檔案傳輸管理 (Managed File Transfer)
每天,數以萬計的電子檔案在世界各地的企業/政府單位/組織間交換,這些電子檔案一定包含了關鍵資料如企業營運的客戶資料、人事資料、財務資料等等。大部份的檔案是經由FTP (File Transfer Protocol)協議在各個電腦間完成的;FTP是非常老的檔案傳輸方法, 它很有用, 也很便宜(通常是免費的), 大部份電腦作業系統都內建FTP功能, 它也成為企業不可或缺的IT工具了。
但很少管理者了解FTP的風險:很難控制及不安全
許多組織允許使用者直接在其個人電腦上使用FTP軟體上傳或下載檔案, 但這些FTP軟體 (包括Windows指令模式)都需要人員介入與操作, 這就容易產生問題, 如操作錯誤而送錯檔案;有些情況須要額外的設定, 這也造成資訊人員的負擔。許多FTP軟體允許使用Script來自動執行重覆的檔案傳輸動作, 但這些script需要有程式設計基礎的人來撰寫, 而且script的功能很有限。有時當FTP Server改變或使用者ID或密碼變動, 資訊人員必須花很多時間介入處理. 這種分散式的FTP作業方式造成很難掌控與處理.
FTP在網際網路發明之前就已存在, 當時不用考慮太多資料安全問題, 現今駭客盛行, 企業經營的風險與各種法規的要求都直指必須重新檢視如何安全的傳輸檔案。
- 法規要求:例如PCI就規範信用卡號碼不得以明碼方式傳輸及儲存,否則會罰以重款且可能造成機密資料的外洩;沙賓(Sarbanes-Oxley)法案要求營運流程中的自動檔案傳輸必須是可被稽核的。
- 稽核問題:FTP無法留下過程記錄, 例如哪些檔案被傳出去了, 誰傳的.
- 在PC上使用FTP: 很難防止機密檔案留在PC上的風險
- Script檔: ID與密碼會曝露出來, 往來對象及檔案名稱也可能洩露機密
- 資料加密: 必須另行處理加密解密問題
顯然的, 企業使用FTP必須重新檢討. 首先, 研究目前哪些資料是經由FTP進出的, 在哪些地方使用FTP, 在PC或部門等級伺服器上使用FTP的理由何時, FTP Script在哪裡被執行。接著確認, B2B資料交換的需求為何, 哪些法規必須遵守, 資料加密與身份驗證的需求為何, 資料傳輸負責人與使用者的實際需求為何.
釐清問題與範圍後, 應該採用一個可管理的檔案傳輸系統, 它至少能提供以下功能:
- 支援主流的傳輸協定, 如 FTP, FTPS, SFTP,AS2等.
- 在公眾網路與私有網路上都能使用加密的檔案傳輸協定
- 能使用多種加密方式保護儲存的檔案, 如OpenPGP, AES及其他FIPS 140-2認證過的演算法
- 自動化傳輸, 並能偵測與處理傳輸失敗的問題
- 能有效驗證合法使用者, 如使用 LDAP或 Active Directory
- 可與應用系統整合, 如提供API或 Trigger 程式
- 有詳細報表及log記錄過程, 可供稽核使用
- 可被監控(Monitor)
- 兼顧效能
選擇正確的檔案傳輸解決方案是一個重要的投資,不僅在改善內部的業務流程,而且在保護您與您的貿易合作夥伴和客戶的關係,確保資料安全,提昇競爭力。
要確保檔案傳輸過程是加密的, 請務必使用 SFTP,FTPS,HTTPS,SCP 傳輸協定
要確保檔案儲存在伺服器上是加密, 請使用 Encrypted Folders 功能 (落地加密)
解決方案
相關資料
玉山科技 版權所有 © Copyright AsiaPeak 2006, All Rights Reserved
|