数据是一个企业核心机密和竞争力,一旦数据安全事件发生,企业将遭受难以挽回的损失。那么,企业应该如何保护数据安全呢?
一、前言
近期,数据安全事件频发,从华住集团数亿条开房记录泄露事件,到腾讯云数据丢失事件。不仅涉及到千千万万普通C端用户,也涉及到使用B端服务的大小企业。
尤其是腾讯云数据丢失事件,更是引发了大范围的讨论,让很多企业意识到,原来不光是C端用户的数据安全可能受到威胁,自身企业的数据安全也不是固若金汤。
数据是二十一世纪的石油,是企业的核心机密和竞争力。一旦发生此类数据安全事件,企业将遭受难以挽回的损失,保护数据安全已经成为企业不得不重视的环节。
我们也看到,一些对数据安全要求较高的行业,如军工、证券、银行、互联网等,已经对所采购或者使用的产品提出了一定的安全等级要求。
目前网络上关于C端产品安全模块设计的文章比较多,但是对于如何打造具有安全感的B端产品的文章却很少。
笔者目前负责的就是一款国内市场占有率第一的数据可视化产品,服务的B端客户多达上万家,其中不乏对数据安全非常敏感的行业巨头,所以在产品安全性这块的打磨可谓颇多。
那么,我们是如何打造这款B端产品的安全感的呢?在这里跟大家分享一下。
二、担心
只有切实了解了已有的问题,我们才能对症下药,针对性地采取措施。所以,在讲具体的措施之前,我们要先来看一下B端客户对于使用的产品的安全性会有哪些方面的担心?
笔者梳理了一下,可以分为以下3方面:
- 担心提供该服务的企业会窃取的自身数据或者操作失误导致数据丢失;
- 担心该企业提供的产品存在严重的安全漏洞,被黑客攻击导致数据泄露;
- 担心企业内部员工利用权限窃取数据或者内部员工操作不当而导致数据泄露或者丢失;
下面的这张关系图可能更清晰明了一些:
三、措施
大家可以看到,B端客户对于产品安全性的担心来自于内外部,而且这三方面担心之间的关系是层层递进的。
我们只有逐一、全面地解决了他们的这些担心,才能让他们对于所使用的产品产生一定的安全感。
而营造这种产品安全感,不仅仅是产品上要做一个安全防护措施,还需要综合运用运营上的一些手段。
那么针对这3方面的担心,我们来探讨下分别可以从产品和运营的角度采取哪些措施?
1. 首先来看第一个担心: 提供该服务的企业会窃取的自身数据或者操作失误导致数据丢失。
这种担心是一款B端产品想进入一家企业时,首先会遇到的安全门槛,而且是潜意识里面的门槛。很多时候,可能这家企业都还没有看你的产品有哪些具体安全措施,就下意识把你地产品给pass了,尤其是一款在市面上并没有很高知名度或者品牌背书的B端产品。
而对于腾讯或者阿里这种巨头公司,中小企业一般不会担心对方会窃取自己的数据。这种情况非常像经营一家镖局,老字号的品牌有保障,信誉好、服务好,当然是很多商家的首选。
但是新字号也未必没有出头的机会,当一家新的镖局准竖起大旗开始进入这个行业的时候,一般要在服务流程上,建立起可信的安全措施,比如用封条封住货物,镖师之间相互监督、货物丢失加倍赔偿等。
运营上则可以一开始可以从小商家做起,逐步积累起口碑和信任,慢慢就会获得市场的认可。这个过程中尤其要重视一些大客户的单子,哪怕获利不多,也要漂亮的完成押运任务,这对镖局接下来的业务有着非常好的示范作用。
打消客户对于提供B端产品服务的企业本身监守自盗或者操作失误的担心,大体可以参照上面的策略。
针对这种担心,产品上我们采取的措施是:
私有云部署,客户的数据不能被我们拿到,从源头上打消了客户对于我们监守自盗的或者操作失误导致他们数据被盗或丢失的担心。
运营上:从小的客户做起,服务好每一个客户,积少成多,口碑慢慢就起来了,一些中大型客户也会尝试使用你的产品。在这个过程中尤其注意树立每个行业里的标杆,可能赚的会少一些,付出的精力多很多,但是如果标杆树立成功,就会对洽谈这个行业里的其他客户产生非常大的助力。
2. 再来看第二个担心:该企业提供的产品存在严重的安全漏洞,被黑客攻击导致数据泄露。
这种担心是紧接着上一种担心的,也是客户很容易想到的一点。在实际接触客户的过程中, 我们也发现,越来越多的客户注意到安全防护这一块,他们会要求提供产品安全测试报告和权威机构的漏扫扫描。甚至有条件的企业会自己内部对所采购的产品进行漏洞扫描。
针对这种担心,产品上我们采取的措施是:
- 定期检测和修复安全漏洞,修复当前所有存在的cve扫描漏洞,并定期持续更新安全补丁,保证系统的安全性。
- 采用先进的加密算法,所有需要加密信息存储的地方,全面使用经过时间考验、业界认可的加密算法。
- 提供基本的web应用防护,如文件上传校验,SQL防注入,XSS跨站攻击防护,SessionID加密防止遍历,防止CSRF跨站请求伪造等。
- 登录防暴力破解:可设置对用户的登录进行验证,包括短信验证、邮箱验证和滑块验证三种,可组合使用,防止机器登录及他人盗用密码。连续登录失败锁定账号或ip,可通过管理员解锁或自行验证重置密码解锁,防止遍历暴力破解密码。
- 强密码策略:管理员可设定密码复杂度限制,登录时如密码不符合强度限制需要先修改密码才能登录平台。提供定期修改密码选项,到规定时间时提示客户修改密码,且新旧密码不允许相同。
运营上:出具权威机构的安全检测报告、发布产品安全白皮书、建议客户加强软件硬件上的安全防护措施等。
3. 最后来看第三个担心:企业内部员工利用权限窃取数据或者内部员工操作不当而导致数据泄露或者丢失。
小公司一般不会有这种担心,因为安全意识较薄弱,往往会忽略来自公司内部的数据安全风险。但是大公司一般都有相应的措施,比如定期开展安全知识培训,确认安全责任人等。
针对这种担心,产品上我们采取的措施是:
- 提供完善的权限管理功能,将权限划分为管理权限、目录权限、模板权限和数据权限,这些权限可以快捷地分配给相应的部门,角色或者用户,也可以快捷地禁用相应的权限,防止越权行为的发生。
- 提供全面的日志审计功能,所有用户的访问,上传、下载、导出等操作都会记录详细的的IP、时间、操作项目等,方便客户可以发现异常操作并且定位到操作源。
- 提供易用的安全水印功能,可以通过公式自定义要显示的水印,如水印中显示用户的昵称、手机号、ID时间等,一方面提醒用户这是敏感数据,严禁外泄,另一方面也在出现数据泄露时,便于定位泄露源或提高泄露成本。
- 提供强大的数据备份功能,客户可以主动进行数据备份,或者设置定时备份,这样即使出现一些操作失误,也可以回到原来的状态,消除或者减少误操作带来的损失。
- 提供敏感操作提醒功能,当用户进行一些如删除数据、权限、模板等敏感操作时,出现弹框提醒可能会造成的风险,客户了解风险后可以继续进行该操作或者取消本次操作。
运营上:开展安全知识问答活动,以参与有奖的形式宣传产品中的安全措施,提高客户的安全意识。
以上就是目前我所运营的这款B端产品在打造产品的安全感方面所做的一些尝试,目前来看效果还不错,基本上没有出现因客户担心产品不够安全而弃买的情况。
当然这里面的很多小点,如安全水印功能的设计、安全知识问答活动等,每一个拆分出来都可以写成一篇几千字的长文。
本文旨在从宏观角度探讨如何打造B端产品的安全感,所以不详细拆分,感兴趣的同学可以和笔者私下探讨。
本文为@运营喵原创,运营喵专栏作者。