让超大型邮件,收发管理更迅捷

0755-2583 6601 / 852-3583-3362

「大文件传输」受管文件传输的安全合规问题如何解决

2019-08-13 16:27:02        0

  受管文件传输的安全合规问题如何解决

  现代科技带来的最大便利是信息得以从一个人或体系快速地传递到另一个,可是,传递文件的办法却没有办法自身那样安全——或许也不如法规要求的那样安全。

  本文是《Tips and Tricks Guide to Managed File Transfer》(《受管文件传输技巧攻略》)卷一的摘抄,作者Don Jones在文中解说了要确保安全的文件传输办理,一同契合法规要求,你的企业需求采纳哪些进程。

  现在的公司正面临着越来越多的来自法令和职业内部的要求,这些要求大多环绕安全主题。法令规矩有健康稳妥流转与职责法案(HIPAA)、萨班斯法案(SOX)、格拉姆-利奇-比利雷法案(Gramm-Leach-Bliley ,GLBA)、付出卡职业数据安全规范(PCI DSS)、巴塞尔II以及更多严厉的与你事务触及的特别数据——一般是事务的中心数据,如客户信息和财务数据——相关的数据安全要求。

  有时分,这些要求在技能上十分谨慎。如PCI DSS,关于什么样的数据有必要被维护(客户和持卡人信息)、什么时分有必要被维护(搬运和贮存的时分)以及怎样维护(大多数时分是加密),该规范都有详细的规矩。

  但其他一些时分,某些数据安全要求又显得很抽象,没有那么多技能性质。HIPAA便是这样,该法案仅仅抽象地要求患者信息不能够向未授权的第三方走漏;2009年HIPAA的弥补法案一同还要求数据持有方在数据意外走漏时要告诉相关个人。

  从技能上来讲,那些事务级的规范要求一般都难以完结。例如,假定你在医疗职业作业,遭到HIPAA的限制。假如你需求将患者信息转给一个合作伙伴,那么你就有必要依照HIPAA的规矩来做。这意味着你需求完结以下几种技能操控:

  贮存数据时进行加密

  在公司内部的传输进程中或许需求对数据加密,尤其是运用公共网络传输数据的时分(如长途工作的职工拜访数据时):

  向合作伙伴传输数据时要加密数据

  安全地删去传输进程发作的暂时文件

  盯梢每一同数据保存期间的数据拜访

  盯梢每一次数据传输

  将盯梢信息保存在防篡改的数据库或日志中

  操控能够建议特别数据传输的职工

  了解法令法规是怎么影响文件传输的

  一个受管文件传输(Managed File Transfer,MFT)体系能够协助你满意上述许多要求。经过运用一个正确装备的MFT体系作为仅有的数据传输手法——在公司内部以及公司之间或许都需求——你能够愈加容易地完结这些数据安全要求。

  一个MFT体系——首要用于数据传输——明显不能直接满意“静态数据(data at rest)”——指贮存在你的文件服务器、数据库等内的数据——的安全要求。但是,由于MFT体系常常保存被传输数据的暂时复制,所以它们会遭到“静态数据”安全要求的影响。

  一个有用的MFT体系能够完全确保此类暂时文件的安全,即只要MFT体系自身能够拜访这些文件,也即任何对这些文件的拜访都需求审阅。

  一般地,MFT体系依赖于底层操作体系(OS)——如Windows或许Linux——来供给安全性和对暂时文件的拜访的审阅。一个好的MFT体系具有自动地、安全地铲除不需求的暂时文件的才能,削减这些文件成为数据走漏源头的或许。

  数据开端进行传输后,MFT体系在满意安全要求方面的价值才真实表现出来。一个遭到联邦信息处理规范(FIPS)140-2认证的MFT体系能够自动地供给满意的加密等级,契合大多数美国和加拿大的安全规范;你只需确保你的MFT体系运用支撑此类加密文件传输协议即可。

  MFT体系(至少要是一个优异的MFT体系)能够盯梢是谁传输了文件、什么时分传输的、传输进程继续了多长时刻、传输的目的地、传输的是什么文件等等。这些信息应该保存在安全的、防篡改的数据库中,该数据库不能被直接修正(除非是遭到高度信赖的办理员)。

  一个优异的MFT体系相同能够集中操控谁能够建议传输、谁能够运用最高等级的办理战略修正体系运用的文件传输协议、何种日志文件能够保存以及何种文件答应被传输。

  用以完结这种等级的安全规矩的技能或许很杂乱。事实上,供给必要的加密协议或许会要求惊人数量的专业知识,由于一个完全契合规矩的MFT体系需求供给FIPS认证的加密算法和加密模块。对供货商来说,取得这种认证需求消耗许多的金钱和时刻,并且也要求具有高水平的软件和加密技能。

  MFT体系应具有的功用

  对安全规矩的完全了解也是十分重要的。例如,某些规矩要求,只要当走漏数据是未加密的,你才需求向客户通报数据走漏事情。

  这意味着,对数据和传输数据流都进行加密能够使你的日子愈加简略:假如在数据传输之前或之后发作不妥的走漏,数据传输进程及数据自身仍是加密的,所以实际上你并没有走漏任何东西。

  如图1所示,MFT体系就能够供给这种功用,一般是运用如PGP之类的工业规范技能,树立一个根据文件加密的中间层。

  图1:多层加密协助满意不同的安全要求

  经过参加认证机制——确保发送和承受两边在开端任何传输之前都能够承认对方身份——你能够进一步满意安全规矩需求。运用加密哈希算法,如安全散列算法(Secure Hash Algorithm,SHA),你能够确保文件在传输进程中不会被损坏或许篡改,然后供给了进一步的维护。

  有必要要树立的技能协议和装备有许多。树立自己的支撑SFTP、PHP、SSL、SHA以及许多其他安全相关的协议和技能的体系是不可行的。实际上,对现在的企业来说,在评价MFT体系时,要求他们成为体系细节方面的专家是不切实际的。

  容我解说一下:一般,企业会测验将安全规矩转化为对应的技能要求,然后寻求能够满意这些技能要求的解决方案。我把这称为“二次映射(double mapping)”,如图2所展现的那样。

  图2:将安全规矩映射为技能要求,再寻求解决方案

  企业的此类尽力无法得到(一定能找到解决方案的)确保。安全规矩现已发布了满意长时刻,现已得到了很好的了解;供给契合规矩的安全体系的供货商会为你完结上述映射。

  图3显现了什么是你应该寻觅的:一个具有直接满意安全规矩的才能的体系,该体系能够在你需求的时分供给底层的技能解说,但其要点仍是在事务层面。

  图3:映射安全规矩到安全体系的功用

  这并不是说贵公司不应该关怀底层的技能完结;而是你首要需求关怀的是怎么满意规矩以及寻觅满意规矩的解决方案——如比如中的SOX DS5.11。供货商会在图表中供给必要的信息,如图4中的摘要。

  图4:展现安全规矩的映射

  这才是问题“受管大文件传输体系怎么协助我满意和完结安全规矩”的真实答案。你应该要能指出与你事务相关的法令或职业规矩,然后看看一个现有的解决方案是怎么满意这些特定规矩的。


在线留言