【公益译文】安全意识专题 | 如何安全的进行文件共享

如何安全地共享文件,若在网上共享小文件,可通过邮件发送,但若共享大文件,邮件形式或许行不通。大多数邮件服务器对邮件大小均有限制,因此您需要一种更为强大的在线文件共享机制。针对这一需求,有多种方案可选。然而,每种方案均有其自身的安全风险。桌面安全可谓是公司网络的第一道防线。通过部署恰当的安全策略,可以阻止恶意软件和病毒在爆发后持续恶化,甚或可以完全避免此类事件发生。

在介绍安全风险及规避方法前,我们需要了解一下何谓文件共享,可通过哪些方法共享文件,以及这些方法是如何实现的。

何谓文件共享

Techopedia 对文件共享的定义如下:文件共享指共享数字信息或资源或提供信息或资源的访问权限,包括文档、多媒体(视频/ 音频)、图表、计算机程序、图片和电子书。文件共享指基于不同的共享权限级别,通过网络以个人或公开形式分发数据或资源。

 

文件共享类型

可通过多种方法共享文件,以下是常用的文件存储和分发技术:
• 移动存储介质
• 文件传输协议(FTP)程序
• 对等(P2P)网络
• 在线存储网站或文件托管服务

移动存储介质

移动存储设备包括光盘、内存条、内存卡和移动硬盘等。用户可将计算机系统中的文件转移至移动媒介,然后交给意欲与其共享文件的用户。用户收到移动媒介后,将其接入计算机系统,然后转移文件。

文件传输协议(FTP 程序)

FTP 是一款通过网络共享文件的老协议,目前仍很常用。该协议的原理是将需共享的文件放到FTP 服务器上。远程计算机若想访问这些共享的文件需要运行FTP 客户端软件,然后登陆FTP 服务器。现在,每种web 浏览器和操作系统均内置了FTP 客户端软件。FTP 服务器可通过配置实现安全访问,即客户端访问服务器时需输入有效登陆信息和密码。

P2P 网络

P2P 文件共享是最流行的文件共享方法之一,特别是对音乐和视频而言。在这种方式中,文件通过P2P 软件实现共享,用户可直接访问和下载共享的文件。这种共享方式中的“两端”指通过网络互连的计算机用户。与FTP 不同,大多数P2P 系统不使用中央服务器,网络中的每个计算机均同时作为服务器和客户端。Skype 等即时通信(IM)服务也是一种P2P 网络,可在两个或多个用户间共享文件。Bit Torrent 和uTorrent 也属于P2P 软件。

在线存储网站/ 文件托管服务

此类服务指通过网络存储和共享数据的Web 服务,这些数据可供个人使用或由其他用户访问。其中,Dropbox 和Google Drive 是两种比较知名的方案。会员可通过Web浏览器或应用程序上传照片和文档等数据,允许他人使用相同程序下载。此外,这些服务还通过博客、论坛、邮件和Web 链接等形式提供文件,供用户下载。邮件形式只允许下载少量数据。对于网站链接形式来说,用户先将文件上传到网站,存储在网站服务器上,然后向他人分享链接,其他用户可点击链接直接下载文件。

文件共享安全吗?

现在,我们了解到了有多种文件共享服务可供选择,问题是这些服务是否安全?一提到文件共享,我们总会想到安全。这是因为在当今互联互通的世界,这两方面密不可分。由于在线文件的来源难以查明,您无法确定所下载的文件是否确实需要或不包含恶意软件。此外,很多内容(尤其是P2P 网络上的)受版权保护,禁止分发。下载此类文件可能会将上传者置于法律诉讼风险中。
黑客攻击文件共享应用程序时会用恶意软件感染文件,再诱使用户在系统中安装受感染文件。因此,下载感染了恶意软件的内容会带来安全风险,引发一系列安全入侵事件。
当然,如果您部署了非常强大的安全防护措施,那就另当别论了。有些文件共享接口会暴露用户的计算机目录,这样黑客甚至会获取用户本无意共享的信息,而用户对此全然不知。
某些文件共享应用需要用户开放防火墙的端口。防火墙的目的是阻止攻击者访问用户的通信数据,攻击者一旦突破防火墙这道防线,便可下载文件,将用户计算机系统置于危险之中。移动存储媒介可接入多个计算机系统,因此可能会从被感染的系统中感染恶意软件。
同样,FTP 也并不提供加密传输。通过FTP 传输公司文件可能使其遭遇多个攻击,如暴力破解攻击或数据包嗅探。文件托管服务也存在安全风险。警惕性不高的用户可能会将敏感数据存放在公共文件
夹中, 或无意中将敏感文件转移至与公共目录自动同步的位置,而自己却并不知晓。每种文件共享方法都存在安全风险。若忽视这些风险,用户的关键个人信息或财务信息可能遭遇外泄,但若选择了合适的文件共享方案且非常警惕,即可避免此类安全风险。

如何安全地共享文件?

当今,网络威胁无处不在。如何安全地共享文件呢?为确保安全共享数据,可采取以下措施:

创建强密码

密码管理公司Keeper 的一份报告表明,“123456”仍是2016 年全球最常用的密码。Verizon 在去年的年度《数据泄露调查报告》指出,在已确认的数据泄露事件中,63% 由弱密码或默认密码导致。

设置强密码是降低数据失窃概率的第一步。为确保在线账户足够安全,您的密码应满足以下条件:
• 至少包含8 个字符。
• 必须包含数字、大写字母、小写字母和符号。
• 不得为字典中的单词。
此外,尽量采用双重认证(也称2FA),为您的账户再添加一层安全保障。若平台不
支持双重认证,最好选择支持该功能的平台。

及时更新安全软件

持续更新反恶意软件程序,始终使用最新版本,保持程序处于运行状态,确保为系统提供全方位防护。下载文件前,确认开启了防火墙。若P2P 程序要求关闭防火墙,可能为非法程序。

必须加密

很多人缺乏风险意识,随意通过非加密通道发送文件。向被授权方发送敏感信息时,为确保信息百分百安全,务必使用提供加密功能的媒介。信息加密后会变成乱码,窃取者若无密钥则无法解密。移动媒介中的文件可通过多种工具加密,如自动加密的U 盘(硬盘中内置算法,因而无需安装软件)、全盘加密软件(加密CD 和DVD 等不受保护的存储媒介)以及用于加密存储设备中特定文件的加密软件。
HTTPS 是实现P2P 和文件托管服务的最常用且最简单的方式。HTTPS 协议基于RSA、Kerberos 和ECDH 等安全算法进行加密。数据加密后通过安全协议(如SSL 和TLS)发送到接收端,接收端收到数据后需解密。

不要下载可疑文件

不仅要保护发送给朋友或同事的信息,还要保护接收到的数据。因此,只从可靠来源下载文件或对未知来源进行验证非常重要。若即便这样仍有疑问,就放弃下载。WombatSecurity 公司发布的《2016 网络钓鱼状态报告》表明,2015 年,85% 的组织遭遇网络钓鱼攻击,攻击数量和复杂度均超越往年。
使用安全服务

下载前,确保软件安全。安装新程序前,考虑以下问题:

• 厂商在传送软件时是否对文件进行了加密?
• 该软件是否遭遇过数据泄露?
• 该软件是否使用了安全的文件传输协议?
• 该软件是否提供多重认证?
• 网站上对该软件的评论如何?

切忌上传受版权保护的资料

比如,您手头上有一部最新电影的数字拷贝,想免费分享给他人观看,千万别这么做,因为上传受版权保护的资料可能会给您带来严重的法律问题。

安装P2P 程序时务必阅读全部详情

安装来自共享网络的文件时,为避免泄露隐私数据,必须确定系统中的哪些文件夹可以公开。此外,关闭软件窗口不会断开网络连接,其他用户仍然可以访问您共享的文件,这会给您带来安全风险。在不使用程序时,务必将其关闭。

遵循安全邮件操作规范

邮件是一种常见的网络钓鱼方式,已导致了很多严重的数据泄露事件。若您不确定发件人的真实身份,千万不要打开附件。即使您清楚邮件来源,也要用反恶意软件程序扫描附件后再打开。有时候尽管邮件来自于可靠来源,但发件人或许不知道文件已被感染。此外,还要设置反恶意软件自动扫描收到和发送的所有邮件。

警惕便携式存储媒介

若不清楚便携式存储设备的来源,千万不要将其接入计算机。一旦接入计算机,打开设备中存储的文件前务必先利用杀毒软件或反间谍软件扫描设备。

 

发表评论