日韩无码专区无码一级三级片|91人人爱网站中日韩无码电影|厨房大战丰满熟妇|AV高清无码在线免费观看|另类AV日韩少妇熟女|中文日本大黄一级黄色片|色情在线视频免费|亚洲成人特黄a片|黄片wwwav色图欧美|欧亚乱色一区二区三区

RELATEED CONSULTING
相關咨詢
選擇下列產品馬上在線溝通
服務時間:8:30-17:00
你可能遇到了下面的問題
關閉右側工具欄

新聞中心

這里有您想知道的互聯網營銷解決方案
安全管理文件傳輸如何幫助滿足規(guī)程遵從

現代科技帶來的最大便利是信息得以從一個人或系統(tǒng)快速地傳遞到另一個,但是,傳遞文件的方法卻沒有方法本身那樣安全——或者也不如法規(guī)要求的那樣安全。

本文是《Tips and Tricks Guide to Managed File Transfer》(《管理文件傳輸技巧指南》)卷一的摘錄,作者Don Jones在文中解釋了要確保安全的文件傳輸管理,同時符合法規(guī)要求,你的企業(yè)需要采取哪些步驟。

如今的公司正面臨著越來越多的來自法律和行業(yè)內部的要求,這些要求大多圍繞安全主題。法律規(guī)定有健康保險流通與責任法案(HIPAA)、薩班斯法案(SOX)、格拉姆-利奇-比利雷法案(Gramm-Leach-Bliley ,GLBA)、支付卡行業(yè)數據安全標準(PCI DSS)、巴塞爾II以及更多嚴格的與你業(yè)務涉及的特殊數據——通常是業(yè)務的核心數據,如客戶信息和財務數據——相關的數據安全要求。

有時候,這些要求在技術上非常嚴謹。如PCI DSS,關于什么樣的數據必須被保護(客戶和持卡人信息)、什么時候必須被保護(轉移和儲存的時候)以及怎樣保護(大多數時候是加密),該標準都有具體的規(guī)定。但另外一些時候,某些數據安全要求又顯得很籠統(tǒng),沒有那么多技術性質。HIPAA就是這樣,該法案只是籠統(tǒng)地要求病人信息不能夠向未授權的第三方透露;2009年HIPAA的補充法案同時還要求數據持有方在數據意外泄漏時要通知相關個人。

從技術上來講,那些業(yè)務級的標準要求通常都難以實現。例如,假設你在醫(yī)療行業(yè)工作,受到HIPAA的制約。如果你需要將病人信息轉給一個合作伙伴,那么你就必須按照HIPAA的規(guī)定來做。這意味著你需要實現以下幾種技術控制:

儲存數據時進行加密

在公司內部的傳輸過程中可能需要對數據加密,尤其是使用公共網絡傳輸數據的時候(如遠程辦公的員工訪問數據時)

向合作伙伴傳輸數據時要加密數據

安全地刪除傳輸過程產生的臨時文件

跟蹤每一起數據保存期間的數據訪問

跟蹤每一次數據傳輸

將跟蹤信息保存在防篡改的數據庫或日志中

控制能夠發(fā)起特殊數據傳輸的員工

理解法律法規(guī)是如何影響文件傳輸的#p#

一個管理文件傳輸(Managed File Transfer,MFT)系統(tǒng)可以幫助你滿足上述許多要求。通過使用一個正確配置的MFT系統(tǒng)作為唯一的數據傳輸手段——在公司內部以及公司之間可能都需要——你可以更加容易地實現這些數據安全要求。

一個MFT系統(tǒng)——主要用于數據傳輸——顯然不能直接滿足“靜態(tài)數據(data at rest)”——指儲存在你的文件服務器、數據庫等內的數據——的安全要求。然而,因為MFT系統(tǒng)經常保存被傳輸數據的臨時拷貝,所以它們會受到“靜態(tài)數據”安全要求的影響。一個有效的MFT系統(tǒng)能夠完全保障此類臨時文件的安全,即只有MFT系統(tǒng)本身可以訪問這些文件,也即任何對這些文件的訪問都需要審核。通常地,MFT系統(tǒng)依賴于底層操作系統(tǒng)(OS)——如Windows或者Linux——來提供安全性和對臨時文件的訪問的審核。一個好的MFT系統(tǒng)具有自動地、安全地清除不需要的臨時文件的能力,減少這些文件成為數據泄漏源頭的可能。

數據開始進行傳輸后,MFT系統(tǒng)在滿足安全要求方面的價值才真正體現出來。一個受到聯邦信息處理標準(FIPS)140-2認證的MFT系統(tǒng)能夠自動地提供足夠的加密級別,符合大多數美國和加拿大的安全標準;你只需保證你的MFT系統(tǒng)使用支持此類加密文件傳輸協議即可。

MFT系統(tǒng)(至少要是一個優(yōu)秀的MFT系統(tǒng))能夠跟蹤是誰傳輸了文件、什么時候傳輸的、傳輸過程持續(xù)了多長時間、傳輸的目的地、傳輸的是什么文件等等。這些信息應該保存在安全的、防篡改的數據庫中,該數據庫不能被直接修改(除非是受到高度信任的管理員)。一個優(yōu)秀的MFT系統(tǒng)同樣能夠集中控制誰能夠發(fā)起傳輸、誰可以使用最高級別的管理策略修改系統(tǒng)使用的文件傳輸協議、何種日志文件可以保存以及何種文件允許被傳輸。

用以實現這種級別的安全規(guī)定的技術可能很復雜。事實上,提供必要的加密協議可能會要求驚人數量的專業(yè)知識,因為一個完全符合規(guī)定的MFT系統(tǒng)需要提供FIPS認證的加密算法和加密模塊。對供應商來說,獲得這種認證需要耗費大量的金錢和時間,而且也要求具有高水平的軟件和加密技術。

管理文件傳輸(MFT)系統(tǒng)應具備的功能

對安全規(guī)則的徹底理解也是非常重要的。例如,某些規(guī)定要求,只有當泄漏數據是未加密的,你才需要向客戶通報數據泄漏事件。這意味著,對數據和傳輸數據流都進行加密可以使你的生活更加簡單:如果在數據傳輸之前或之后發(fā)生不當的泄漏,數據傳輸過程及數據本身還是加密的,所以實際上你并沒有泄漏任何東西。如圖1所示,MFT系統(tǒng)就能夠提供這種功能,通常是使用如PGP之類的工業(yè)標準技術,建立一個基于文件加密的中間層。

圖1:多層加密幫助滿足不同的安全要求

通過加入認證機制——確保發(fā)送和接受雙方在開始任何傳輸之前都能夠確認對方身份——你可以進一步滿足安全規(guī)則需求。使用加密哈希算法,如安全散列算法(Secure Hash Algorithm,SHA),你可以確保文件在傳輸過程中不會被破壞或者篡改,從而提供了進一步的保護。

必須要設立的技術協議和配置有很多。建立自己的支持SFTP、PHP、SSL、SHA以及許多其他安全相關的協議和技術的系統(tǒng)是不可行的。實際上,對現在的企業(yè)來說,在評估MFT系統(tǒng)時,要求他們成為系統(tǒng)細節(jié)方面的專家是不切實際的。容我解釋一下:通常,企業(yè)會嘗試將安全規(guī)定轉化為對應的技術要求,然后尋求能夠滿足這些技術要求的解決方案。我把這稱為“二次映射(double mapping)”,如圖2所展示的那樣。#p#

圖2:將安全規(guī)定映射為技術要求,再尋求解決方案

企業(yè)的此類努力無法得到(一定能找到解決方案的)保證。安全規(guī)定已經公布了足夠長時間,已經得到了很好的理解;提供符合規(guī)定的安全系統(tǒng)的供應商會為你完成上述映射。圖3顯示了什么是你應該尋找的:一個具有直接滿足安全規(guī)定的能力的系統(tǒng),該系統(tǒng)可以在你需要的時候提供底層的技術解釋,但其重點還是在業(yè)務層面。

圖3:映射安全規(guī)定到安全系統(tǒng)的功能

這并不是說貴公司不應該關心底層的技術實現;而是你首先需要關心的是如何滿足規(guī)定以及尋找滿足規(guī)定的解決方案——如例子中的SOX DS5.11。供應商會在圖表中提供必要的信息,如圖4中的摘要。

圖4:展示安全規(guī)定的映射

這才是問題“管理文件傳輸系統(tǒng)如何幫助我滿足和實現安全規(guī)定”的真正答案。你應該要能指出與你業(yè)務相關的法律或行業(yè)規(guī)則,然后看看一個現有的解決方案是如何滿足這些特定規(guī)則的。

【編輯推薦】

  1. 嗅探TFTP配置文件傳輸
  2. 內網安全管理隱患應從準入控制做起
  3. 終端安全管理,準入控制為先
  4. 對VPN、防火墻集中安全管理平臺的詳細介紹

本文名稱:安全管理文件傳輸如何幫助滿足規(guī)程遵從
本文路徑:http://m.5511xx.com/article/codciii.html