如何安全地共享文件,若在网上共享小文件,可通过邮件发送,但若共享大文件,邮件形式或许行不通。大多数邮件服务器对邮件大小均有限制,因此您需要一种更为强大的在线文件共享机制。针对这一需求,有多种方案可选。然而,每种方案均有其自身的安全风险。桌面安全可谓是公司网络的第一道防线。通过部署恰当的安全策略,可以阻止恶意软件和病毒在爆发后持续恶化,甚或可以完全避免此类事件发生。
在介绍安全风险及规避方法前,我们需要了解一下何谓文件共享,可通过哪些方法共享文件,以及这些方法是如何实现的。
何谓文件共享
Techopedia 对文件共享的定义如下:文件共享指共享数字信息或资源或提供信息或资源的访问权限,包括文档、多媒体(视频/ 音频)、图表、计算机程序、图片和电子书。文件共享指基于不同的共享权限级别,通过网络以个人或公开形式分发数据或资源。
文件共享类型
可通过多种方法共享文件,以下是常用的文件存储和分发技术:
• 移动存储介质
• 文件传输协议(FTP)程序
• 对等(P2P)网络
• 在线存储网站或文件托管服务
移动存储介质
移动存储设备包括光盘、内存条、内存卡和移动硬盘等。用户可将计算机系统中的文件转移至移动媒介,然后交给意欲与其共享文件的用户。用户收到移动媒介后,将其接入计算机系统,然后转移文件。
文件传输协议(FTP 程序)
FTP 是一款通过网络共享文件的老协议,目前仍很常用。该协议的原理是将需共享的文件放到FTP 服务器上。远程计算机若想访问这些共享的文件需要运行FTP 客户端软件,然后登陆FTP 服务器。现在,每种web 浏览器和操作系统均内置了FTP 客户端软件。FTP 服务器可通过配置实现安全访问,即客户端访问服务器时需输入有效登陆信息和密码。
P2P 网络
P2P 文件共享是最流行的文件共享方法之一,特别是对音乐和视频而言。在这种方式中,文件通过P2P 软件实现共享,用户可直接访问和下载共享的文件。这种共享方式中的“两端”指通过网络互连的计算机用户。与FTP 不同,大多数P2P 系统不使用中央服务器,网络中的每个计算机均同时作为服务器和客户端。Skype 等即时通信(IM)服务也是一种P2P 网络,可在两个或多个用户间共享文件。Bit Torrent 和uTorrent 也属于P2P 软件。
在线存储网站/ 文件托管服务
此类服务指通过网络存储和共享数据的Web 服务,这些数据可供个人使用或由其他用户访问。其中,Dropbox 和Google Drive 是两种比较知名的方案。会员可通过Web浏览器或应用程序上传照片和文档等数据,允许他人使用相同程序下载。此外,这些服务还通过博客、论坛、邮件和Web 链接等形式提供文件,供用户下载。邮件形式只允许下载少量数据。对于网站链接形式来说,用户先将文件上传到网站,存储在网站服务器上,然后向他人分享链接,其他用户可点击链接直接下载文件。
文件共享安全吗?
现在,我们了解到了有多种文件共享服务可供选择,问题是这些服务是否安全?一提到文件共享,我们总会想到安全。这是因为在当今互联互通的世界,这两方面密不可分。由于在线文件的来源难以查明,您无法确定所下载的文件是否确实需要或不包含恶意软件。此外,很多内容(尤其是P2P 网络上的)受版权保护,禁止分发。下载此类文件可能会将上传者置于法律诉讼风险中。
黑客攻击文件共享应用程序时会用恶意软件感染文件,再诱使用户在系统中安装受感染文件。因此,下载感染了恶意软件的内容会带来安全风险,引发一系列安全入侵事件。
当然,如果您部署了非常强大的安全防护措施,那就另当别论了。有些文件共享接口会暴露用户的计算机目录,这样黑客甚至会获取用户本无意共享的信息,而用户对此全然不知。
某些文件共享应用需要用户开放防火墙的端口。防火墙的目的是阻止攻击者访问用户的通信数据,攻击者一旦突破防火墙这道防线,便可下载文件,将用户计算机系统置于危险之中。移动存储媒介可接入多个计算机系统,因此可能会从被感染的系统中感染恶意软件。
同样,FTP 也并不提供加密传输。通过FTP 传输公司文件可能使其遭遇多个攻击,如暴力破解攻击或数据包嗅探。文件托管服务也存在安全风险。警惕性不高的用户可能会将敏感数据存放在公共文件
夹中, 或无意中将敏感文件转移至与公共目录自动同步的位置,而自己却并不知晓。每种文件共享方法都存在安全风险。若忽视这些风险,用户的关键个人信息或财务信息可能遭遇外泄,但若选择了合适的文件共享方案且非常警惕,即可避免此类安全风险。
如何安全地共享文件?
当今,网络威胁无处不在。如何安全地共享文件呢?为确保安全共享数据,可采取以下措施:
创建强密码
密码管理公司Keeper 的一份报告表明,“123456”仍是2016 年全球最常用的密码。Verizon 在去年的年度《数据泄露调查报告》指出,在已确认的数据泄露事件中,63% 由弱密码或默认密码导致。
设置强密码是降低数据失窃概率的第一步。为确保在线账户足够安全,您的密码应满足以下条件:
• 至少包含8 个字符。
• 必须包含数字、大写字母、小写字母和符号。
• 不得为字典中的单词。
此外,尽量采用双重认证(也称2FA),为您的账户再添加一层安全保障。若平台不
支持双重认证,最好选择支持该功能的平台。
及时更新安全软件
持续更新反恶意软件程序,始终使用最新版本,保持程序处于运行状态,确保为系统提供全方位防护。下载文件前,确认开启了防火墙。若P2P 程序要求关闭防火墙,可能为非法程序。
必须加密
很多人缺乏风险意识,随意通过非加密通道发送文件。向被授权方发送敏感信息时,为确保信息百分百安全,务必使用提供加密功能的媒介。信息加密后会变成乱码,窃取者若无密钥则无法解密。移动媒介中的文件可通过多种工具加密,如自动加密的U 盘(硬盘中内置算法,因而无需安装软件)、全盘加密软件(加密CD 和DVD 等不受保护的存储媒介)以及用于加密存储设备中特定文件的加密软件。
HTTPS 是实现P2P 和文件托管服务的最常用且最简单的方式。HTTPS 协议基于RSA、Kerberos 和ECDH 等安全算法进行加密。数据加密后通过安全协议(如SSL 和TLS)发送到接收端,接收端收到数据后需解密。
不要下载可疑文件
不仅要保护发送给朋友或同事的信息,还要保护接收到的数据。因此,只从可靠来源下载文件或对未知来源进行验证非常重要。若即便这样仍有疑问,就放弃下载。WombatSecurity 公司发布的《2016 网络钓鱼状态报告》表明,2015 年,85% 的组织遭遇网络钓鱼攻击,攻击数量和复杂度均超越往年。
使用安全服务
下载前,确保软件安全。安装新程序前,考虑以下问题:
• 厂商在传送软件时是否对文件进行了加密?
• 该软件是否遭遇过数据泄露?
• 该软件是否使用了安全的文件传输协议?
• 该软件是否提供多重认证?
• 网站上对该软件的评论如何?
切忌上传受版权保护的资料
比如,您手头上有一部最新电影的数字拷贝,想免费分享给他人观看,千万别这么做,因为上传受版权保护的资料可能会给您带来严重的法律问题。
安装P2P 程序时务必阅读全部详情
安装来自共享网络的文件时,为避免泄露隐私数据,必须确定系统中的哪些文件夹可以公开。此外,关闭软件窗口不会断开网络连接,其他用户仍然可以访问您共享的文件,这会给您带来安全风险。在不使用程序时,务必将其关闭。
遵循安全邮件操作规范
邮件是一种常见的网络钓鱼方式,已导致了很多严重的数据泄露事件。若您不确定发件人的真实身份,千万不要打开附件。即使您清楚邮件来源,也要用反恶意软件程序扫描附件后再打开。有时候尽管邮件来自于可靠来源,但发件人或许不知道文件已被感染。此外,还要设置反恶意软件自动扫描收到和发送的所有邮件。
警惕便携式存储媒介
若不清楚便携式存储设备的来源,千万不要将其接入计算机。一旦接入计算机,打开设备中存储的文件前务必先利用杀毒软件或反间谍软件扫描设备。
管理桌面安全
桌面安全为何重要?
桌面安全可谓是公司网络的第一道防线。通过部署恰当的安全策略,可以阻止恶意软件和病毒在爆发后持续恶化,甚或可以完全避免此类事件发生。公司网络内的桌面安全通常由配置了强制组策略的中央服务器进行管理。当PC 系统登录到网络时,会在域控制器中进行身份认证,并接收启动脚本,这些脚本控制着网络上的计算机行为。这种集中控制简化了大型网络的管理。
评估桌面安全
用户分类
谈到桌面安全时,最主要的安全考虑一定是用户。网络中的用户可随意访问组织资源,这就带来了安全隐患。虽然大多数用户不会故意破坏网络,但是当用户忽略了最佳实践而打开了来源未经验证的电子邮件和附件时,就会产生意想不到的后果。因此,根据安全标记对用户进行分类以及对访问权限进行分级就显得分外重要。
• 访客:这种级别的用户只有很有限的访问权限,不允许修改本机上的任何文件或设置。该级别限制网络访问,对可访问的网络共享文件仅有只读权限。
• 用户:这是网络上最常见的用户类型,是员工在登录后获得的标准权限。一般来说,除了基本的打印和屏幕选项,用户还能够编辑本地设置。网络共享被划分为不同区域,允许特定部门用户访问相关的网络共享。
• 高级用户:这个名称有时指执行基本管理任务(如修改标准用户和访客的密码)的主管。高级用户可在自己的桌面PC 上修改本地设置,但不能进行域级别修改。
• 管理员:这个级别对桌面系统以及网络资源具有最高的访问权限。管理员被赋予最高级别的访问权限,可根据需要修改网络和桌面设置。管理员用户名和密码无论何时均为机密信息,不得与任何非授权人士共享。
流程及执行
IT 安全策略一般包含在IT 部门的安全和流程文档中,传达的是公司在桌面和网络操作方面的立场。文件明确了如下内容:
• 新用户加入组织后应如何行事,IT 部门应如何确定、分配其用户权限;
• 以可接受的方式合理使用公司资源,包括网络、邮件和打印服务;
• 在使用IT 设备和资源时哪些行为不正确,哪些行为视为违反IT 策略。
文件在拟定并在组织内分发后,将由IT 部门决定如何遵守并实施IT 安全策略。文件会对基本概念(如密码安全最佳实践)和员工在工作时间登录系统后的操作进行规范。多数公司采取弹性工作制,意味着用户可通过远程桌面服务(如终端服务器)从家里接入公司网络远程工作。这种情况也应由IT 安全部门管控,可访问此类资源的用户须了解接入公司网络后的责任。
数据保护技术
在上述多个场景中,安全措施已经到位,可持续保护接入公司网络的用户及其隐私。涉及的技术因网络不同而不同,取决于组织所采用的特定业务应用的要求。我们对几种相
关技术及其安全威胁防护方式大致归纳如下:
• 单点登录(SSO)是一种登录凭证方法,通过单一用户名和密码授权用户访问多种资源。用户的访问权限由系统管理员决定。可以将SSO 门户作为启动平台,用户在工作时需要的应用(如邮件和办公生产力套件)从这些平台启动。这样做的主要好处是每个应用均可启动自己的安全窗口,也就是说,应用可通过会话管理器有效管理。所以,如果系统管理员检测到非法访问,就会中断会话,锁定用户账号。
• 加密为网络上的本地用户以及通过互联网从远程站点连接的用户添加了一个额外的安全层。加密的工作机制是在一端使用密码对传输进行编码,然后在另一端进行解码。密钥只与会话相关各方共享,这种安全连接使外部无法解密获取有意义的信息。加密用于许多技术,如远程桌面应用程序、安全网页浏览、基于文本和视频的通信等等。
• 虚拟专用网络(VPN)是一种通过加密来保护通信的方法,在客户端和网络之间创建了一个虚拟隧道。即使身在他国,也会感觉和公司处在同一网络。这意味着您能够浏览网络资源(如映射的网络驱动器),并能如同在办公桌边一样浏览公司的内网。唯一的缺点是,如果组织无法为此服务提供足够的带宽,会出现时延问题。
哪些桌面安全组件最易受攻击?
桌面安全本身有诸多缺陷。近年来,保持网络安全和稳定已成为系统管理员的巨大挑战。有些需要重点关注安全的领域与用户相关,特别是用户将台式PC 用作主要工作站时。这意味着应用程序需要通过组策略进行监控和锁定,并且特定的网站和域名需要特定的防火墙来限制访问。最易出现漏洞的领域包括:
邮件
这是网络上最常被访问的资源。邮件具有用户密集型的特点,因为它是许多组织中的主要通信方式。用户每天会收到数百封电子邮件,邮件服务器则要处理数千封邮件和附件。网络犯罪分子使用电子邮件通过各种方法来欺骗用户,使其忽略掉安全细节。这些方法包括:
• 网络钓鱼:这是一个相对较新的电子邮件欺诈方法,实现方法简单得让人惊讶。犯罪组织会下载网上银行的登录页面或其他类似门户的网页,然后将其托管在自己的Web 服务器上,再发送看似来自相关服务提供商的电子邮件,通知用户必须立即登录,以完成安全程序。电子邮件中的链接实际上是一个超文本链接,将毫不知情的用户重定向到犯罪分子的Web 服务器上托管的假冒网站。这个Web服务器配备了一个击键记录器,可以获取用户输入的任何东西,然后被网络犯罪分子用来登录和感染用户的账户。
• 受感染附件:有时候,电子邮件来自一个完全合法的来源,用户没有理由不信任,但是该可信来源的机器会被病毒感染,病毒再自我复制,通过群发邮件程序进行传播。附件通常被标记为发票或报价单之类的合法的商业文件。在这些情况下,只要打开附件就可能感染用户的PC。许多情况下,只有当公司的邮件服务器上的电子邮件队列开始产生大量出站流量时,才能检测到感染。
• Crypto/ 勒索软件:最新类型的Crypto 软件似乎能自动打开电子邮件,感染机器。这种恶意软件特别讨厌,它使用非常强大的加密密码来加密用户数据,让人无法恢复电脑上的用户文件。针对这些情况的最佳解决办法通常是文件恢复。
即时通讯
早至互联网中继聊天(IRC)之初,程序员就可以通过即时消息(IM)应用程序发送附件。随着时间的流逝,这些程序越来越复杂,文件和数据的传输效率也越来越高。对于当前的桌面用户来说,在与一个未知来源聊天时,接收和打开附件可能会让他们的桌面PC 和公司网络感染病毒和恶意软件。正因为如此,在公司网络中应谨慎使用IM 应用程序。有时甚至不需要附件就能释放漏洞,比如,用户的聊天应用程序中如果存在安全漏洞,攻击者就可以远程执行某些脚本。
社交网络
任何鼓励文件共享的基于Web 的平台在公司网络中使用时都应该极度小心。利用复杂的脚本和应用程序,黑客和网络犯罪分子可以毫不费力地进入被感染的桌面PC。即使看起来无害的照片也可能嵌入恶意软件,因此用户在工作场所访问任何社交媒体服务时都要格外小心。
浏览器
与上述各例一样,互联网浏览器也会将组织暴露给互联网上的各种不安全因素。如果浏览器没有安装最新的安全补丁,就可能导致网络被渗透,所以,系统管理员务必要关注补丁周期,及时安装补丁。用户应始终留心自己在公司桌面上查看的内容,而在通过组织网络连接时应避免使用私人Web 邮件服务。
社会工程
犯罪分子以企业和家庭用户为目标,对他们进行电话诈骗,这种做法再度流行。犯罪分子一般通过电话联系用户,自称来自IT 部门或大型IT 公司,试图通过远程桌面应用程序或者诱骗用户下载能够绕过网络安全的恶意软件来访问用户的电脑。从未经验证的电话来源接受指示绝不可取,接到此类电话后,用户应与其部门经理或IT 部门确认后再进行下一步的行动。
桌面安全意识项目
IT 部门应为组织内部用户提供专门培训,让上述安全问题深入人心。通常,第一步是在用户的入职手续中加入基本的培训,以便在接触到IT 策略文件以及相关策略和程序之、初就懂得如何保护自己的桌面PC 和公司网络。近期,重大的恶意软件事件频发,比如WannaCry 和Crypto 变种。所以,建议进行一些基本的培训,解释清楚勒索软件对用户文件的所作所为,让用户对于此类恶意软件感染桌面和企业网络后造成的后果有更深入的理解。
桌面安全意识建议及资源
为安全事故做好准备,可能只会遭遇轻微的系统中断,否则,则可能会面临数据完全丢失这个灾难。出于这个原因,我们基于自己的档案编制了一个很好的资源清单,建议您
抗桌面用户所面临的不断增长的安全漏洞威胁:
最终用户安全意识
反网络钓鱼
进行安全意识培训,抗击勒索软件
我们为IT 专业人员提供各种安全相关课程。如有任何疑问,请随时与我们联系,我们将很乐意为您提供进一步的帮助。