何謂安全檔案傳輸？

安全檔案傳輸聽起來很簡單，安全的傳輸檔案。但問題的核心在於為何需要安全地傳輸檔案？如果不這樣做會如何？還有如何才能確實做好？

還好，這篇部落格文章並非只是單純的回答何謂安全檔案傳輸。而是將說明如何確保檔案傳輸的安全性，並將涵蓋以下問題：

• 為何需要安全地傳輸檔案？
• 如果沒有安全地傳輸檔案會如何？
• 哪些檔案需要安全地傳輸？
• 以及到底該怎麼做？

為何需要安全的檔案傳輸？

智慧財產是現今創新企業的命脈。於此同時，競爭也比以往更加激烈，而您的對手會很想知道您公司的情況。但最大的問題在於網路犯罪份子的數量與複雜性都在不斷增長，像是勒索軟體等許多網路攻擊都是以服務的方式提供，所以現在隨便什麼人都能成功發動勒索軟體攻擊或破壞您的資料。最後，資料外洩防護（Data Loss Prevention，DLP）是一個關鍵領域，因為遺失資料最終將導致失去業務，而且還可能面臨巨額的合規罰款以及可能壓倒企業的公關危機。

許多資料往往在移動時會面臨最大的風險，例如在傳輸檔案時。這就是對任何有安全意識的企業而言，安全檔案傳輸是絕對必要的原因。

EDI 並非解方

安全檔案傳輸一點都不新奇，而且主要企業（特別是受到合規法令約束的企業）多年來都有一套自己的方式。對於有許多合作夥伴的大型公司來說，電子資料交換（Electronic Data Interchange，EDI）就是解方。此存在已久的技術一向是共享事物的關鍵，像是與交易合作夥伴的發票往來等。EDI 可以應付與眾多合作夥伴的大量交換，而且大多為交易導向。EDI 解決的問題與安全檔案傳輸解決方案不同。事實上，EDI 交換的並非真正的檔案本身。

檔案是另一回事。檔案不是交易，而是更大的內容，可能有各種不同的格式，例如 word 文件、試算表、PDF、資料庫紀錄及各式各樣的非結構化資料，包括圖檔。正是這種非結構化的資料，讓 EDI 難以應付且無法保障安全。事實上，專家相信，受限於只能傳輸結構化資料的 EDI，僅能處理企業需要共享資料的20%，剩餘的80%都要交由安全檔案傳輸解決方案及其他工具處理。

EDI 亦需要交易合作夥伴在資料格式上達成共識。許多情況下，交易合作夥伴不支援某種特定格式，因此需要轉譯。這時就需要用到檔案傳輸管理（Managed File Transfer，MFT）解決方案，例如 Progress 的 MOVEit。MOVEit 能處理這些轉譯並將檔案傳輸整合至 MOVEit MFT 解決方案與工作流程中。

所以現在您知道我的意圖了。但我們還沒有定義何謂檔案傳輸管理（MFT）。正如其名，MFT 是一種運送及傳輸各類檔案與文件的方法。不同於 Dropbox 等低階解決方案，MFT 解決方案可以納入自動化，簡化大量檔案的傳輸、稽核以追蹤檔案是已否成功發送，還有安全性，以免檔案被篡改或破壞。稍後有MFT的詳細說明。

其他錯誤（且不安全）的檔案傳輸方式

電子郵件：讓我們從或許仍是最常用的檔案傳輸方式開始－老派的電子郵件。電子郵件附件一度讓生活更輕鬆－如果是您剛出生嬰兒的照片，這種方式沒什麼問題。但網路犯罪份子真正想要的可不是什麼小嬰兒的照片。而當附件中含有未公開的公司財務資訊時，電子郵件毫無招架之力。

同時，電子郵件也不是永遠可靠。有多少次您的信件被退回或被丟到垃圾郵件資料夾中？如果您打錯地址了呢？就會有一個您根本不認識的人收到未公開的公司財務資訊，而且可能會轉發給競爭對手。用於檔案傳輸的電子郵件根本無法擴充，而現在越來越多的電子郵件用戶端設有檔案大小的限制，因此不管怎樣都不能傳送較大的檔案。而且要如何確保您的電子郵件與附件送到收件人手裡？真的是靠回條嗎？回條上次發揮作用是什麼時候的事？

隨身碟及硬碟：我們要回到過去，談談用隨身碟或甚至是硬碟運送檔案。您在想我是活在哪個時代，但事實上有些人還在用這種實體運送方法傳遞檔案－這真的很可怕又不安全。隨身碟幾乎都沒有保護或加密，任何意外拿到的人都能查看所有內容。更糟的是，隨身碟依舊是常見的病毒載體。您想要檔案上夾帶有一些勒索軟體嗎？我想您的企業中沒有人使用這種方式，但如果有，應該讓他們馬上停止這麼做！

檔案同步及共享：檔案同步及共享分為兩種：企業級與一般級。通常這些是同一套解決方案－一種免費而且有儲存容量限制，另一種需要付費，但有更多儲存容量且稍微安全一點（真的只有一點）。

這裡有許多的問題和隱憂。首先，身分驗證通常都是採用最基本的方式且容易被駭，多重要素身分驗證是少數特例，並非常規。而這些系統在最終使用者的裝置之間同步，這是另一個安全漏洞。如果一支 iPhone 與 Dropbox 或 Google Drive 同步，則任何拿到手機的人都能看到檔案。

別誤會我的意思，這些都是用於一般檔案類型共享的絕佳解決方案，非關鍵資料能用此方式交換，不會有什麼問題。但關鍵資料、機密資料及屬於合規性規定涵蓋範圍的資料，則絕不能採用此方式。

檔案傳輸協定（FTP）：當我們提到 ETI 及 FTP 之類的字眼時，會發現檔案傳輸解決方案與技術已存在一段時間－事實上有幾十年了。FTP 符合該定義，而且一直是 IT、高級使用者與業務人員用來移動檔案的方式，他們認為這是一種安全的方式。這是一項很棒的技術，而且對許多使用情況而言，仍不失為一種好方法。只是安全檔案傳輸不在其中。

FTP 在安全方面不合格，不建議用於機密資料或任何屬於合規性規定範圍的內容。FTP 還有其他致命的缺點，當需要移動很多檔案時，IT 經常要靠腳本將流程自動化，而腳本本身有其複雜性。首先，必須有人花時間寫腳本，且要有人測試腳本確認符合預期。但腳本在管理上很複雜，而且通常只有編寫的人才看得懂－如果哪天那個人離職了呢？

雖然腳本能提供低度的自動化，但真的無法滿足企業需要傳送的檔案量，或是您可需要的不同類型的傳輸。簡言之，FTP 難以保障安全、不易自動化，而且無法妥善追蹤與稽核您的檔案傳輸。

最糟糕的情況是採用多種不同的傳輸檔案方式。在此情況下，檔案副本散落各處，沒有集中的監督與安全防護，早晚會出事。

安全檔案傳輸究竟是什麼？答案就是 MFT

若要安全，檔案傳輸必須受到完整的保護，這意味著在靜止時加密，並對傳輸本身加以追蹤，確保正確發生。此外，任何存取檔案傳輸系統的人皆應驗證身分，最好是經由多重要素身分驗證。我們提過追蹤，應提升此部分的層次，稽核並登錄所有的檔案傳輸，以便完整記錄所有的移動以及與這些傳輸有關的任何問題。

這些問題正是當初開發檔案傳輸管理（MFT）技術的原因。事實上，我們剛才幾乎已經將何謂MFT解決方案說完了－以上全部都是。

憑藉所有這些屬性，MFT 可以完全或大部分取代您目前所用的檔案傳輸方式。這是一個單一、安全、可管理的自動化解決方案，透過單一介面檢視所有活動，大幅降低了檔案傳輸出錯的風險。同時，您的最終使用者及IT會因為自動化及單一介面而更有生產力，與使用各種不同且通常不安全又有問題的傳輸解決方案相比，能創造出正投資報酬率（ROI）。

未必總能滿足加密需求

許多「安全」檔案傳輸工具聲稱安全，因為其並非完全開放，需要設置帳戶及密碼才能存取。這就像是在說您的珠寶很安全，因為門上有鎖，但窗戶卻是打開的一樣。沒有 MFA，幾乎所有東西都會被駭，這些宣稱安全的方案也是如此。

即使網路犯罪份子侵入檔案傳輸系統，您的資料仍應受到保護，要能做到這點只有透過對資料本身進行加密保護。

否則，即便是受到保護的IT解決方案，例如位於防火牆後方且限制最終使用者存取的資料庫，仍可能在資料庫檔案離開DBMS及匯出或傳輸時遭到破壞。這可能發生在傳輸過程，或像是將檔案移到伺服器時，以及檔案靜止不動時。

優良的 MFT 解決方案隨時都能加密資料。

瞭解更多關於 MOVEit 檔案傳輸管理的詳細資訊或取得免費試用版。