要求,可能导致企业面临罚款或者失去客户的信任,最终让企业倒退几年。从这里来看,不安全的文件传输的风险比看起来更加严重。
企业必须限制员工访问Dropbox、YouSendIt、Google Drive等网站,并让员工使用经企业批准的安全文件传输系统或服务。很多这些网站使用HTTPS来传输文件,这使我们很难看到实际被传输(流入和流出网络)的内容。阻止这种不恰当的访问的最好办法之一是使用web过滤工具,同时仅向那些将其用于业务目的的人开放这些访问。另外,在域级别阻止是拒绝访问这些网站的最简单的方法。
企业还应该阻止这些网站以及基于代理和web的上传功能,这是切断敏感文件在不知情的情况下离开企业的主要途径。此外,这可以让安全团队来监测谁仍然在使用这些网站,以及检查特定用户或组是否出现了问题。这可能会突出特殊解决方案的业务需求。最后企业可能需要部署政策和程序来管理如何访问这些系统,并对谁访问了系统有明确的审计线索。从一开始就对用户可能的行为设置准则将帮助为安全传输大型文件打好基础。
解决问题
一些供应商(例如Accellion、ProofPoint和LiquidFiles)提供部署在企业内部的系统,作为“内部”个人存储设备。这些系统将文件本地存储在网络内的设备中,允许企业在组或者第三方之间分享资料。很多这些系统将文件存储在这个内部存储中,员工可以发送电子邮件或链接给收件人,让收件人从企业的站点来下载文件。有些供应商还提供移动应用,允许员工通过手持设备或平板电脑来访问和共享企业的文件。此外,在进入或者离开这些系统前,所有文件都可以进行审核以及扫描恶意内容。
此外,也有很多具有类似功能的云服务,但它们不是将数据存储在本地。这些产品允许更高的冗余、备份,并增加了存储和可扩展性。但它的一个缺点就是,企业需要确定这些数据被存储在哪里、谁能够访问数据以及厂商能怎样操作数据。虽然基于云的服务有很多好处,对于很多企业而言,云服务是可行的解决方案,但使用这种类型服务的企业首先要确保数据在存储中进行了加密,并且非常重要的数据不会被发送到云中。
最后,对于一些企业而言,使用SSH文件传输协议(SFTP)或安全文件传输协议(FTPS)等系统可能是最好的选择,这些系统允许企业以最低成本来保护文件传输。笔者看到过很多没有足够预算的小型企业使用标准FTP(这本身已经很危险),同时使用PGP加密软件来加密文件,再将文件发送到第三方或者供应商。请记住,这并不是理想的解决方案,但它比单独使用FTP等协议或者免费的公共服务更加安全。
结论
企业在确保安全文件传输时有很多选择,企业绝不能允许不安全的文件传输,因为这可能导致敏感数据以惊人的数据泄露出去。企业应该设置一个经批准的安全文件传输方法,并且对账户进行审计,这将是防止破坏性数据丢失的理想方式。