如何满足等级保护的相关要求?如何解决目前应用中存在的FTP文件传输方式?
近期我们一直在做等级保护等方面的工作,上级部门也发文要求禁止使用3389,21,23等端口。
对于21的使用,就我了解,我们一些应用肯定在使用,也了解一些FTP的安全问题。
对于我们来说,首先,如何做才能达到等级保护和上级部门的要求?其次是如何选择这个安全的文件传输方案,并与应用开发商共同解决的问题,请专家给予解答,谢谢。
2同行回答
首先,FTP传输在合规上肯定是无法满足等保要求的。但,就您目前现有的问题:需要使用ftp,同时又要禁止使用21 23 3389这些端口,个人建议您可以利用工具搭建统一的ftp服务器,同时将ftp服务对外监听端口修改为非周知端口,同时ftp脚本里面也不要出现明文。同理,3389和23端口也可以通过修改注册表和配置文件更改其端口。而以上这种方式,并不能从本质上改变ftp或telnet传输明文的痛点,仅能比原有方式稍提升安全性。长久上看,还是要选用利用CD等适合企业IT架构的专用传输工具或考虑在基于FTP协议之上,开发特色的传输工具,封装ftp协议,同时增加密文传输等功能。
收起- 首先感谢专家的回答。可能我们的情况比较特殊,无法实现统一的FTP服务器(基本都是几个应用之间存在一些FTP文件传输在用,也都是一些老的应用系统),大多存在于二-三台服务器上,且这些服务器大多是LINUX系统,是不是可以关闭FTP端口,起用SFTP(不采用默认的22端口),就可以满足等级保护要求呢?
自己先问一下有关专家:如果单纯满足一定的安全要求(比如禁止使用21端口),是不是将FTP改用SFTP可以简单解决部分问题呢?
收起浏览2868
- 一般的安全要求还包括数据的加密,传输的认证及审计,单独的禁止端口不可以。SFTP可以实现一定意义上的数据加密及证书认证,但不具备审计及集中管理、配置、监控的要求。尤其是审计,目前我遇到大陆、香港及台湾的银行都在做审计,这个对上市公司尤其重要。
- 首先感谢专家的回答。可能我们的情况比较特殊,无法实现统一的FTP服务器(基本都是几个应用之间存在一些FTP文件传输在用,也都是一些老的应用系统),大多存在于二-三台服务器上,且这些服务器大多是LINUX系统,是不是可以关闭FTP端口,起用SFTP(不采用默认的22端口),是否可以满足等级保护要求呢?