時(shí)至今日,F(xiàn)TP誕生已有四十多年,不過,到目前為止它沒有什么大變化。但當(dāng)今的網(wǎng)絡(luò)環(huán)境已經(jīng)發(fā)生了巨變,產(chǎn)生了與過去迥然不同的新問題和新需求。安全問題、對(duì)一般技術(shù)用戶的易用性、報(bào)告要求等都使得FTP成為許多企業(yè)不太喜歡的一種方案。管理員和IT在發(fā)送文件時(shí)需要人工進(jìn)行,還且還容易出錯(cuò)。如果設(shè)置的不正確,用戶有可能訪問到不該訪問的文件。
如今,共享文件和數(shù)據(jù)的新選擇還是有不少的,但企業(yè)應(yīng)調(diào)查并謀求一種可隨著企業(yè)不斷變化和擴(kuò)展的需要而變更的靈活解決方案。
正如將任何新系統(tǒng)或過程引進(jìn)到公司的基礎(chǔ)架構(gòu)一樣,安全的文件傳輸應(yīng)用也必須與現(xiàn)有的應(yīng)用很好地協(xié)作,并支持與老應(yīng)用程序的集成。還應(yīng)遵循現(xiàn)有的安全設(shè)計(jì),能夠從小型部門擴(kuò)展到大型部門,直到擴(kuò)展到企業(yè)范圍內(nèi)的部署,并且還應(yīng)當(dāng)盡可能地利用現(xiàn)有的基礎(chǔ)架構(gòu),如虛擬化環(huán)境、企業(yè)級(jí)存儲(chǔ)系統(tǒng)和已經(jīng)部署使用的Web組件。
在評(píng)估安全的文件傳輸應(yīng)用時(shí),企業(yè)應(yīng)當(dāng)關(guān)注如下重要問題:安全性、架構(gòu)、特性和易用性、管理、報(bào)告、許可協(xié)議和總擁有成本。
安全性
由于離開公司邊界的數(shù)據(jù)有可能包含敏感數(shù)據(jù)或機(jī)密信息,鎖定這種數(shù)據(jù)并確保只有經(jīng)核準(zhǔn)的接收者才能夠接收信息,這應(yīng)當(dāng)成為一個(gè)關(guān)鍵標(biāo)準(zhǔn)。安全評(píng)估涉及從多個(gè)方面來考察產(chǎn)品,其中包括總體架構(gòu)、數(shù)據(jù)的存儲(chǔ)和保護(hù)、用戶的身份驗(yàn)證,許可和角色、管理員可定義的策略,甚至還包括一個(gè)應(yīng)用程序如何得到底層平臺(tái)和現(xiàn)有安全配置的支持。
此外,還要測(cè)試其是否能夠防御常見的漏洞,如防御SQL注入以及跨站腳本攻擊對(duì)于任何面向公眾的應(yīng)用程序都非常重要。
架構(gòu)
解決方案的總體架構(gòu)和設(shè)計(jì)方法可以在很大程度上反映廠商在產(chǎn)品中的計(jì)劃和思路。優(yōu)秀的產(chǎn)品開發(fā)者為當(dāng)今的需要而構(gòu)建產(chǎn)品,但要預(yù)先考慮到明天的需要。在審查任何安全文件傳輸架構(gòu)時(shí),企業(yè)應(yīng)注意廠商如何處理加密、靈活性、可升級(jí)性、對(duì)大文件的支持、網(wǎng)絡(luò)中斷及策略等。
此外,考慮現(xiàn)有應(yīng)用程序的集成和擴(kuò)展、可定制性、性能、用戶和系統(tǒng)管理、產(chǎn)品的平臺(tái)支持和編程接口等問題也很重要。此外,還要考慮該應(yīng)用程序設(shè)計(jì)是否符合邏輯,各組件是否能很好地匹配,以及安全文件傳輸應(yīng)用是否適應(yīng)現(xiàn)有的基礎(chǔ)架構(gòu)。
特性和易用性
設(shè)計(jì)良好的用戶界面對(duì)于任何技術(shù)的成功和有效利用都至關(guān)重要。一個(gè)系統(tǒng)的界面越友好,就越有可能被采用。安全傳輸應(yīng)用界面的重要元素包括屏幕是否整潔、控制是否直觀、文本表達(dá)是否清晰、外觀和感覺是否總體一致等。這些要素直接影響到傳輸方案的采用,而最容易使用的工具將最有可能被終端用戶接受。
管理
管理一個(gè)安全文件傳輸方案時(shí)涉及兩個(gè)重要方面:用戶管理和系統(tǒng)配置。基本的用戶管理規(guī)則包括:使信息副本最小化(例如,在多用戶數(shù)據(jù)庫(kù)中)、利用現(xiàn)有的身份和訪問管理數(shù)據(jù)庫(kù)、在無需連續(xù)IT干預(yù)時(shí)就盡可能地使自動(dòng)系統(tǒng)運(yùn)行。靈活的系統(tǒng)配置和設(shè)置可以使公司更密切地匹配和支持現(xiàn)有的策略和過程。
報(bào)告
在部署了安全的文件傳輸方案后,報(bào)告就成為一個(gè)理解方案的利用、審計(jì)支持的重要工具。合規(guī)需求可能要求報(bào)告的生成滿足法律規(guī)范,或滿足內(nèi)部使用指南和公司的監(jiān)管。對(duì)用戶活動(dòng)的監(jiān)視以及深入分析真實(shí)活動(dòng)的能力有助于確定或糾正不合規(guī)的活動(dòng)和過程,并滿足企業(yè)的文件共享限制。
許可協(xié)議和總擁有成本
企業(yè)實(shí)施安全的文件傳輸工具可以使用戶用新方式通過安全通道來發(fā)送敏感文件和數(shù)據(jù)。雖然這種功能一開始有可能滿足某些個(gè)人或個(gè)別部門的需要,但其實(shí)施規(guī)模往往會(huì)越來越大。
D1Net評(píng)論:
在理想情況下,安全的文件傳輸方案可由企業(yè)內(nèi)的每一個(gè)員工使用,但預(yù)算限制可能會(huì)將其使用限制給受影響最大的個(gè)人和團(tuán)隊(duì)。許可協(xié)議之間有很大不同,企業(yè)尋求的方案應(yīng)當(dāng)是,隨著企業(yè)需求的增加,擴(kuò)大方案的使用范圍不會(huì)受到處罰。此外,從經(jīng)濟(jì)的觀點(diǎn)看,企業(yè)應(yīng)衡量和計(jì)算使用方案多年以后的總擁有成本,以便于更好地比較不同廠商的產(chǎn)品。