当前位置：首页 > 范文大全 > 实用文>保护企业FTP安全的最佳实践

保护企业FTP安全的最佳实践

2022-09-20 08:34:45 收藏本文下载本文

“橙Lyh”通过精心收集，向本站投稿了8篇保护企业FTP安全的最佳实践，以下是小编为大家准备的保护企业FTP安全的最佳实践，仅供参考，欢迎大家阅读。

保护企业FTP安全的最佳实践

篇1：保护企业FTP安全的最佳实践

虽然各种威胁在持续发展演变，但是文件传输协议（通常称为FTP）基本上还是跟几年前一样，而且还在大范围的使用，

FTP主要用来传输大文件，它就是为了这个目的设计的。FTP是一种客户端服务器（主从模式）协议，它使用控制和数据两条通道进行文件传输。控制通道用来进行身份认证，并给服务器发送命令。该协议本身不支持加密，因此，在控制通道中发送的所有流量都是直接发送的，或者说是未加密的，这是该协议的弱点之一。在企业中，FTP服务通常被用来处理那些不敏感的内容，而且跟其他敏感信息系统都是完全隔离的。人们还得保证FTP服务能够及时更新。配置错误的以及结构不合理的FTP服务可能会成为企业中重要的安全漏洞。

企业确保关键FTP安全的最佳做法是什么？FTP安全状况达到可以传输敏感数据的地步了吗，或者说有什么好的方法可以让FTP更安全？如果FTP还不够安全，不足以用来传输敏感数据，那么有哪些协议可以替代它呢？我们会在本文中回答这些问题。

FTP无处不在，这一点不可否认。就像其他广泛使用的技术一样，FTP也开始成为攻击者易于攻击的目标。这么多年来，攻击者已经有了许多使用FTP以及利用FTP漏洞的经验。有关FTP服务安全性的讨论很激烈，一般来说，人们没有就哪种方法能最好地保护FTP安全达成共识。主要是由于商业需要，才让这项服务继续存在，而没有使用其他更加安全的替代产品。对我来说，任何使用或者考虑使用FTP的企业都应该先问自己以下三个问题：

a.我们真的需要FTP吗？

b.我们怎样才能安全地设置FTP（我将会解释这个自相矛盾的情况）？

c.有没有既安全又容易使用的FTP替代产品？

第一问题很有趣。从技术上讲，答案是否定的。其实市面上有许多更加安全的其他技术，我们将在后面讨论。然而，实际的答案却是肯定的，因为FTP应用非常广泛，而且具有跨平台的支持性，大多数企业都被迫选择支持FTP。

我花了相当多的时间对过滤设备（即防火墙）上的FTP连接进行故障排除，了解到FTP的控制和数据通道设计不是很适合在数据包穿越多个不同的网络设备环境中使用。给你们举个例子，初始化一个网络代理后面的公司网络以及负载均衡环境中服务器之间的FTP会话，并不是那么简单的故障排除工作。

正如我先前提到的，FTP是一个客户端服务器协议，使用单独的控制和数据通道进行文件传输。控制通道用来进行身份认证，并给服务器发送命令。这种身份认证机制比较脆弱，因为认证信息没有经过加密就直接发送到服务器，使得这种网络传输很容易被。在一般的FTP实施过程中，一些典型的安全漏洞让这个问题更加复杂化。

尽管FTP存在安全弊端，但是许多企业还是选择它进行大容量的数据传输。大多数工作站、应用程序，甚至网络过滤设备都内置了对FTP的支持。其他产品可能会更加安全，但是它们还是无法与FTP的便利性和低成本相抗衡。

让我们暂且假设FTP是唯一的选择。那么，我们可以来仔细研究几种能够让这项服务达到一定安全性的方法，

我先从网络设计阶段开始，我们可以把FTP服务限制在专用虚拟局域网网段上。这一般需要从你的交换机、路由器或者防火墙设备中分出一个单独的专用网段来管理FTP服务。这种做法有多方面的目的。不仅能使你专门使用防火墙的一部分来防护这个网段，并进行渐进政策（控制源IP）控制和简化故障排除（主动/被动连接）；而且会给你提供一个阻塞点（choke point），从而监视和使用网络安全设备，比如IDS或者IPS。在这种情况下，阻塞点方法可以非常方便的进行监测和预防，你能够监视利用FTP服务（比如IDS）相关漏洞而发起的攻击，或者主动拦截利用IPS对FTP服务的攻击等。

下一步，我们需要侧重于让管理FTP的服务器本身变得更为强大（尽管我在上文中提到首先要进行网络设计，但是我不建议在所有的安全强化步骤完成之后才对服务器进行处理）。我建议大家不仅仅要考虑应用最新补丁，按照因特网安全中心（CIS）的标准来设置服务器，还要考虑更多的东西。当受到攻击的时候，FTP服务往往会引起严重的附加损失。这是因为，在许多情况下，FTP服务是具有高优先级的过程（比如，作为根用户），如果被攻击者成功利用的话，攻击者会得到系统级的权限。

在服务器上隔离FTP服务，可以很大程度的防止这种漏洞利用攻击。这与基于网络的隔离有所不同，这种隔离是通过处理服务的硬件实现的。FTP隔离可以通过在虚拟环境（开源Xen系统管理程序）中运行FTP服务或者改变根目录（chroot）来实现。在改变根目录这种方法中，管理员能够在处理过程中改变磁盘根目录，这基本上限制了超出自身限制范围的操作以及访问文件系统敏感区域的能力。改变根目录可以用几种方法实现；有些例子用“/etc/ftpchroot”为特定用户确定一个chroot环境，有些则使用“ftp-chroot”登录类。这两种方法都建议FTP后台程序在ls支持下重新编译，所以没有特殊的依赖关系。

最后，目前有一种易于安全维护的FTP替代品，叫做Secure Shell（SSH）。与FTP不一样，SSH以加密的形式发送所有内容。SSH使用加密的传输服务，并且把一个文件传输代理放在最高层，避免了FTP服务普遍的安全缺陷和复杂性。为了简单起见，我认为SCP（主要是文件传输）、SFTP（运行在SSH上面的、全新的文件传输协议）和以SSH为通道的FTP会话，每种服务都使用了SSH，它们都可以作为FTP可以接受的、更加安全的替代品。在这个分类中比较奇怪的是FTPS（SSL上的FTP）。说实话，我认为FTPS作为 FTP替代品不可行，因为它与防火墙不兼容。使用更加安全的协议需要进行服务隔离，并且要采取适当的服务器安全强化步骤。

FTP另外一个有趣的替代品可能就是数字内容传输服务了，它能够提供安全的文件传输，又能简化管理。它往往是基于云的服务，其中包括文件跟踪、传输通知、流程集成工具以及可编写脚本的API等功能。虽然这些服务原本是为了数字内容的传输而设计的，但我想它们也可以为企业提供好的文件传输服务。

FTP是一个敏感的话题。有些用户喜欢它的便利性，但是总的来讲，网络和安全团队并没有被这一点所迷惑。人们能够指出FTP的多项缺点，并且指出可以替代它的解决方法。有许多方法可以与FTP共存，但如果你的企业更适合使用像SSH这样更加安全的产品，我强烈建议您用它取代FTP。

篇2：加密使企业FTP服务器更安全Ftp服务器

在企业环境中搭建FTP服务器，为企业员工进行文件的共享提供了便利，不过作为网络管理员的你是否真正了解FTP的安全呢?不要以为设置个复杂的管理员帐户密码就可以万事无忧了，也不要以为将系统安装上最新的补丁或者选择最新版SERV-U等FTP搭建工具就可以万无一失了。下面我们将验证FTP并不安全，同时提供加固FTP服务的加密安全措施。

一、FTP并不安全

我们知道默认情况下FTP站点信息是用明文进行传输的，没有进行任何的加密。也就是说当用户登录FTP站点输入用户名和密码时，这些信息是没有加密的。非法用户可以通过sniffer等工具将这些信息还原成本来面目。下面我们做个检测，通过sniffer将FTP站点的用户名和密码还原成明文。

测试环境：

企业网络中A、B两台计算机通过交换机相互连接到同一个子网，B是员工计算机，一名员工通过他访问公司的FTP服务器，登录FTP时使用自己的用户名和密码。A是我们安装了sniffer的计算机，通过sniffer我们可以监测出使用B计算机的员工访问FTP服务器的用户名和密码。

测试过程：

第一步首先在A计算机上安装sniffer嗅探工具，并启动该程序。在sniffer软件中通过上方的“matrix”(矩阵)按钮启动监测界面，打开监测界面后我们就可以开始监测网络中的数据包了。通过菜单栏的“capture(捕获)→start(开始)”启动。在检测数据包窗口中我们点左下角的objects(对象)标签，然后选择station(状态)，这样将把当前网络中所有通信都显示在窗口中。(图1)

第二步：这时候我们通知B计算机的员工使用电脑登录了FTP服务器，那么我们在sniffer中点菜单的“capture(捕获)→stop and display(停止并显示)”。这里假设我们FTP服务器的IP地址为192.168.1.20，那么我们从显示的地址列表中找到关于192.168.1.20这个IP的数据包，然后点下方的“DECODE(反解码)”按钮进行数据包再分析。(图2)

第三步：在“DECODE”(反编码)界面中我们就可以对关于192.168.1.20的所有数据包进行分析了。我们一个一个的分析数据包，分析到大概第十九个数据包时出现用户名信息，我们可以从界面中看到用户名为lw。继续往下看，到了第二十一个数据包的时候就可以看到密码了，密码以明文的形式显示在sniffer中，密码为test168。(图3)

至此我们就通过sniffer工具将员工在FTP服务器上的用户名和密码嗅探出来，该方法在员工和安装了sniffer的计算机处在同一个子网的情况下有效。

二、加密FTP站点信息的传输

既然知道了FTP服务器是以明文方式传输数据的，特别是用户名和密码传输的安全性极差，信息很容易被盗。虽然FTP提供了SSL加密的功能，不过默认情况下是没有启用的，如大家常用的Serv-U FTP服务器(简称Serv-U)。所以说为了保证传输的数据信息不被随意窃取，有必要启用SSL功能，提高服务器数据传输的安全性。我们以Serv-u为例进行介绍来弥补这个安全缺陷。

相关知识：什么是SSL加密协议?SSL协议(Secure Socket Layer，安全套接层)是由网景(Netscape)公司推出的一种安全通信协议，它能够对信用卡和个人信息提供较强的保护。SSL是对计算机之间整个会话进行加密的协议。在SSL中，采用了公开密钥和私有密钥两

关键字：加密密使使企企业业F FT TP P服服务务器器更更安

篇3：SaaS访谈：企业部署SaaS应用最佳实践

云计算的落地归根结底是要将计算资源以服务的形式交付给用户，SaaS形式的云服务是目前应用形式最为广泛的云服务，但是目前仍然有许多用户有各种各样的顾虑，尚未选择SaaS云服务，为了促进SaaS云服务的使用，同时让用户在选择SaaS云服务是有一个参考的依据，IT168联合众多的云计算专家、用户以及主流的SaaS厂商，推出云服务体验的专题，来为大家解惑。为此，我们采访了国泰君安证券，了解了他们在部署和应用企业邮箱时经验。

国泰君安证券是目前国内规模最大、经营范围最宽、机构分布最广的证券公司之一，拥有三家子公司、五家分公司、23家区域营销总部及所辖的113家营业部。因此，国泰君安证券对于企业的统一管理、高效运作、信息安全等有极高的要求，

国泰君安证券底部署了网易企业邮箱，为企业带来的直接好处是办公更加便利、信息传递更加通畅，以及实现了企业邮箱的可管理性和企业信息和资料的安全存储。

在谈到网易企业邮箱是否已经满足业务发展需要时，国泰君安证券方面表示，在功能和用户体验方面非常满意，很多员工的个人邮箱都是使用网易免费邮好多年，因此对网易企业邮箱的功能和界面非常习惯。在安全性方面，因为证券公司业务的特殊性，在部署之初就做了各方面的对比和甄选，网易企业邮箱的全程SSL加密机制、服务器端口加密措施等等都得到了公司技术评审同事的满意。

企业部署企业邮箱其实要考虑很多方面，关键点也不是简单的一点两点，企业的特殊性决定了对数据的安全性要求非常高，在部署过程中国泰君安证券经历了多次与网易企业邮箱沟通、搭建测试环境、实际技术测试到最终确定购买的流程。

SaaS 经过几年的发展，得到了中小企业的认可，在很多方面可为企业缓解压力并提高企业办公效率，比如企业可大大减少硬件和人力成本，并利用先进的管理软件或工具提升办公信息化。基于云计算的SaaS服务，可将企业办公各项必须的软件服务集成在云端，实现数据同步、存储信息同步、实时更新等技术，更加便捷易用，对企业的价值是非常巨大的。可以这样比方，云服务将本身一个个独立的SaaS应用联系起来，为企业提供一个更加完善的服务平台。

篇4：保护FTP服务器做好Serv―U的安全防范

Serv-U是目前搭建FTP服务器使用最普遍的服务器软件之一，因此如何用它搭建一个安全的FTP服务器是众多用户苦心钻研的事情，下面就将在日常使用中总地出来的防范经验与大家一起共享。

一、安装时的两点注意

在安装Serv-U时，就应该注意尽量不要将其安装在默认的C:Program FilesServ-U目录下，应该更换一个不易被猜测到的目录。其次在安装时选择安装组件时，一般只要选中“Server program files”和“Administrator program files”两项即可，而另外的“ReadMe and Version text files”和“Online help files”则是说明和在线帮助不需要安装。相同的道理，在安装其它应用软件时，尤其是服务器类软件时，应遵守“够用”的原则，即只安装需要使用的组件即可。

二、初次设置尤重要

安装好Serv-U初次运行时，会自动弹出创建域和账户操作向导窗口。由于使用向导创建的账户会带来一些未知的安全问题，因此在这里建议单击“取消”按钮，改用手工来创建。

在Serv-U处于运行状态时，我们需要修改默认的管理口令。因为默认的口令为空，对此我们中需要单击主界面上“设置/更改密码”按钮，在弹出的“设置或更改管理员密码”窗口，此时在“新密码”和“重复新密码”窗口中连续输入自己欲设置的口令，注意一定要设置的复杂一些。这样用户在设置一些本地服务时将必须输入口令才能完成。

三、账户设置须仔细

1.账户失效时间

对于新账的账户，必须认真设置其权限。首先如果账户有使用时间限制，那么一定需要在“帐号”标签中设置帐户自动“移除”的时间，这主要是针对一些临时账户用户。

2.防范大容量文件攻击

其次为了防范大容量文件攻击，提醒大家需要限制最大速度。切换到“常规”标签，我们可以看到默认状态下“最大上传速度”和“最大下载速度”都是空白一片，则表示没有限制，这样一些就会这个漏洞传送大容量的文件，从而导致FTP处理不过来使程序停止响应或自动关闭。因此，用户可以根据需要填写一个限制的速度，单位是KB/秒，一般填写1000KB/秒左右为宜，

另外“空闲超时”和“会话超时”也建议设置一个数值，通常的10分钟左右即可。

3.目录访问权限

一般来说，我们不需要将多余的权限授予用户。因此，需要根据其账户类型，在“目录访问”标签中选择相应的操作类型即可。但是有一点需要注意的是，不管是什么用户，建议都不要授予其“运行”权限，因为在取得webshell后就可以很容易的运行攻击程序来破坏Serv-U的正常工作。

4.限制访问来源

通常情况下，用户登录FTP时的IP地址都相对固定，即使是使用ADSL这类拨号上网动态IP地址用户，其用于自动分配的IP地址都是有一个相对固定的范围的。对此，我们可以切换到“IP访问”标签，将“编辑规则”设为“允许访问”，然后在“规则”中输入允许访问的IP地址或IP地址段，输入之后单击“添加”按钮，可以添加多条规则。

另外我们也可以从系统日志中查找蛛丝马迹，发现来明不明的IP地址，可以将其添加到“拒绝访问”列表中。

四、启用SSL

默认状态下，Serv-U的数据传输都是以明文方式传送的，这样很容易被一些嗅探工具捕获。对此，我们可以启用SSL加密。

首先在Serv-U的管理窗口左侧选择“本地服务器”下的“设置”项，在右侧选择“SSL证书”标签，然后在“普通名称”中填入实际使用的FTP地址，其它的项目随便填写，填好后单击“应用”按钮完成SSL证书的创建。

接下来，我们就可以在域列表中选择自己已经创建好的域，然后在右侧的“安全性”下拉菜单中选中“只允许SSL/TLS进程”选项，再单击“应用”按钮即可启用当前域的SSL加密功能了。

不过要注意的是，启用SSL加密后，默认的FTP端口21将被改成990，对此需要告知用户，否则无法成功连接到FTP服务器。

五、认真查阅日志

用户访问FTP服务器，Serv-U都会忠诚的做下详实的记录，这些记录中包括用户访问的IP地址、连接时间、断开时间、上传下载的文件等。在管理窗口左侧选择要查看的域，然后再选择“活动”项，在右侧选择“域日志”，这样在这里即可显示详细的日志信息了。通过这些日志信息可以判断是否有恶意攻击。

六、注意升级

每一次补丁的发布都会弥补一些缺陷，因此建议大家在可能的情况下需要关注安全新闻，注意打补丁及时升级。这同样是网络安全中通用的一条法则。

篇5：通往ERP云的安全路径：五个最佳实践

当你已经洞悉了潜在的收益，选定了适合的业务类型的时候;当你已经选好了供应商，准备好把企业的财务、采购和项目管理(即企业资源规划ERP)迁移到云中的时候，你以为接下来就可以顺利的步入云中了吗?事实上，一切才刚刚开始，你准备好进行下一步的工作了嘛?

近年来，业界开始关注将ERP迁移到云中的好处，而越来越多的首席财务官也开始推动企业部署ERP云服务，与传统ERP相比，ERP云服务提供了大量灵活的、易用的安装设置，且不会增加成本开销。此外，ERP云服务还可提供适用于所有业务类型的功能，从而满足企业多业务、跨地区的高效支撑。

然而，这种转变也带来了很多挑战，目前只有少数的供应商和系统集成商在这个领域拥有成功的实践经验，甲骨文就是其中之一。在甲骨文ERP云服务推出的短短时间内，已经赢得了许多全球知名企业的青睐，例如东芝公司、雅虎、松下、德国邮政、米其林等。通过与部署ERP云的各种不同类型的企业沟通合作，我们积累了一些最佳实践，能够帮助企业安全地将核心财务和运营系统迁移到云中：

1. 获得企业管理层的支持

这对于推动任何IT项目来说都是一条显而易见的原则，无论什么样的企业，规模多大，获得高层的支持对推动项目执行来说都是至关重要的。

管理层的支持能够使员工和一线经理们认识到当前他们负责的这个项目对于企业来说是一项战略重点，会增强他们的重视度和执行力，也会提升他们应对各种变化和挑战时的反应速度。

2. 采取重复叠加的方式获取早期反馈

云的显著优势之一就是不用在系统中安装额外的东西，这样能保证系统的快速运转。一种让新系统保持在线的灵活方式有助于充分利用这一速度优势。我们的客户通常会先组织一个小规模团队来执行小单元的试点工作，这样也能够发现ERP云是否能满足他们的主营业务需求。如果该团队遇到不能满足业务需求的情况，他们就会向云服务供应商提供早期反馈，这样供应商能够及时提供建议，并把增强功能合并到下一次云升级中。

然而，企业通常对于在已交付的流程中发生的变化很谨慎，这就涉及到了下一个最佳实践：

3. 采用经过实践验证的最佳实践

如果你想做的是把所有老旧的、内部部署流程迁移到云中，那么你或许无法真正获得现代ERP云的所有好处，

每一家公司都会有一些独特的流程，因此你所寻找的供应商需要有能力提供必要的工具来满足你对云的个性化需求。

然而，如果你仅专注于通过推动小部分特殊的业务流程来启动项目，你可能会面对项目延误或受挫的风险。因此，建议你以现代ERP交付的通用业务流程来启动项目，这样不但可以加快迁移到云中的速度，获得早期成果，从长远来看，通过简化那些跟不上业务的旧流程还可以大幅提高业务效率。

4. 尽早利用报告和分析功能

现代ERP云的最大好处之一是为不同的用户提供强大和易于使用的报告和分析功能，无论其是高管、业务管理人员、员工还是第一线的流程专家。

过去，团队只能期待从单独的数据仓库中得出报告，竭力处理电子表格，或者去访问那些分散在不同部门、且经常显示冲突数据的数据库。

现在，你可以通过ERP云来实时了解你的业务状况，先进的多维度分析和可视化数据可以使你快速获取相关洞察。

为此，在实施计划中要尽早地利用报告和分析功能，从而决定你需要哪些信息，希望得到什么样的报告，以及谁能够访问什么样的信息。为业务管理人员提供早期报告是把“质疑者”转变成“拥护者”的好方式，而这也引出了接下来的一条最佳实践：

5. 让使用者和流程负责人更早参与

那些每天使用ERP系统的人是你们团队中最重要的人。如果他们不认可，这个项目就不会成功，因此应该让使用者从早期就参与到项目中来，让他们了解新的应用，这样才能够确保他们获得舒适的用户体验。而且还有一个好处，就是等到ERP云项目上线的时候，这一部分早期用户就已经适应了这些新的应用和流程，这样也节省了培训的成本和时间。

篇6：企业安全文化建设的实践与思考

企业安全文化建设的实践与思考

通过近几年的安全生产实践,使我们深深认识到,从业人员安全意识淡薄、综合素质较低,是事故屡屡发生的根源.尤其是人们在执行各种规章制度的.过程中,被动应付,忽冷忽热,不能够持之以恒,使各种行之有效的制度得不到有效落实,自觉不自觉地就暴露出重生产、轻安全、要钱不要命的思想,严重影响着企业的安全生产.

作者：潘峰唐中华张红芳李迎鑫作者单位：鲁能菏泽煤电公司安全监察部刊名：当代矿工英文刊名：MODERN MINER 年，卷(期)： “”(9) 分类号：X9 关键词：

篇7：煤矿企业的安全文化建设探索与实践

煤矿企业的安全文化建设探索与实践

摘要：煤矿的安全生产与企业安全文化有着内在的`联系,两者相辅相成、相互联系.结合莒山煤矿对安全文化建设进行探索与实践,坚持以“三个代表”重要思想为指导,通过健全管理组织体系,完善各项规章制度,采取丰富多样的宣传手段,装备有效的安全设施以及强化安全基层基础管理等途径,倡导和树立安全发展理念,激发员工“关注安全、关爱生命”的本能意识,塑造正确的安全价值观,建成能充分保障员工安全与健康的安全文化体系.作者：张仙保 ZHANG Xian-bao 作者单位：山西兰花集团莒山煤矿有限公司,晋城,048002 期刊：中国安全科学学报 ISTICPKU Journal：CHINA SAFETY SCIENCE JOURNAL 年，卷(期)：, 16(7) 分类号：X923 关键词：煤矿安全文途径安全发展体系