安全檔案傳輸聽起來很簡單,安全的傳輸檔案。但問題的核心在於為何需要安全地傳輸檔案?如果不這樣做會如何?還有如何才能確實做好?
還好,這篇部落格文章並非只是單純的回答何謂安全檔案傳輸。而是將說明如何確保檔案傳輸的安全性,並將涵蓋以下問題:
智慧財產是現今創新企業的命脈。於此同時,競爭也比以往更加激烈,而您的對手會很想知道您公司的情況。但最大的問題在於網路犯罪份子的數量與複雜性都在不斷增長,像是勒索軟體等許多網路攻擊都是以服務的方式提供,所以現在隨便什麼人都能成功發動勒索軟體攻擊或破壞您的資料。最後,資料外洩防護(Data Loss Prevention,DLP)是一個關鍵領域,因為遺失資料最終將導致失去業務,而且還可能面臨巨額的合規罰款以及可能壓倒企業的公關危機。
許多資料往往在移動時會面臨最大的風險,例如在傳輸檔案時。這就是對任何有安全意識的企業而言,安全檔案傳輸是絕對必要的原因。
安全檔案傳輸一點都不新奇,而且主要企業(特別是受到合規法令約束的企業)多年來都有一套自己的方式。對於有許多合作夥伴的大型公司來說,電子資料交換(Electronic Data Interchange,EDI)就是解方。此存在已久的技術一向是共享事物的關鍵,像是與交易合作夥伴的發票往來等。EDI 可以應付與眾多合作夥伴的大量交換,而且大多為交易導向。EDI 解決的問題與安全檔案傳輸解決方案不同。事實上,EDI 交換的並非真正的檔案本身。
檔案是另一回事。檔案不是交易,而是更大的內容,可能有各種不同的格式,例如 word 文件、試算表、PDF、資料庫紀錄及各式各樣的非結構化資料,包括圖檔。正是這種非結構化的資料,讓 EDI 難以應付且無法保障安全。事實上,專家相信,受限於只能傳輸結構化資料的 EDI,僅能處理企業需要共享資料的20%,剩餘的80%都要交由安全檔案傳輸解決方案及其他工具處理。
EDI 亦需要交易合作夥伴在資料格式上達成共識。許多情況下,交易合作夥伴不支援某種特定格式,因此需要轉譯。這時就需要用到檔案傳輸管理(Managed File Transfer,MFT)解決方案,例如 Progress 的 MOVEit。MOVEit 能處理這些轉譯並將檔案傳輸整合至 MOVEit MFT 解決方案與工作流程中。
所以現在您知道我的意圖了。但我們還沒有定義何謂檔案傳輸管理(MFT)。正如其名,MFT 是一種運送及傳輸各類檔案與文件的方法。不同於 Dropbox 等低階解決方案,MFT 解決方案可以納入自動化,簡化大量檔案的傳輸、稽核以追蹤檔案是已否成功發送,還有安全性,以免檔案被篡改或破壞。稍後有MFT的詳細說明。
電子郵件:讓我們從或許仍是最常用的檔案傳輸方式開始-老派的電子郵件。電子郵件附件一度讓生活更輕鬆-如果是您剛出生嬰兒的照片,這種方式沒什麼問題。但網路犯罪份子真正想要的可不是什麼小嬰兒的照片。而當附件中含有未公開的公司財務資訊時,電子郵件毫無招架之力。
同時,電子郵件也不是永遠可靠。有多少次您的信件被退回或被丟到垃圾郵件資料夾中?如果您打錯地址了呢?就會有一個您根本不認識的人收到未公開的公司財務資訊,而且可能會轉發給競爭對手。用於檔案傳輸的電子郵件根本無法擴充,而現在越來越多的電子郵件用戶端設有檔案大小的限制,因此不管怎樣都不能傳送較大的檔案。而且要如何確保您的電子郵件與附件送到收件人手裡?真的是靠回條嗎?回條上次發揮作用是什麼時候的事?
隨身碟及硬碟:我們要回到過去,談談用隨身碟或甚至是硬碟運送檔案。您在想我是活在哪個時代,但事實上有些人還在用這種實體運送方法傳遞檔案-這真的很可怕又不安全。隨身碟幾乎都沒有保護或加密,任何意外拿到的人都能查看所有內容。更糟的是,隨身碟依舊是常見的病毒載體。您想要檔案上夾帶有一些勒索軟體嗎?我想您的企業中沒有人使用這種方式,但如果有,應該讓他們馬上停止這麼做!
檔案同步及共享:檔案同步及共享分為兩種:企業級與一般級。通常這些是同一套解決方案-一種免費而且有儲存容量限制,另一種需要付費,但有更多儲存容量且稍微安全一點(真的只有一點)。
這裡有許多的問題和隱憂。首先,身分驗證通常都是採用最基本的方式且容易被駭,多重要素身分驗證是少數特例,並非常規。而這些系統在最終使用者的裝置之間同步,這是另一個安全漏洞。如果一支 iPhone 與 Dropbox 或 Google Drive 同步,則任何拿到手機的人都能看到檔案。
別誤會我的意思,這些都是用於一般檔案類型共享的絕佳解決方案,非關鍵資料能用此方式交換,不會有什麼問題。但關鍵資料、機密資料及屬於合規性規定涵蓋範圍的資料,則絕不能採用此方式。
檔案傳輸協定(FTP):當我們提到 ETI 及 FTP 之類的字眼時,會發現檔案傳輸解決方案與技術已存在一段時間-事實上有幾十年了。FTP 符合該定義,而且一直是 IT、高級使用者與業務人員用來移動檔案的方式,他們認為這是一種安全的方式。這是一項很棒的技術,而且對許多使用情況而言,仍不失為一種好方法。只是安全檔案傳輸不在其中。
FTP 在安全方面不合格,不建議用於機密資料或任何屬於合規性規定範圍的內容。FTP 還有其他致命的缺點,當需要移動很多檔案時,IT 經常要靠腳本將流程自動化,而腳本本身有其複雜性。首先,必須有人花時間寫腳本,且要有人測試腳本確認符合預期。但腳本在管理上很複雜,而且通常只有編寫的人才看得懂-如果哪天那個人離職了呢?
雖然腳本能提供低度的自動化,但真的無法滿足企業需要傳送的檔案量,或是您可需要的不同類型的傳輸。簡言之,FTP 難以保障安全、不易自動化,而且無法妥善追蹤與稽核您的檔案傳輸。
最糟糕的情況是採用多種不同的傳輸檔案方式。在此情況下,檔案副本散落各處,沒有集中的監督與安全防護,早晚會出事。
若要安全,檔案傳輸必須受到完整的保護,這意味著在靜止時加密,並對傳輸本身加以追蹤,確保正確發生。此外,任何存取檔案傳輸系統的人皆應驗證身分,最好是經由多重要素身分驗證。我們提過追蹤,應提升此部分的層次,稽核並登錄所有的檔案傳輸,以便完整記錄所有的移動以及與這些傳輸有關的任何問題。
這些問題正是當初開發檔案傳輸管理(MFT)技術的原因。事實上,我們剛才幾乎已經將何謂MFT解決方案說完了-以上全部都是。
憑藉所有這些屬性,MFT 可以完全或大部分取代您目前所用的檔案傳輸方式。這是一個單一、安全、可管理的自動化解決方案,透過單一介面檢視所有活動,大幅降低了檔案傳輸出錯的風險。同時,您的最終使用者及IT會因為自動化及單一介面而更有生產力,與使用各種不同且通常不安全又有問題的傳輸解決方案相比,能創造出正投資報酬率(ROI)。
許多「安全」檔案傳輸工具聲稱安全,因為其並非完全開放,需要設置帳戶及密碼才能存取。這就像是在說您的珠寶很安全,因為門上有鎖,但窗戶卻是打開的一樣。沒有 MFA,幾乎所有東西都會被駭,這些宣稱安全的方案也是如此。
即使網路犯罪份子侵入檔案傳輸系統,您的資料仍應受到保護,要能做到這點只有透過對資料本身進行加密保護。
否則,即便是受到保護的IT解決方案,例如位於防火牆後方且限制最終使用者存取的資料庫,仍可能在資料庫檔案離開DBMS及匯出或傳輸時遭到破壞。這可能發生在傳輸過程,或像是將檔案移到伺服器時,以及檔案靜止不動時。
優良的 MFT 解決方案隨時都能加密資料。