2021-10-16 18:12:12

文件传输服务 免费编辑 添加义项名

B 添加义项
?
义项指多义词的不同概念,如李娜的义项:网球运动员、歌手等;非诚勿扰的义项:冯小刚执导电影、江苏卫视交友节目等。 查看详细规范>>
所属类别 :
其他
其他
编辑分类

文件传输服务。 Internet 的入网用户可以利用"文件传输服务( FTP )"命令系统进行计算机之间的文件传输,使用 FTP 几乎可以传送任何类型的多媒体文件,如图像、声音、数据压缩文件等。FTP服务是由TCP/IP的文件传输协议支持的,是一种实时的联机服务。

基本信息

  • 中文名称

    文件传输服务

  • 外文名称

    FTP

折叠 编辑本段 服务介绍

文件传输服务。 Internet 的入网用户可以利用"文件传输服务( FTP )"命令系统进行计算机之间的文件传输,使用 FTP 几乎可以传送任何类型的多媒体文件,如图像、声音、数据压缩文件等。FTP服务是由TCP/IP的文件传输协议支持的,是一种实时的联机服务。

采用FTP传输文件时,不需要对文件进行复杂的转换,因此FTP比任何其他方法交换数据都要快的多。Internet与FTP的结合,等于使每个联网的计算机都拥有了一个容量巨大的备份文件库,这是单个计算机无法比拟的优势。但是,这也造成了FTP的一个缺点,那就是用户在文件"下载"到本地之前,无法了解文件的内容。所谓下载就是把远程主机上软件、文字、图片、图像与声音信息转到本地硬盘上。

文件传输服务是一种实时的联机服务。在进行文件传输服务时,首先要登录到对方的计算机上,登录后只可以进行与文件查询、文件传输相关的操作。使用FTP可以传输多种类型的文件,例如文本文件、图像文件、声音文件、数据压缩文件等。

折叠 编辑本段 评估方式

在评估安全的文件传输应用时,企业应当关注如下重要问题:安全性、架构、特性和易用性、管理、报告、许可协议和总拥有成本。

折叠 编辑本段 安全性

由于离开公司边界的数据有可能包含敏感数据或机密信息,锁定这种数据并确保只有经核准的接收者才能够接收信息,这应当成为一个关键标准。安全评估涉及从多个方面来考察产品,其中包括总体架构、数据的存储和保护、用户的身份验证,许可和角色、管理员可定义的策略,甚至还包括一个应用程序如何得到底层平台和现有安全配置的支持。

此外,还要测试其是否能够防御常见的漏洞,如防御SQL注入以及跨站脚本攻击对于任何面向公众的应用程序都非常重要。

折叠 编辑本段 架构

解决方案的总体架构和设计方法可以在很大程度上反映厂商在产品中的计划和思路。优秀的产品开发者为当今的需要而构建产品,但要预先考虑到明天的需要。在审查任何安全文件传输架构时,企业应注意厂商如何处理加密、灵活性、可升级性、对大文件的支持、网络中断及策略等。

此外,考虑现有应用程序的集成和扩展、可定制性、性能、用户和系统管理、产品的平台支持和编程接口等问题也很重要。此外,还要考虑该应用程序设计是否符合逻辑,各组件是否能很好地匹配,以及安全文件传输应用是否适应现有的基础架构。

折叠 编辑本段 特性和易用性

设计良好的用户界面对于任何技术的成功和有效利用都至关重要。一个系统的界面越友好,就越有可能被采用。安全传输应用界面的重要元素包括屏幕是否整洁、控制是否直观、文本表达是否清晰、外观和感觉是否总体一致等。这些要素直接影响到传输方案的采用,而最容易使用的工具将最有可能被终端用户接受。

折叠 编辑本段 管理

管理一个安全文件传输方案时涉及两个重要方面:用户管理和系统配置。基本的用户管理规则包括:使信息副本最小化(例如,在多用户数据库中)、利用现有的身份和访问管理数据库、在无需连续IT干预时就尽可能地使自动系统运行。灵活的系统配置和设置可以使公司更密切地匹配和支持现有的策略和过程。

折叠 编辑本段 报告

在部署了安全的文件传输方案后,报告就成为一个理解方案的利用、审计支持的重要工具。合规需求可能要求报告的生成满足法律规范,或满足内部使用指南和公司的监管。对用户活动的监视以及深入分析真实活动的能力有助于确定或纠正不合规的活动和过程,并满足企业的文件共享限制。

许可协议和总拥有成本

企业实施安全的文件传输工具可以使用户用新方式通过安全通道来发送敏感文件和数据。虽然这种功能一开始有可能满足某些个人或个别部门的需要,但其实施规模往往会越来越大。

折叠 编辑本段 安全方法

防火墙规则:严格限制文件传输范围

限制文件传输的信道的范围是防火墙使用的基本规则,但是一旦指定了一个或几个系统作为你的sFTP枢纽,那么要确保下面几个问题:

  • 只有包含在规则允许的sFTP流量系统可以通过防火墙;
  • 只有远端的被认可的系统可以作为sFTP数据包的源端或目的端;
  • SFTP是通过这些系统的防火墙的唯一的加密流量。尽管sFTP流量是加密的,但它是不透明的管理工具,所以你要确保它是唯一流向这些系统或从这些系统流出的不透明流量。

大多数组织都没有需要和外部实体或做批量文件的安全传输快速增长或系统的变化清单。所以如果你确实需要频繁或快速的变化,你可能需要利用一些安全协调工具,把必要的规则调整为源端或目的端。

使用主机工具

考虑到你的环境的其余部分,你需要仔细考虑基于主机的缓解方式。安全和系统管理供应商最近几年有所改变,在他们的基于主机的系统监控工具中引入了高速分析。特别是有一些已经发现既可以用于正常行为模式,比如操作系统服务调用(恶意软件、企业内部人员以及外部攻击人员必须使用的),也可以发现系统上对于性能影响最小的异常情况。运行基于主机的异常行为检测可以减少敏感数据移到未经许可的通道中。

不要关注内容,要关注网络行为

除了主机,网络行为分析还可以发现数据流的变化,甚至是一些工具无法看到的加密数据流的内容。由于它们可以看到流出系统的数据流的数量、目的端以及持续时间,这些工具可以帮助监控该过程中的数据泄露问题。有效利用这种系统很难,尤其是当标识流量"正常"的早期阶段;比如入侵检测系统、数据泄露防护系统、网络行为分析工具都很容易引发"误报",这就提醒我们要判断哪些是异常行为。安全人员需要花费额外的时间来学习这些系统,或者使用某种专业服务来处理这种耗时的工作。安全团队还需要确定并遵循安全流程,不断完善基于警报评估的预警和响应规则,逐渐降低虚假点击的数量。

做你自己的中间人

预防泄露的最极端的方法是开通所有流经能够执行这些中间人功能的设备容量网络的相关部分的加密流量。这些设备内的加密流量面向内部,终止于系统,而通道面向外部,到数据流的另一端结束。通道会对其进行加密解密。然后它可以利用深度数据包检测工具对内容敏感性进行分析,并标记为可疑,然后完全阻隔或允许通过。如果允许通过,流量将被重新加密,然后发送到目的端。这是一个计算量非常大的任务,而且非常昂贵。但是,通过检查所有进出的加密流量,可以明显降低数据被隐藏在加密数据流中的风险。这可以引入他们自己的合理风险,所以加密数据流捕获的范围需要仔细定义,并与企业风险管理者讨论。如果这个范围需要扩展到覆盖用户端点设备和非sFTP加密流,那么用户需要知道,他们的加密流量可能要暴漏在IT人员面前。

阅读全文

热点资讯