保护大文件传输安全的四个方法
2017-04-05 18:22
281 查看
防火墙规则:严格限制文件传输范围
限制文件传输的信道的范围是防火墙使用的基本规则,但是一旦指定了一个或几个系统作为你的sFTP枢纽,那么要确保下面几个问题:
只有包含在规则允许的sFTP流量系统可以通过防火墙;
只有远端的被认可的系统可以作为sFTP数据包的源端或目的端;
SFTP是通过这些系统的防火墙的唯一的加密流量。尽管sFTP流量是加密的,但它是不透明的管理工具,所以你要确保它是唯一流向这些系统或从这些系统流出的不透明流量。
大多数组织都没有需要和外部实体或做批量文件的安全传输快速增长或系统的变化清单。所以如果你确实需要频繁或快速的变化,你可能需要利用一些安全协调工具,把必要的规则调整为源端或目的端。
使用主机工具
考虑到你的环境的其余部分,你需要仔细考虑基于主机的缓解方式。安全和系统管理供应商最近几年有所改变,在他们的基于主机的系统监控工具中引入了高 速分析。特别是有一些已经发现既可以用于正常行为模式,比如操作系统服务调用(恶意软件、企业内部人员以及外部攻击人员必须使用的),也可以发现系统上对
于性能影响最小的异常情况。运行基于主机的异常行为检测可以减少敏感数据移到未经许可的通道中。
不要关注内容,要关注网络行为
除了主机,网络行为分析还可以发现数据流的变化,甚至是一些工具无法看到的加密数据流的内容。由于它们可以看到流出系统的数据流的数量、目的端以及 持续时间,这些工具可以帮助监控该过程中的数据泄露问题。有效利用这种系统很难,尤其是当标识流量“正常”的早期阶段;比如入侵检测系统、数据泄露防护系
统、网络行为分析工具都很容易引发“误报”,这就提醒我们要判断哪些是异常行为。安全人员需要花费额外的时间来学习这些系统,或者使用某种专业服务来处理 这种耗时的工作。安全团队还需要确定并遵循安全流程,不断完善基于警报评估的预警和响应规则,逐渐降低虚假点击的数量。
做你自己的中间人
预防泄露的最极端的方法是开通所有流经能够执行这些中间人功能的设备容量网络的相关部分的加密流量。这些设备内的加密流量面向内部,终止于系统,而 通道面向外部,到数据流的另一端结束。通道会对其进行加密解密。然后它可以利用深度数据包检测工具对内容敏感性进行分析,并标记为可疑,然后完全阻隔或允 许通过。如果允许通过,流量将被重新加密,然后发送到目的端。这是一个计算量非常大的任务,而且非常昂贵。但是,通过检查所有进出的加密流量,可以明显降 低数据被隐藏在加密数据流中的风险。这可以引入他们自己的合理风险,所以加密数据流捕获的范围需要仔细定义,并与企业风险管理者讨论。如果这个范围需要扩
展到覆盖用户端点设备和非sFTP加密流,那么用户需要知道,他们的加密流量可能要暴漏在IT人员面前。
总结
这些措施可以帮助你降低使用sFTP引入的风险。要知道,数据泄露设计的范围非常广,通过直接从桌面和笔记本电脑到网络上的多种服务使用加密通道是 非常困难的。锁定sFTP周围的环境,甚至是整个数据中心,可以降低数据泄露的风险,但是不能完全消除。在面对Facebook或Tumblr方面的智能 手机相机和敏感数据保密的时代,已经没有办法完全避免数据泄露问题了。但是,还是有一些方法可以缓解数据泄露问题。
限制文件传输的信道的范围是防火墙使用的基本规则,但是一旦指定了一个或几个系统作为你的sFTP枢纽,那么要确保下面几个问题:
只有包含在规则允许的sFTP流量系统可以通过防火墙;
只有远端的被认可的系统可以作为sFTP数据包的源端或目的端;
SFTP是通过这些系统的防火墙的唯一的加密流量。尽管sFTP流量是加密的,但它是不透明的管理工具,所以你要确保它是唯一流向这些系统或从这些系统流出的不透明流量。
大多数组织都没有需要和外部实体或做批量文件的安全传输快速增长或系统的变化清单。所以如果你确实需要频繁或快速的变化,你可能需要利用一些安全协调工具,把必要的规则调整为源端或目的端。
使用主机工具
考虑到你的环境的其余部分,你需要仔细考虑基于主机的缓解方式。安全和系统管理供应商最近几年有所改变,在他们的基于主机的系统监控工具中引入了高 速分析。特别是有一些已经发现既可以用于正常行为模式,比如操作系统服务调用(恶意软件、企业内部人员以及外部攻击人员必须使用的),也可以发现系统上对
于性能影响最小的异常情况。运行基于主机的异常行为检测可以减少敏感数据移到未经许可的通道中。
不要关注内容,要关注网络行为
除了主机,网络行为分析还可以发现数据流的变化,甚至是一些工具无法看到的加密数据流的内容。由于它们可以看到流出系统的数据流的数量、目的端以及 持续时间,这些工具可以帮助监控该过程中的数据泄露问题。有效利用这种系统很难,尤其是当标识流量“正常”的早期阶段;比如入侵检测系统、数据泄露防护系
统、网络行为分析工具都很容易引发“误报”,这就提醒我们要判断哪些是异常行为。安全人员需要花费额外的时间来学习这些系统,或者使用某种专业服务来处理 这种耗时的工作。安全团队还需要确定并遵循安全流程,不断完善基于警报评估的预警和响应规则,逐渐降低虚假点击的数量。
做你自己的中间人
预防泄露的最极端的方法是开通所有流经能够执行这些中间人功能的设备容量网络的相关部分的加密流量。这些设备内的加密流量面向内部,终止于系统,而 通道面向外部,到数据流的另一端结束。通道会对其进行加密解密。然后它可以利用深度数据包检测工具对内容敏感性进行分析,并标记为可疑,然后完全阻隔或允 许通过。如果允许通过,流量将被重新加密,然后发送到目的端。这是一个计算量非常大的任务,而且非常昂贵。但是,通过检查所有进出的加密流量,可以明显降 低数据被隐藏在加密数据流中的风险。这可以引入他们自己的合理风险,所以加密数据流捕获的范围需要仔细定义,并与企业风险管理者讨论。如果这个范围需要扩
展到覆盖用户端点设备和非sFTP加密流,那么用户需要知道,他们的加密流量可能要暴漏在IT人员面前。
总结
这些措施可以帮助你降低使用sFTP引入的风险。要知道,数据泄露设计的范围非常广,通过直接从桌面和笔记本电脑到网络上的多种服务使用加密通道是 非常困难的。锁定sFTP周围的环境,甚至是整个数据中心,可以降低数据泄露的风险,但是不能完全消除。在面对Facebook或Tumblr方面的智能 手机相机和敏感数据保密的时代,已经没有办法完全避免数据泄露问题了。但是,还是有一些方法可以缓解数据泄露问题。
相关文章推荐
- 最简单有效也是最适合程序员的代码文件安全加密保护方法——EFS
- win8系统下如何给文件夹加密 win8系统文件夹加密保护文件安全的方法[附加密软件]
- CDP技术——系统安全的更深层保护方法 推荐
- 飞鸽传书在卡巴斯基互联网安全套装6.0下无法传输文件的解决办法
- 破解Word文件密码保护的最简单方法
- 保护您源码的安全,让IL都束手无策,同时将所有dll和exe打包在一起的方法。,net
- WSE3.0构建Web服务安全(4):MTOM消息传输优化和文件上传、下载
- Visual Basic 2005 下传输文件的简单方法。[菜鸟互动]
- Pocket pc模拟器与PC机传输文件的方法
- OpenSSH实现Windows和Linux文件安全传输
- WSE3.0构建Web服务安全(4):MTOM消息传输优化和文件上传、下载
- 14招保护路由器安全的方法
- 多角度详细解释网站安全保护方法
- 关闭Windows 文件保护的方法
- 浅谈文件加密传输的重要性和加密方法
- 14招保护路由器安全的方法
- 安全方案 多角度详解网站安全保护方法
- 14招教你保护路由器安全的方法(转载)
- 如何去掉“为了保护您的安全,IE已限制此文件显示可能访问您的计算机的活动内容,单击此处查看选项”
- 利用tar或dd在不同操作系统间传输文件的另类方法