當(dāng)某個(gè)用戶共享了關(guān)于企業(yè)數(shù)據(jù)的一個(gè)分享鏈接，那么任何點(diǎn)擊該鏈接的人都可能可以訪問到企業(yè)的敏感信息。一些免費(fèi)的FSS應(yīng)用程序不提供的隱私設(shè)置。即使用戶有這樣的需求，他們不能改變公共設(shè)置為私人設(shè)置，以保護(hù)數(shù)據(jù)。

　　這里有一個(gè)讓那些分享鏈接避免被公開的方式。當(dāng)一個(gè)對象通過電子郵件接收到一個(gè)共享的鏈接，電子郵件客戶端或安全設(shè)置可能會阻止他們直接點(diǎn)擊該鏈接。所以，他們必須復(fù)制該鏈接，并將其粘貼到瀏覽器的地址欄中。許多用戶誤貼了分享鏈接到了搜索領(lǐng)域，通常使用谷歌的搜索引擎，這是人們得使用最多的搜索引擎，以搜索該鏈接的結(jié)果。

　　“人們越來越習(xí)慣把網(wǎng)址粘貼到搜索區(qū)域而不是瀏覽器的地址欄。例如，在iPhone上，搜索區(qū)域就是粘貼URL的地址欄。”RSA大會程序委員會主席休·湯普森說。

　　人為操作錯(cuò)誤會造成分享鏈接暴露，因?yàn)楣雀钑�自動為其AdWords和分析工具收集用戶的搜索詞，以便讓企業(yè)客戶/廣告合作伙伴使用谷歌的廣告時(shí)確定廣告的最佳關(guān)鍵詞。當(dāng)企業(yè)通過FSS供應(yīng)商，鏈接進(jìn)入其競爭對手的名字，就能在Dropbox看到競爭對手的員工使用了哪些關(guān)鍵詞，分享了什么鏈接，包括其名稱都能夠出現(xiàn)Dropbox的結(jié)果中。這些共享鏈接便被激活了，點(diǎn)擊鏈接，他們就能夠訪問到敏感數(shù)據(jù)了。

　　這種事件引發(fā)了一些問題：誰的責(zé)任?企業(yè)能采取什么措施來防止敏感數(shù)據(jù)泄漏?

　　責(zé)任

　　理查德·安斯蒂是Intralinks公司的首席技術(shù)官,該公司早在2013年11月就發(fā)現(xiàn)并披露了此漏洞給Dropbox(和谷歌)。Dropbox在今年五月發(fā)布了一篇博客以解決這些問題，(有關(guān)此漏洞的部分以一個(gè)單一的段落出現(xiàn)在其 “14年5月6日更新”中。

　　截止本文撰寫截稿時(shí)，最新的博客文章沒有公開任何修復(fù)了谷歌AdWords廣告對于共享鏈接URL自動抓取的補(bǔ)丁。相關(guān)文檔的鏈接地址一經(jīng)共享，任何人都可以很容易地通過谷歌的Adwords檢索到的共享鏈接下載并共享這些文檔。

　　但是，我們并不能完全責(zé)怪免費(fèi)的FSS應(yīng)用程序的默認(rèn)公共設(shè)置。畢竟，這些服務(wù)以其實(shí)用性和便利性已經(jīng)安全的為我們的最終用戶和企業(yè)員工服務(wù)了很長一段時(shí)間了。對于一家企業(yè)內(nèi)的某個(gè)小團(tuán)隊(duì)，在某一個(gè)特定項(xiàng)目中非正式地同意使用一個(gè)免費(fèi)的FSS的應(yīng)用程序，如Dropbox是非常普遍的，湯普森說。“他們一致同意在沒有IT標(biāo)準(zhǔn)化的情況下使用它。”

　　人們使用免費(fèi)的FSS應(yīng)用程序，是以只有他們所分享鏈接的對象才能看到和使用分享內(nèi)容為假設(shè)前提的。但精明的黑客，了解一個(gè)分享鏈接的默認(rèn)構(gòu)造，甚至能猜出一個(gè)共享鏈接URL末端字符的組合，然后嘗試訪問該分享鏈接。“這將有可能導(dǎo)致企業(yè)敏感數(shù)據(jù)的暴露。”湯普森說。“基于隨機(jī)字符已經(jīng)有各種攻擊了。”湯普森確認(rèn)說。因此，這種方法不會有什么新東西了。

　　防止漏洞

　　據(jù)安斯蒂介紹，有人故意在任何階段都惡意攻擊此漏洞是不太可能的。這整個(gè)階段包括從最終用戶利用免費(fèi)的FSS工具，發(fā)送分享鏈接，到分享對象錯(cuò)誤的把這些鏈接放在了瀏覽器搜索欄。

　　減輕這類攻擊的方法除了針對這種類型的服務(wù)量身定制特殊的管理政策之外，是需要針對用戶進(jìn)行徹底的，有效的教育。有效的員工安全培訓(xùn)必須確保企業(yè)經(jīng)過了員工測驗(yàn)，確保員工對于相關(guān)管理策略信息的充分理解。企業(yè)必須讓員工在接受管理政策的協(xié)議書上簽字。

　　然后，在政策管理執(zhí)行的基礎(chǔ)上增加技術(shù)輔助。“將網(wǎng)絡(luò)邊界技術(shù)與管理政策結(jié)合，以保證企業(yè)敏感的數(shù)據(jù)無法到達(dá)這種存在漏洞的免費(fèi)文件共享服務(wù)環(huán)境。”安斯蒂說。通過結(jié)合員工教育和技術(shù)手段，企業(yè)可以最大限度地減少違規(guī)行為，并有效地管理員工的數(shù)據(jù)分享行為。

　　但這種因果關(guān)系的問題需要一個(gè)更廣泛的解決方案。企業(yè)需要認(rèn)識到，員工要盡可能有效地工作;這正是導(dǎo)致他們使用FSS軟件的原因。企業(yè)應(yīng)當(dāng)承認(rèn)并接受FSS工具是有用的。“企業(yè)應(yīng)該找到一個(gè)解決方案，規(guī)范并支持FSS工具的使用。”安斯蒂說。選擇一款企業(yè)已測試和批準(zhǔn)的FSS工具。企業(yè)要確保其批準(zhǔn)授權(quán)員工使用的FSS工具的有效性，易用性，符合員工的滿意度，否則他們將繼續(xù)使用他們青睞的其他工具。

　　列出在FSS應(yīng)用軟件中的信息管理周期，以確保數(shù)據(jù)安全。這包括確定任何數(shù)據(jù)是否能夠在FSS服務(wù)共享或共享的時(shí)長。決定何時(shí)停止共享以前共享過的數(shù)據(jù)，例如當(dāng)某個(gè)項(xiàng)目或合作關(guān)系終結(jié)時(shí)。考慮采用電子發(fā)現(xiàn)，因?yàn)槠髽I(yè)必須定期處理一些數(shù)據(jù)，并保管其他另一些數(shù)據(jù)相當(dāng)長的時(shí)間。這將幫助企業(yè)限制相關(guān)的漏洞，安斯蒂說。

　　轉(zhuǎn)向更靈活的思維框架

　　湯普森同意企業(yè)可以采取書面政策的方法，遏制員工使用免費(fèi)的FSS應(yīng)用共享企業(yè)數(shù)據(jù)。“企業(yè)可以利用技術(shù)來限制通過免費(fèi)的FSS應(yīng)用程序從外部的訪問。如果某位員工已經(jīng)離開辦公室，但其設(shè)備仍然連接到企業(yè)網(wǎng)絡(luò)/內(nèi)聯(lián)網(wǎng)，企業(yè)可以使用云的工具來減少人們利用這些免費(fèi)的FSS應(yīng)用的可能性，”湯普森說。

　　“但是，企業(yè)員工正試圖盡快保質(zhì)保量的完成他們的工作，”湯普森說。他們將試圖使用各種技術(shù)，以幫助他們盡快達(dá)到他們的目標(biāo)，湯普森說。而IT部門歷來的答復(fù)都是“不!”�；�于公司的風(fēng)險(xiǎn)設(shè)置，在有著所有這些有用的應(yīng)用程序廣泛使用的新環(huán)境，正在迫使其成為這些技術(shù)的推動者，湯普森說。

　　在湯普森看來，企業(yè)要么可以將FSS問題看作一個(gè)單一的問題;要么將其作為一個(gè)更大的相似問題的模式的一部分。他們要么可以針對這些應(yīng)用的缺點(diǎn)做出反應(yīng);要么認(rèn)識到這些都是今天業(yè)務(wù)的一部分這一現(xiàn)實(shí)。如果他們選擇后者，重新校準(zhǔn)安全功能，以解決業(yè)務(wù)需求是必要的。在湯普森看來，企業(yè)管理者應(yīng)該問自己如何成為安全環(huán)境的推動者，以便讓員工們能夠順利的使用這些技術(shù)。

　　據(jù)湯普森介紹，他在RSA會議上看到采用這一方法的頻率正在增加——即，從保證絕對安全到盡可能保證數(shù)據(jù)的安全，他們已經(jīng)認(rèn)識到非常老練的攻擊者的存在，而失敗和違約行為也時(shí)有發(fā)生。“如果發(fā)生故障，有一整套技術(shù)幫助我們確定發(fā)生了什么，然后我們就可以進(jìn)一步的優(yōu)化企業(yè)的安全策略。”湯普森說。

核心關(guān)注：拓步ERP系統(tǒng)平臺是覆蓋了眾多的業(yè)務(wù)領(lǐng)域、行業(yè)應(yīng)用，蘊(yùn)涵了豐富的ERP管理思想，集成了ERP軟件業(yè)務(wù)管理理念，功能涉及供應(yīng)鏈、成本、制造、CRM、HR等眾多業(yè)務(wù)領(lǐng)域的管理，全面涵蓋了企業(yè)關(guān)注ERP管理系統(tǒng)的核心領(lǐng)域，是眾多中小企業(yè)信息化建設(shè)首選的ERP管理軟件信賴品牌。

轉(zhuǎn)載請注明出處：拓步ERP資訊網(wǎng)http://www.ezxoed.cn/

本文標(biāo)題：文件同步和共享的安全

本文網(wǎng)址：http://www.ezxoed.cn/html/consultation/10839515597.html