GSS資安電子報0109期【落實 FTP 加密,資安健檢輕鬆過關, 防護再升級 ! (上)】
撰文 | 叡揚資訊 行銷部
FTP 協定是目前被普遍使用的傳輸協定,市面上有許多免費 FTP 傳輸軟體可供各用途使用,所以在成本低廉以及建置方便的優勢下讓許多企業紛紛將其導入做為檔案傳遞的媒介,但隨著涵蓋的處理業務量越來越多,企業在交換傳遞的檔案,內容包含了機密、敏感資訊,在現有的傳輸機制底下,是否足以面對資安的考驗 ?
近年主管機關在電腦資訊安全的立法越加嚴謹,不管是檔案的存取、密碼的複雜度以及近日對交易記錄的控管要求 ... 等,面對不斷新增規定的稽核下,如何應對做到全身而退,檔案交換必然是不容忽視的一環。
欲知道現行檔案的保護機制是否完善,可從下列問題來進行診斷、檢視。
1. 資料流向、軌跡記錄是否足夠?
在一般的 FTP 傳輸機制底下,若無額外加工整合,無法從記錄了解檔案的完整流向 ( 誰將 A 檔案上傳,誰拿走了 A 檔案 ),在沒有完整記錄可以監控的情況下,檔案很有可能在不知不覺中被不正當取用。
2. 傳輸過程的加密以及檔案儲存時是否有落實加密?
在一般的 FTP 傳輸機制底下,若無支援加密協定 ( 如 :FTPS/SFTP),傳輸過程都是明碼,所以在傳輸過程資料是可被竊取的;另外若發生檔案被非該擁有者所拿取,檔案卻無任何加密措施,則又造成資料外洩。檔案的加密為之重要,然而加密機制的複雜度,關係著被破解的可能性,故檔案不僅僅需要被加密保護,還得確保加密的機制夠完整。
3. 設定檔、程式碼是否皆無含有明碼帳密連線資訊?
在一般的 FTP 傳輸機制底下,若要進行系統間與傳輸作業的整合,必須要給予連線資訊才可透過程式呼叫執行傳輸任務,所以當需要這方面作業整合時,若無特別處理,程式內皆會帶有明碼的帳密資訊,這樣等同於將系統帳密暴露給所有經手這些程式碼的人員。
4. 檔案使用權限的控管,是否夠嚴謹?
在一般的 FTP 傳輸機制底下,若要將檔案給多人、皆是使用共用帳號、目錄概念,在這樣的情況下很有可能會發生某些檔案被誤觸、查看的問題,讓不該經手的人員去觸看到一些機密性資料,增加資料外流的風險。
5. 最高權限帳號,是否有機制可控管?
在一般的 FTP 傳輸機制底下,若權限為最高層級管理員,基本上平台上的檔案、資料可以一覽無遺,甚至透過一些不正當方式都是可以無聲無息的將檔案取出。
6. DMZ 區檔案是否有保護機制?
在一般的 FTP 傳輸機制底下,若要與外部進行檔案交換,多數企業都會在 DMZ 區架設另一台 FTP 傳輸伺服器,若 DMZ 區在外層防火牆被侵入時,此區檔案在毫無保護措施的情況下將只能任人宰割。
7. 檔案傳輸的作業下,防火牆的通道管制是否夠安全?
在一般的 FTP 傳輸機制底下,內部防火牆需要開啟連線、資料傳輸的雙向通道,才可以順利與外部進行檔案交換,因此外部威脅很可能循著開啟的通道侵入內部。
8. Mail 檔案寄發作業,是否有管控郵件只能被收件者所取用的機制?
在一般的 Mail 傳輸作業,都是將附檔直接寄發給收件者,所以寄出去的附檔完全無法進行管控,若郵件被攔截或者收件者的郵件為非當事人所查看,皆是無法被預期以及防範。
解決方案下期待續…