Wesley Chen

Microsoft + Ipswitch 我們的聯合價值主張

Ipswitch 和 Microsoft 將延續彼此在歐洲、中東、非洲地區成功的合作經 驗,積極擴大雙方的共同銷售 ISV 合作業務,以利進一步提升 MOVEit® 安 全檔案傳輸與 Microsoft 的商機。

若您同時身兼 Microsoft 合作夥伴及 Ipswitch 合作夥伴兩種身分,這項 聯盟措施將協助您為客戶提供最優秀的解決方案組合,您也可望因此提 高經銷規模,進一步提升事業價值。

以下概述 Microsoft 與 Ipswitch 聯合價值主張:

• MOVEit® 能夠傳輸大量檔案,甚至超越最嚴格的資安標準。

• 密切整合 Microsoft 0365,帶給使用者熟悉的業務工作流程 與使用者介面。

• 部署選項十分靈活,包括可在 Azure 部署 SaaS 和 IaaS, 能發揮高可用性、備援能力以及永續發展能力。

• MOVEit® 配合以下 Microsoft 上市主題:GDPR、安全與法 遵、智慧桌面 (Modern Desktop)、數位轉型,以及協同 作業。

如需詳細資訊,請參閱以下資源:

Ipswitch 與 Microsoft 聯合協作資料

通訊檔案傳輸與資料安全電子書 (Microsoft MVP 提供)

運用 WhatsUp Gold 2018 監控暗網流量

監控暗網流量是 IT 管理員擔心卻無能為力的問題。現在,IT 團隊可以運用 WhatsUp Gold 2018 揪出利用公司網路連上暗網的人和裝置。

如果有人不清楚何謂 WhatsUp Gold,有必要解釋一下,這是一套由 Ipswitch 推出的網路監控解決方案。WhatsUp Gold 2018 Service Pack 2 提供一項新功能,能夠監控傳入和傳出暗網的流量。但是,IT 團隊為何非追蹤暗網流量不可?暗網流量並非全部帶有惡意,但其中必定不乏惡意流量。只不過,我們要盡力避免讓一般利用公司網路連上暗網的 Tor 及其他工具有機可趁。

暗網流量極有可能是非法流量

一項近期研究發現,58% 的暗網流量及 Tor 網路流量用於從事非法活動,合法流量只佔 42%。過去有些研究甚至宣稱非法流量幾近 80%。大部分的暗網流量絕非用於正當用途,因此,IT 團隊無不設法防範暗網入侵公司網路,這就是最有力的佐證。暗網終究很有可能會令貴公司陷入極大的困境。

會透過暗網交流的活動,往往是犯罪活動,例如兒童情色以及毒品交易陷阱。大多數的公司行號都不會希望公司網路淪為犯罪活動利用工具,這一點應該無庸置疑。然而,監控暗網流量並不容易,因為暗網的目的就是要隱匿其流量。因此,若能設法揪出部分暗網流量,或者至少查出一些蛛絲馬跡,您可能希望繼續追蹤並設法因應。

監控暗網流量時,該格外留意哪些可能代表這類流量的警訊?暗網的惡意活動特別容易入侵某些網路裝置嗎?

一般而言,如果發現有任何流量利用 Tor 網路用戶端連上個人電腦,就要提高警覺了。最重要的指標就是 Tor 網路用戶端。在此補充說明,要在網際網路上掩藏行蹤可以透過幾種不同的方法。使用 VPN 就是其中一例,不過,這裡主要探討 Tor。

WhatsUp Gold 2018 讓網路監控更加省時省力。立即訂購 WUG。

WhatsUp Gold 網路流量分析與警示

WhatsUp Gold 運用其網路流量分析模組 (也就是所謂的「流量監控程式」) 監控暗網流量。這個模組會使用路由器和交換器的 NetFlow 資料,仔細探查 Tor 網路中所謂的傳入或傳出節點。我們的產品內建這類節點的資料庫,而且會定期更新,而 WhatsUp Gold 2018 也會持續追蹤。雖然是匿名網路,仍須找到特定進出點才能得其門而入。WhatsUp Gold 會細查某人進出網際網路的位置。若 WhatsUp Gold 留意到來自這些位置的流量,您 (IT 團隊) 就會收到警示。

具體而言,WhatsUp Gold 就是網路監控套件,能夠監控網路並發出警示。這項工具不會發揮任何封包篩選功能。因此,您和您的 IT 團隊必須自行斟酌該如何運用這項資訊。

WhatsUp Gold 發出的訊息來自「警示中心」,這項功能會經由電子郵件或簡訊發出通知。一旦收到通知,網路管理員就要自行運用 Windows 或 Linux 版本的網路軟體尋找 IP 位址。WhatsUp Gold 可以協助您完成這個程序,但您必須處理好尋找裝置的步驟。WhatsUp Gold 會查詢 DNS 名稱,並且試著填入該 DNS 名稱,對您而言,這應該是相當充分的線索,不過您可能需要自行運用一些 Microsoft 工具實際追蹤並找到裝置。

此外,IT 團隊可以運用 WhatsUp Gold 2018 統整出一份資訊主頁報告,用於說明偵測到多少流量傳入了暗網。

特殊情況適用的特殊網路監控工具。立即試用 WhatsUp Gold 2018

英國航空違反 GDPR 了嗎?

全球公司都在焦急等待,想知道誰會成為 GDPR 監管規定新制殺雞儆猴的對象。按照 GDPR 規定,凡違反監管規定的事業體,除須繳納巨額罰金外,也難逃民事訴訟。

GDPR 自 2018 年 5 月 25 日起開始實施,而在此數月甚至數年之前,許多公司行號早已開始準備因應各項新規定的施行。目前甚至仍有許多企業努力迎頭趕上,以免因資料外洩或未通過稽核而受罰。然而,目前仍有許多攸關 GDPR 的細節懸而未決。即便如此,如有任何事業體需要操作及處理歐盟居民的個人資料,仍有義務遵守 GDPR 法規。

哪一家公司將成為 GDPR 規定殺雞儆猴的對象?

眾所皆知,出現第一批違反 GDPR 規定的公司行號並進行相關調查及法律訴訟之後,才能斷定 GDPR 的施行成效。現在似乎已經出現了第一間違反 GDPR 規定的知名公司:英國航空公司 (British Airways)。

第一間違反 GDPR 規定並成為媒體關注焦點的知名公司出自航空業,這一點不足為奇。多年來,航空業的網路資安始終為人詬病。眾所皆知,航空業多半靠微薄的淨利率苦苦經營,因此,資料安全防護向來不是高階主管在乎的第一要務。

據航空業前員工及資安專業人員所述,有些航空公司直到現在仍在使用已經用了 30 多年的系統,也運用這些系統連上更新穎的網路服務。航空業的問題癥結仍然在於舊型系統 (尤其是用於處理客戶個人資料的系統)。

航空業最重視的始終是盈虧,但現在這個產業也不得不迫於時勢所趨,必須更加重視資安相關議題。

力求遵循 GDPR 規定。下載這份免費指南。

歐盟會制裁違反 GDPR 規定的英國航空嗎?

就在這個月,英國航空發生了大規模資料外洩事故,波及 380,000 筆交易。外洩的資料包括在 2018 年 8 月至 9 月間曾經與該航空公司交易之客戶的詳細財務資訊。

施行 GDPR 的理由正是要厲行資料外洩罰則。舉凡經營據點設於歐盟境內的公司,現在無不面臨艱難處境,一旦個人資料出現漏洞,一切作為 (或無作為) 都將接受調查。倘若公司違反 GDPR 規定,最高罰金可能高達年營業額的 4%,代價可謂慘重,甚至可能令公司陷入財務危機。對 BA 這樣的大型公司而言,這樣的懲處也許不算高,但中小型企業一旦違反規定,恐怕就在劫難逃了。

由於 BA 在發生外洩事故後即刻通報,甚至在報紙上刊登廣告,設法提高這個問題的曝光率。企業能採取這樣的反應措施相當值得稱許,而這著棋或許能夠阻止政府官員依據 GDPR 展開調查。不過,事實證明 BA 確實清楚自家公司的網頁應用程式早在多年前就出現了漏洞。光憑這一點,確實就有必要展開徹底調查,也應該這麼做。最起碼,應該要趁著這個機會證明 GDPR 的施行成效

相關文章:詳細解讀 GDPR 的資料保護原則,第二部分:目的限制與資料最小化

英國航空能躲過嚴格審查嗎?

大多數公司行號所能做的,就是密切關注 BA 是否會成為 GDPR 殺雞儆猴的對象。截至目前為止,是否會發生此事、會發生什麼情況,一切仍是未知數。

重點在於 BA 並不是唯一一家發生這類資料外洩事故的企業。達美航空 (Delta Airlines) 在今年 4 月份就發生過類似的資料外洩事故。TicketMaster UK 也一樣。若 GDPR 在當時已經生效,達美航空和 TicketMaster UK 或許早已因為違反 GDPR 而受罰。

原來,之所以會發生這類資料外洩事故,往往是因為使用第三方指令碼執行收集付款資訊的網站電子商務活動。依據過去調查網頁盜刷讀卡機類似案件所掌握的證據,這種情況的罪魁禍首似乎指向 Magecart 集團的駭客。

過去一段時間,RiskIQ 經常針對這類供應鏈攻擊手法的使用情形提出相關報告。您可以參閱他們所做的 BA 事故完整分析

公司行號應不應該在自家網站使用第三方指令碼?

在網站上使用第三方程式碼、指令碼、工具或外掛程式有助於提升開發速度。這是很普遍的做法,也能發揮許多優點,不過,若要實作任何第三方程式碼 (尤其是用於需要處理及操作個人資料的網站時),公司行號應格外謹慎。使用第三方程式碼讓網頁開發人員不需要自行編寫及測試程式碼,因此大大減輕其工作負擔。但是,許多公司會使用久未更新 (甚至不再受到支援) 的第三方指令碼和外掛程式。

您該不該全面避用第三方指令碼?該怎麼做才好,其實取決於應用方式,不過,由於這類工具和指令碼引發的供應鏈攻擊事件越來越多,自然有必要額外確認這類指令碼的安全程度。具體而言,免費的開放原始碼工具雖然很好,也有助於控制預算,但倘若您要開發需處理個人資料的網站,最好還是改與會定期更新程式碼及外掛程式的廠商合作。

目前我們只能觀察主管機關會如何處理 BA 資料外洩事故,但那並不表示我們不能趁著此時此刻做好安全防護措施。

Ipswitch公司榮獲網路世界亞洲2018讀者選擇產品優秀獎

Ipswitch公司的WhatsUp Gold網路監控通過連續第三年網路世界亞洲雜誌的讀者認可

 

馬薩諸塞州伯靈頓- 2018年10月25日   –   Ipswitch公司 ®,屢獲殊榮和易於使用的安全檔案傳輸和網路管理軟體,獲得網路世界亞洲2018讀者選擇產品優秀獎 。  WhatsUp® Gold   網路監控贏得了網路測試,監控和保護類,工具和監控服務和測試企業網絡,解決問題,並保護網路基礎結構的完整性。 Ipswitch公司在10月25日週四新加坡舉辦的 13  一年一度的盛會獲得最佳的IT獎項的榮耀。

在這個數位化時代的轉變,企業的技術環境正在迅速變化。不斷發展的企業需求,需要的是靈活性和反應能力是至關重要的,而技術供應商和服務提供商必須齊心,以技術發展趨勢和企業用戶的需求。該讀者選擇產品優秀獎表彰成熟和新的解決方案供應商,在2018年的中獲得亞洲終端用戶與組織最具影響力供應商,從網路世界亞洲,亞洲雲計算論壇,亞洲的安全和存儲亞洲合格的讀者選票。

本文由Ipswitch 提供,原始網頁來源請前往此連結
照片來源:https://www.networksasia.net/reader-choice-awards/2018/

銀行與金融服務在安全與法規遵循方面的注意事項

安全的檔案傳輸管理

安全的檔案傳輸管理 (Secure Managed File Transfer) 系統能夠以安全、準確、精密 控管並詳實記錄的方式進行外部資料傳輸,因此有助於因應現階段及未來可能會 採行的各種法律及規管措施。此類系統讓金融機構得以在傳送資料時收到回條, 還能運用廣泛的追蹤與稽核功能遵守 GLB、PCI DSS、SOX、GDPR 及其他州、 省或全國法規。

評估安全的檔案傳輸管理系統或替代方案時,您應該從機密性、完整性、可用性 以及稽核這四種類別的功來深入瞭解這些服務的效能優劣。

  1. 機密性能夠確保唯有獲得授權的人員能夠在經過核准的前提下使用資訊。確保機 密性的基礎在於驗證登入認證資訊,以及運用定期失效的帳戶及密碼管理等功能 來施行有力的密碼政策。存取控制包括要求所有連線一律支援採用 256 位元 AES SSL 加密與 TLS。而這種存取控制等級應強制套用於所有連上貴組織網路基礎架 構的用戶端。
  2. 完整性是指確保能夠運用完整的 SHA 支援來持續提供所有正確的資料,避免出 現漏洞。安全的加密資料傳輸是確保業務永續發展的重要關鍵。安全雜湊演算法 能夠確保檔案不會在傳輸過程中出現漏洞,也能確保原始檔案和目的地檔案完全 一致。不可否認性技術利用加入數位憑證管理的方式進行安全傳輸與資料加密, 讓資料安全性達到現階段最高的等級。
  3. 可用性可以透過負載平衡和叢集架構達成,這種方式支援自動容錯移轉及集中儲 存組態資料,因此能夠將資料出現漏洞的機率降到最低。這種方式也有助於防範 分散式的拒絕服務攻擊。若在解決方案中加入檢查點重新啟動及加強功能,藉以 克服硬體故障或網際網路連線中斷等問題,將同樣有助於確保可用性。
  4. 稽核能夠提供完整的記錄功能及防竄改證據安全措施,因此能夠保障記錄檔的完整性。基於技術、安全及其他稽核目的,應將所有用戶端/伺服器的互動與管理 措施完整記錄下來。

Ipswitch® MOVEit 的法規遵循功能

MOVEit® 是一種安全的檔案傳輸管理系統,能夠讓您在與外界交換敏感性資料時進行管 理、檢視、保護以及控制,徹底遵守資料保護方面的規範。下表說明 MOVEit 如何一一因應遵守資料保護法規的七項核心最佳實務。

安全規定

MOVEit 控制

法規遵循

MOVEit 有助於保障檔案傳輸安全、全程保護資料,以及將傳輸記錄 妥善保存在防竄改的稽核記錄中,直到法律規定的期限結束之後再進行安全銷毀。

通訊安全

MOVEit 可用於集中查看、控制以及事先授權所有檔案傳輸,還能確 保傳輸方面的加密、記錄追蹤與不可否認性,包括重大事件的安全稽 核記錄。MOVEit 的架構基礎是整合現有的安全性基礎架構、政策與 應用程式,確保 DMZ 中沒有任何未加密的資料,並且完全不需要透過外部存取。

資訊安全政策

MOVEit 無時無刻不加密檔案,因此具有不可否認性,而且能夠進行 檔案完整性檢查。Ipswitch 提供電子郵件、網路、行動存取以及桌上 型用戶端,只要搭配 MOVEit 就能讓所有使用者進行符合規範的檔案傳輸。

存取控制

MOVEit 提供多樣化的驗證機制 (包括整合現有系統),還有豐富的使 用者存取管理支援功能 (包括黑名單和白名單),同時也提供許多工具,能夠協助管理員根據安全政策選擇最適當的設定。

密碼演算法

MOVEit 採用強大的密碼演算法機制和安全選項、加密和解密金鑰散 佈與保護措施,和國際法規的要求一致。

實體與環境安全

MOVEit 能夠在實行方面發揮彈性,有助於確保遵守當地的實體安全 規定。

業務永續發展安全

MOVEit 能夠在發生故障、災難或中斷問題時全程保障檔案傳輸各階 段的機密性、完整性以及可用性。Ipswitch Failover 能夠確保檔案傳 輸處理不中斷。

本文完整內容請參閱 WP_FT_Security-and-Compliance-Finance_TW.pdf

Ipswitch 本季發佈多項產品的更新程式2018Q4

Ipswitch 發佈多項產品的更新程式,更新的產品如下包括:

MOVEit 2018 Service Pack 2 – 2018 年 10 月 30 日發佈:

  • 增加新的 MOVEit 傳輸即時檢視監控工具 (MOVEit Transfer Live View Monitor),能即時顯示進行中以及最近完成的檔案傳輸活動與指標
  • 增加新的 MOVEit 自動作業資訊主頁 (MOVEit Automation Dashboard),能顯示最近的活動與系統指標
  • 支援 Azure SQL 資料庫
  • 可供稽核的免責聲明,內容記錄由客戶界定的原則 (需勾選核取方塊並簽名同意)
  • 增加 REST API 端點,以及其他錯誤與安全性修正程式

WhatsUp Gold 2018 Service Pack 3 – 2018 年 10 月 26 日發佈:

  • 增加新的應用程式效能監控 (Application Performance Monitoring, APM) 重疊顯示功能,看一眼就能清楚掌握監控中應用程式的狀態
  • 增加新的裝置卡 APM 介面,按一下就能進入 APM 資訊主頁及使用控制功能
  • 增加新的裝置卡 (Device Card),能顯示網路流量監控 (Network Traffic Monitoring, NTA) 資訊,其中包括流量最大的 5 項程式與對話,另外也提供按一下就能使用 NTA 的功能
  • 加強控制功能,更有助於在探索階段指定每一個裝置介面/連接埠的監控程式
  • 重新設計裝置群組迷你狀態 (Device Group Mini Status) 的顯示功能,以利增進使用便利性
  • 支援 Cisco Meraki 防火牆與 Cisco Meraki Security Appliance
  • 能直接在管理主控台中執行可執行檔
  • 支援建立 OpsGenie 事件

WS_FTP Pro 12.7 – 2018 年 11 月 16 日發佈:

  • 更新 Visual Studio 2017
  • 支援 OpenSSL 1.0.2n
  • Zlib 取代 Info-Zip
  • 其他錯誤與安全性修正程式

凡持有效服務協議的客戶,皆可自 Ipswitch 社群下載以上所有更新程式進行免費升級。

如對於以上任何發佈資訊或升級方式有任何疑問,請與我們聯絡,我們十分樂意提供協助。

Ipswitch 宣佈 WhatsUp Gold 與 Cisco Connected TAC 整合

Ipswitch® 是 Cisco® 解決方案合作夥伴計劃首選解決方案合作夥伴,專事生產榮獲獎項肯定且使用簡便的網路管理軟體;日前,該公司宣佈將整合 Ipswitch WhatsUp Gold integration 與 Cisco Connected TAC 服務,以利提供主動診斷服務。

Connected TAC 服務是 Cisco Systems 針對使用 Cisco 網路設備的客戶而開發的產品,是一套能夠發揮附加價值的診斷服務。Connected TAC 可以讓客戶充分運用採行數位技術的 Cisco 智慧資本與專業知識,及早主動發現可能會發生的裝置問題,避免問題加深而對網路效能、可用與否以及安全程度造成大幅衝擊。客戶可以得到更快速的自動化主動問題識別功能,以及 Cisco 建議的補救措施,從而提升企業永續發展與風險管理方面的能力。

Ipswitch WhatsUp Gold 是頂尖的網路監控解決方案產品,可以自動偵測在客戶環境中使用的 Cisco 裝置。這項產品能夠準確同步該項資料與 Connected TAC 服務的其中一項核心元件:Diagnostic Bridge。

「Cisco Connected TAC 和 Ipswitch WhatsUp Gold 整合,等於是兩大領域的頂尖解決方案合而為一,協助 IT 團隊展現實力,並且在各自的組織當中交出亮眼的成績單,同時協助公司成長並提升永續發展能力。這項合作案能讓兩家公司均從中受惠,因為有 85% 以上的 WhatsUp Gold 客戶會同時採購 Cisco 產品。」Ipswitch 高級副總裁 Alessandro Porro 如是說。

WhatsUp Gold 2018 版本包含許多重要增強功能,包括能監控 Meraki 雲端管理式無線系統、Amazon Web Services (AWS) 和 Microsoft Azure 雲端部署以及 Dell Compellent 儲存裝置的效能。現在,Ipswitch 的客戶可以使用一覽無遺的資訊主頁和互動圖,透過單一網路介面就能清楚掌握部署於內部與雲端的網路、伺服器、儲存裝置以及應用程式。

兩家公司通力合作,向彼此在全球的合作夥伴及客戶推廣 Ipswitch WhatsUp Gold 及 Connected TAC 服務。

如需關於 Cisco Connected TAC 服務及 Ipswitch WhatsUp Gold 的詳細資訊,請按這裡:

https://www.cisco.com/c/dam/en/us/support/docs/services/connected-tac/Connected_TAC_At-A-Glance.pdf

保護您的組織免受社交媒體洩露

在最近的一次數據洩露事件中,Facebook稱黑客獲得了近5000萬個帳戶,這是社交網絡路中有史以來規模最大的安全漏洞。截至週五,該公司表示他們確實知道誰應對此違規行為負責。該漏洞是Facebook最新的漏洞(3月份,該公司表示數百萬用戶的數據與Cambridge Analytica不當分享)。

由於這些類型的漏洞在廣泛使用的平台上如此緊密地結合在一起,許多組織不確定如何處理這些類型的網路,或者更重要的是,如何在漏洞出現時保護自己免受攻擊。

我可以採取哪些措施來保護組織?

要採取一些措施來保護您的組織免受社交媒體漏洞攻擊。

制定社交媒體風險管理策略

保護您的組織免受社交媒體洩露的最佳步驟是審查和更新您組織的社交媒體風險管理策略。如果您的組織沒有,您應該認真考慮建立一個。

請務必包含策略,流程和特定程序,以解決每種類型的威脅(例如,培訓數據洩露,弱密碼,發布敏感的公司訊息等)。此外,制定明確定義的計劃,通過特定的角色和工作流程來解決各種類型的風險。您希望確保組織了解在發生違規時誰負責。如果您走在正確的軌道上,這看起來很像您的事件反應計劃。確保這些都與整個組織的關鍵利益相關者進行了良好的溝通。

最後,制定員工將遵循的員工社交媒體政策。社交媒體政策概述了組織及其員工應如何在線進行自我管理。它有助於保護您的品牌聲譽,並鼓勵員工以負責任的方式分享公司的信息。您可以在https://blog.hootsuite.com/social-media-policy-for-employees/上閱讀有關創建社交媒體策略的更多訊息。

溝通與培訓

一旦您制定了有關社交媒體風險管理和員工政策的完善策略,您就需要明確公司的新計劃。您還希望從員工那裡獲得反饋(如果每個人都沒有參與,那麼您將很難執行該政策)。

在公司的年度培訓期間,是介紹這些政策的好時機。在此培訓期間,請務必提供有關社交媒體黑客攻擊方式的詳細說明。明確需要強密碼和雙因素身份驗證是此培訓的重要組成部分,因為每個人都必須了解弱身份驗證的安全問題(因為IT專業人員很容易相信這些是明顯的步驟,但對於您的銷售而言,會計或服務部門,它可能不那麼簡單)。

在初始培訓之後,開發員工溝通,培訓和其他計劃,以幫助員工理解,識別和管理這些風險,並為員工進行社交媒體培訓,使其成為新員工入職流程的一部分。這將防止新員工加入後出現誤解。此外,還包括員工社交媒體政策和品牌指南培訓。這將允許您將新策略擴展到與貴公司合作的合作夥伴和供應商。

最後,監控社交媒體並確保負責社交媒體監控的每個人都知道要查找的內容,以及發生攻擊時的計劃和工作流程。制定政策和戰略非常棒,但如果沒有人在尋找違規/黑客攻擊,那麼對你來說不會有太大幫助。

如果發生違規,該怎麼辦。

如果您擁有一切並且您的員工已接受過培訓,您仍有可能遇到違規行為。如果您這樣做,請聯繫破壞社交媒體渠道的客戶支持團隊。如果適用,請與受影響的社交媒體渠道的客戶代表聯繫,以升級支持請求。此時,您需要請求刪除任何未經授權的帖子並暫時禁用該帳戶,直到它安全地回到您的控制之下。在某些情況下,您可能會發現與技術供應商合作很有幫助。工具和技術可以主動保護這些帳戶並提醒您潛在的黑客攻擊。部署這些技術以主動防禦可能來自電子郵件,社交媒體或移動應用程序的高級攻擊。

通過遵循這些提示和最佳實踐,您現在已準備好保護您的組織免受社交媒體洩露。發生事故時,您已準備好處理它!

既然您已準備好應對社交媒體黑客,請查看我們最新的博客文章之一,以幫助您抓住並阻止內部威脅

Ipswitch發佈最新版本的WS_FTP Server 2018(v8.6)

Ipswitch公司在2018年9月20日發佈 – Ipswitch®是屢獲殊榮且易於使用的安全檔案傳輸和網路管理軟件的製造商,它發佈了WS_FTP®安全FTP伺服器軟體的更新版本,用於安全檔案傳輸。WS_FTP Server 2018(v8.6)包括許多關鍵的安全增強和修復,包括PostgreSQL安全更新,其他安全更新和刪除不受支持的C ++可再發行組件。

“成千上萬的IT團隊依靠WS_FTP獲得確保關鍵數據可靠和安全傳輸所需的獨特業務級功能,。Ipswitch的高級副總裁兼首席技術官 Bill Doll說道。“我們致力於確保WS_FTP服務器繼續其可靠性和安全性的可靠記錄,傳輸和保護敏感行業中最機密的訊息已有20多年了。我們鼓勵所有WS_FTP Server客戶升級到這個最新版本。“

WS_FTP伺服器允許更好的控制,實現檔案傳輸活動的實時可見性。用戶可以從任何Internet連接遠程管理或管理WS_FTP伺服器。高級安全功能包括256位AES加密,SSH傳輸,安全複製(SCP2),檔案完整性,SMTP伺服器身份驗證,SSL憑證支援,SSH listener選項,登錄身份驗證加密,數位憑證管理以及伺服器和客戶端的相互身份驗證。

有關此發行版中所有改進的具體詳細訊息,請參閱WS_FTP Server發行說明。WS_FTP Server 2018是Ipswitch Community 的免費升級,適用於擁有有效服務授權的所有客戶。要升級,請訪問:https//community.ipswitch.com/s/

有關更多訊息或30天免費試用版,請訪問:https//www.ipswitch.com/ftp-server

GDPR 的資料保護原則,第四部分:完整性、機密性與責任歸屬

歐盟開始實施象徵其資料保護規範重要里程碑的一般資料保護規範 (General Data Protection Regulation, GDPR),迄今已歷經數個月的時間。也就是說,從現在起,全球舉凡需收集歐盟居民個人資料的公司行號,在處理這些個人資料時皆須更加謹慎,必須保障這類資訊的安全與隱私。違反相關規範者恐將面臨巨額罰款及重大懲處,目前已有數家公司行號受罰。不過,仍有部分公司尚未釐清這項最新立法規範。事實上,依據一項針對歐盟七國所做的新聞網站意見調查結果,自實施 GDPR 以來,同意橫幅的增加比例僅為 16%,同時,每個網頁的第三方 Cookie 數量下降了 22%。

數字看似不少,但相較於 5 月 26 日如洪水般猛烈的「我們已更新條款」電子郵件攻勢,這樣的結果並不如預期。這代表什麼?

這種現象意味著許多公司還不清楚 GDPR 規範,同時也表示現在我們該繼續探討延宕許久但未曾遺忘的「詳細解讀 GDPR 的資料保護原則」系列文章了。

在本系列連載文章中,我們將探討七項資料保護原則、這些原則與 GDPR 之間的關係,以及如何運用這些原則保障貴公司的資料並確保確實遵守 GDPR 與其他監管準則。

本系列的第一篇文章探討了 GDPR 的基礎概念:何謂 GDPR、GDPR 在規範什麼、GDPR 會對哪些人造成影響等等,同時,我們也探討了第一項資料保護原則,那就是有權要求公平、合法且公開透明的資料處理流程。您猜對了!第二篇文章探討的是第二項和第三項原則:目的限制與資料減縮。第三篇文章闡明了第四項和第五項原則:準確性及儲存限制。

現在,我們接續上一次的內容,繼續討論第六項原則:完整性與機密性,以及第七項原則:責任歸屬。

第六項原則:完整性與機密性

在 GDPR 堅守的七大原則當中,第六項原則是相當重要的一項,理由非常充分,即一切都是為了安全。

第六項原則載明資料「處理方式必須能夠適度保障個人資料的安全,包括必須採行相關技術或組織措施,盡力防範未經授權或不合法的處理方式,也須避免不慎遺失、摧毀或損壞資料。」

若以白話文解釋,這段法律條文的意思是:企業組織處理個人身分識別資訊 (Personally Identifiable Information, PII) 的方式,必須能夠防範資料遭竊、遭摧毀或不慎遺失等事故。所謂「採行相關技術或組織措施」的定義稍顯模糊,GDPR 法規撰寫人有可能是刻意避免釐清強制規定的安全防護措施,因為相關技術和最佳實務會不斷變化。

對我而言,這項規定似乎是在要求大家採行可靠完善的安全防護最佳實務,例如加密傳輸中或閒置中的資料、使用兩階段驗證,以及使用防篡改記錄技術追蹤存取資料的人員、時間和方法。企業組織過去若習慣採用無安全防護措施的 S3 Buckets 技術留存 PII,這項規定可能看似相當嚴苛,不過,實際改革起來並不至於大費周章,無論是否需要遵守 GDPR 規範,我都建議各企業採行這項措施。

第七項原則:責任歸屬

第六項原則是唯一明確著重於安全規範的原則,而最後一項原則強調的重點則在人人真正在乎的問題:後果。

第七項原則簡潔明了地載明「資料控管者應承擔遵循 [前幾項原則] 的責任並具備這種能力。」

未能確實遵循前六項原則的後果恐怕相當嚴重,最高可罰款 2400 萬美元或是全球年營收的 4%,以其中金額較高者為準。凡需收集、儲存或處理歐盟居民個人資料的企業組織,皆須遵循相關規範。無論貴公司的總部設於何處,概無例外。即便公司行號在歐盟地區並未設立實際據點,仍須遵循 GDPR 規範。

不過,什麼叫做遵循規範?該如何展現您確實是遵循規範的優良企業?GDPR 並未說明企業該如何證明確實遵循了規範,這是因為產業類型不同、需要處理的資料不同,以及組織規模大小不同,所謂遵循規範的定義就大相逕庭。不過,無論組織規模是大是小,您一定要做好隨時接受稽核的準備。建議採行普遍的最佳實務,例如記錄安全事件及 PII 存取情形,以及進行內部稽核。

再者,建議進行業務風險評估,這項評估可以協助您發現任何漏洞,同時也能評估您是否需要加強或實施具體的安全管制措施。

管理式檔案傳輸對於協助貴公司遵循規範有何助益

如前所述,只要貴公司需收集、儲存、處理或傳輸歐盟居民的個人資料,就必須遵循「一般資料保護規範」(GDPR)。在這千鈞一髮的時刻,最佳措施就是保證個人資料傳輸過程中所用的系統、使用者驗證以及加密技術全數安全無虞,而且確實符合 GDPR 的規定。

像 MOVEit 這般可靠的管理式檔案傳輸解決方案,可以運用許多方式協助貴公司遵循 GDPR。

  • 自動檢查檔案完整性 (Automatic File Integrity Checking) 能夠檢查檔案是否遭到竄改,從而避免導致資料不正確的重大錯誤,同時也能避免任何人不當存取資料。
  • 加密傳輸中及閒置中的資料。MOVEit 採傳輸及儲存加密技術並行方式,一方面運用 SSL 或 SSH 加密傳輸中的檔案,另一方面則運用 FIPS 140-2 驗證合格的 256 位元 AES 加密磁碟中的閒置檔案。即使發生資料外洩事故,這些步驟仍然能夠保障檔案及您所處理的 PII 安全無虞。
  • 詳細的防篡改記錄功能,可以詳實記錄檔案傳輸活動,讓您確切掌握存取資料的人員、時間、地點及方式。如此一來,即使資料遭到篡改,您仍然能夠掌控大局。
  • 內建資料不可否認機制,這項機制可讓您證明上傳、下載了某個特定檔案的人員,也能證明上傳及下載的檔案完全一致,使您能夠查證每一位處理過某個檔案的使用者,並且提供可靠的存取記錄。

本文轉載自ipswitch官方網站部落格