企業(yè)對(duì)于發(fā)送和接收大型文件很是頭痛，他們通常會(huì)對(duì)郵件系統(tǒng)進(jìn)行嚴(yán)格的文件大小限制，并且，他們也沒有提供其他安全傳輸大型文件的方法，這使員工不得不使用個(gè)人電子郵件賬戶、Dropbox和其他不安全方法來傳輸文件。

本文將總結(jié)大型文件傳輸?shù)陌踩珕栴}，并為企業(yè)提供一些低成本方法（例如云服務(wù)、SSH FTP等）來確保文件傳輸活動(dòng)不會(huì)造成數(shù)據(jù)泄露。

不安全文件傳輸?shù)娘L(fēng)險(xiǎn)

發(fā)送文件是日常工作的一部分，但很多時(shí)候，企業(yè)的IT系統(tǒng)無法處理這些傳輸，或者被配置為以不安全的方式傳輸文件。在企業(yè)中，現(xiàn)在員工經(jīng)常使用流行的個(gè)人存儲(chǔ)網(wǎng)站來傳輸文件，但糟糕的密碼設(shè)置或者服務(wù)供應(yīng)商方面缺乏足夠的安全保護(hù)都可能造成數(shù)據(jù)泄露。

這是信息安全團(tuán)隊(duì)需要發(fā)揮作用的領(lǐng)域，他們需要確保業(yè)務(wù)部門能夠安全正常運(yùn)作，同時(shí)保證其工作效率不受影響。信息安全團(tuán)隊(duì)的工作包括讓業(yè)務(wù)部門了解安全風(fēng)險(xiǎn)，并讓他們通過人力、流程和技術(shù)來緩解風(fēng)險(xiǎn)，最終讓業(yè)務(wù)部門決定如何管理這些風(fēng)險(xiǎn)。

不安全文件傳輸?shù)娘L(fēng)險(xiǎn)是巨大的：包含敏感的知識(shí)產(chǎn)權(quán)、營銷戰(zhàn)略或者銷售預(yù)測(cè)的文件如果丟失，可能對(duì)企業(yè)帶來負(fù)面影響；更糟糕的是，如果信用卡數(shù)據(jù)、醫(yī)療記錄和其他客戶信息沒有安全傳輸，或者沒有遵守PCI DSS和HIPAA法規(guī)要求，可能導(dǎo)致企業(yè)面臨罰款或者失去客戶的信任，最終讓企業(yè)倒退幾年。從這里來看，不安全的文件傳輸?shù)娘L(fēng)險(xiǎn)比看起來更加嚴(yán)重。

企業(yè)必須限制員工訪問Dropbox、YouSendIt、Google Drive等網(wǎng)站，并讓員工使用經(jīng)企業(yè)批準(zhǔn)的安全文件傳輸系統(tǒng)或服務(wù)。很多這些網(wǎng)站使用HTTPS來傳輸文件，這使我們很難看到實(shí)際被傳輸（流入和流出網(wǎng)絡(luò)）的內(nèi)容。阻止這種不恰當(dāng)?shù)脑L問的最好辦法之一是使用web過濾工具，同時(shí)僅向那些將其用于業(yè)務(wù)目的的人開放這些訪問。另外，在域級(jí)別阻止是拒絕訪問這些網(wǎng)站的最簡(jiǎn)單的方法。

企業(yè)還應(yīng)該阻止這些網(wǎng)站以及基于代理和web的上傳功能，這是切斷敏感文件在不知情的情況下離開企業(yè)的主要途徑。此外，這可以讓安全團(tuán)隊(duì)來監(jiān)測(cè)誰仍然在使用這些網(wǎng)站，以及檢查特定用戶或組是否出現(xiàn)了問題。這可能會(huì)突出特殊解決方案的業(yè)務(wù)需求。最后企業(yè)可能需要部署政策和程序來管理如何訪問這些系統(tǒng)，并對(duì)誰訪問了系統(tǒng)有明確的審計(jì)線索。從一開始就對(duì)用戶可能的行為設(shè)置準(zhǔn)則將幫助為安全傳輸大型文件打好基礎(chǔ)。

解決問題

一些供應(yīng)商（例如Accellion、ProofPoint和LiquidFiles）提供部署在企業(yè)內(nèi)部的系統(tǒng)，作為“內(nèi)部”個(gè)人存儲(chǔ)設(shè)備。這些系統(tǒng)將文件本地存儲(chǔ)在網(wǎng)絡(luò)內(nèi)的設(shè)備中，允許企業(yè)在組或者第三方之間分享資料。很多這些系統(tǒng)將文件存儲(chǔ)在這個(gè)內(nèi)部存儲(chǔ)中，員工可以發(fā)送電子郵件或鏈接給收件人，讓收件人從企業(yè)的站點(diǎn)來下載文件。有些供應(yīng)商還提供移動(dòng)應(yīng)用，允許員工通過手持設(shè)備或平板電腦來訪問和共享企業(yè)的文件。此外，在進(jìn)入或者離開這些系統(tǒng)前，所有文件都可以進(jìn)行審核以及掃描惡意內(nèi)容。

此外，也有很多具有類似功能的云服務(wù)，但它們不是將數(shù)據(jù)存儲(chǔ)在本地。這些產(chǎn)品允許更高的冗余、備份，并增加了存儲(chǔ)和可擴(kuò)展性。但它的一個(gè)缺點(diǎn)就是，企業(yè)需要確定這些數(shù)據(jù)被存儲(chǔ)在哪里、誰能夠訪問數(shù)據(jù)以及廠商能怎樣操作數(shù)據(jù)。雖然基于云的服務(wù)有很多好處，對(duì)于很多企業(yè)而言，云服務(wù)是可行的解決方案，但使用這種類型服務(wù)的企業(yè)首先要確保數(shù)據(jù)在存儲(chǔ)中進(jìn)行了加密，并且非常重要的數(shù)據(jù)不會(huì)被發(fā)送到云中。

最后，對(duì)于一些企業(yè)而言，使用SSH文件傳輸協(xié)議（SFTP）或安全文件傳輸協(xié)議（FTPS）等系統(tǒng)可能是最好的選擇，這些系統(tǒng)允許企業(yè)以最低成本來保護(hù)文件傳輸。筆者看到過很多沒有足夠預(yù)算的小型企業(yè)使用標(biāo)準(zhǔn)FTP（這本身已經(jīng)很危險(xiǎn)），同時(shí)使用PGP加密軟件來加密文件，再將文件發(fā)送到第三方或者供應(yīng)商。請(qǐng)記住，這并不是理想的解決方案，但它比單獨(dú)使用FTP等協(xié)議或者免費(fèi)的公共服務(wù)更加安全。

結(jié)論

企業(yè)在確保安全文件傳輸時(shí)有很多選擇，企業(yè)絕不能允許不安全的文件傳輸，因?yàn)檫@可能導(dǎo)致敏感數(shù)據(jù)以驚人的數(shù)據(jù)泄露出去。企業(yè)應(yīng)該設(shè)置一個(gè)經(jīng)批準(zhǔn)的安全文件傳輸方法，并且對(duì)賬戶進(jìn)行審計(jì)，這將是防止破壞性數(shù)據(jù)丟失的理想方式。