從企業(yè)擔(dān)心的三方面入手,打造具有安全感的B端產(chǎn)品

2 評(píng)論 5210 瀏覽 27 收藏 12 分鐘

數(shù)據(jù)是一個(gè)企業(yè)核心機(jī)密和競(jìng)爭(zhēng)力,一旦數(shù)據(jù)安全事件發(fā)生,企業(yè)將遭受難以挽回的損失。那么,企業(yè)應(yīng)該如何保護(hù)數(shù)據(jù)安全呢?

一、前言

近期,數(shù)據(jù)安全事件頻發(fā),從華住集團(tuán)數(shù)億條開房記錄泄露事件,到騰訊云數(shù)據(jù)丟失事件。不僅涉及到千千萬萬普通C端用戶,也涉及到使用B端服務(wù)的大小企業(yè)。

尤其是騰訊云數(shù)據(jù)丟失事件,更是引發(fā)了大范圍的討論,讓很多企業(yè)意識(shí)到,原來不光是C端用戶的數(shù)據(jù)安全可能受到威脅,自身企業(yè)的數(shù)據(jù)安全也不是固若金湯。

數(shù)據(jù)是二十一世紀(jì)的石油,是企業(yè)的核心機(jī)密和競(jìng)爭(zhēng)力。一旦發(fā)生此類數(shù)據(jù)安全事件,企業(yè)將遭受難以挽回的損失,保護(hù)數(shù)據(jù)安全已經(jīng)成為企業(yè)不得不重視的環(huán)節(jié)。

我們也看到,一些對(duì)數(shù)據(jù)安全要求較高的行業(yè),如軍工、證券、銀行、互聯(lián)網(wǎng)等,已經(jīng)對(duì)所采購或者使用的產(chǎn)品提出了一定的安全等級(jí)要求。

目前網(wǎng)絡(luò)上關(guān)于C端產(chǎn)品安全模塊設(shè)計(jì)的文章比較多,但是對(duì)于如何打造具有安全感的B端產(chǎn)品的文章卻很少。

筆者目前負(fù)責(zé)的就是一款國內(nèi)市場(chǎng)占有率第一的數(shù)據(jù)可視化產(chǎn)品,服務(wù)的B端客戶多達(dá)上萬家,其中不乏對(duì)數(shù)據(jù)安全非常敏感的行業(yè)巨頭,所以在產(chǎn)品安全性這塊的打磨可謂頗多。

那么,我們是如何打造這款B端產(chǎn)品的安全感的呢?在這里跟大家分享一下。

二、擔(dān)心

只有切實(shí)了解了已有的問題,我們才能對(duì)癥下藥,針對(duì)性地采取措施。所以,在講具體的措施之前,我們要先來看一下B端客戶對(duì)于使用的產(chǎn)品的安全性會(huì)有哪些方面的擔(dān)心?

筆者梳理了一下,可以分為以下3方面:

  1. 擔(dān)心提供該服務(wù)的企業(yè)會(huì)竊取的自身數(shù)據(jù)或者操作失誤導(dǎo)致數(shù)據(jù)丟失;
  2. 擔(dān)心該企業(yè)提供的產(chǎn)品存在嚴(yán)重的安全漏洞,被黑客攻擊導(dǎo)致數(shù)據(jù)泄露;
  3. 擔(dān)心企業(yè)內(nèi)部員工利用權(quán)限竊取數(shù)據(jù)或者內(nèi)部員工操作不當(dāng)而導(dǎo)致數(shù)據(jù)泄露或者丟失;

下面的這張關(guān)系圖可能更清晰明了一些:

三、措施

大家可以看到,B端客戶對(duì)于產(chǎn)品安全性的擔(dān)心來自于內(nèi)外部,而且這三方面擔(dān)心之間的關(guān)系是層層遞進(jìn)的。

我們只有逐一、全面地解決了他們的這些擔(dān)心,才能讓他們對(duì)于所使用的產(chǎn)品產(chǎn)生一定的安全感。

而營造這種產(chǎn)品安全感,不僅僅是產(chǎn)品上要做一個(gè)安全防護(hù)措施,還需要綜合運(yùn)用運(yùn)營上的一些手段。

那么針對(duì)這3方面的擔(dān)心,我們來探討下分別可以從產(chǎn)品和運(yùn)營的角度采取哪些措施?

?1. 首先來看第一個(gè)擔(dān)心:?提供該服務(wù)的企業(yè)會(huì)竊取的自身數(shù)據(jù)或者操作失誤導(dǎo)致數(shù)據(jù)丟失。

這種擔(dān)心是一款B端產(chǎn)品想進(jìn)入一家企業(yè)時(shí),首先會(huì)遇到的安全門檻,而且是潛意識(shí)里面的門檻。很多時(shí)候,可能這家企業(yè)都還沒有看你的產(chǎn)品有哪些具體安全措施,就下意識(shí)把你地產(chǎn)品給pass了,尤其是一款在市面上并沒有很高知名度或者品牌背書的B端產(chǎn)品。

而對(duì)于騰訊或者阿里這種巨頭公司,中小企業(yè)一般不會(huì)擔(dān)心對(duì)方會(huì)竊取自己的數(shù)據(jù)。這種情況非常像經(jīng)營一家鏢局,老字號(hào)的品牌有保障,信譽(yù)好、服務(wù)好,當(dāng)然是很多商家的首選。

但是新字號(hào)也未必沒有出頭的機(jī)會(huì),當(dāng)一家新的鏢局準(zhǔn)豎起大旗開始進(jìn)入這個(gè)行業(yè)的時(shí)候,一般要在服務(wù)流程上,建立起可信的安全措施,比如用封條封住貨物,鏢師之間相互監(jiān)督、貨物丟失加倍賠償?shù)取?/p>

運(yùn)營上則可以一開始可以從小商家做起,逐步積累起口碑和信任,慢慢就會(huì)獲得市場(chǎng)的認(rèn)可。這個(gè)過程中尤其要重視一些大客戶的單子,哪怕獲利不多,也要漂亮的完成押運(yùn)任務(wù),這對(duì)鏢局接下來的業(yè)務(wù)有著非常好的示范作用。

打消客戶對(duì)于提供B端產(chǎn)品服務(wù)的企業(yè)本身監(jiān)守自盜或者操作失誤的擔(dān)心,大體可以參照上面的策略。

針對(duì)這種擔(dān)心,產(chǎn)品上我們采取的措施是:

私有云部署,客戶的數(shù)據(jù)不能被我們拿到,從源頭上打消了客戶對(duì)于我們監(jiān)守自盜的或者操作失誤導(dǎo)致他們數(shù)據(jù)被盜或丟失的擔(dān)心。

運(yùn)營上:從小的客戶做起,服務(wù)好每一個(gè)客戶,積少成多,口碑慢慢就起來了,一些中大型客戶也會(huì)嘗試使用你的產(chǎn)品。在這個(gè)過程中尤其注意樹立每個(gè)行業(yè)里的標(biāo)桿,可能賺的會(huì)少一些,付出的精力多很多,但是如果標(biāo)桿樹立成功,就會(huì)對(duì)洽談這個(gè)行業(yè)里的其他客戶產(chǎn)生非常大的助力。

2. 再來看第二個(gè)擔(dān)心:該企業(yè)提供的產(chǎn)品存在嚴(yán)重的安全漏洞,被黑客攻擊導(dǎo)致數(shù)據(jù)泄露。

這種擔(dān)心是緊接著上一種擔(dān)心的,也是客戶很容易想到的一點(diǎn)。在實(shí)際接觸客戶的過程中, 我們也發(fā)現(xiàn),越來越多的客戶注意到安全防護(hù)這一塊,他們會(huì)要求提供產(chǎn)品安全測(cè)試報(bào)告和權(quán)威機(jī)構(gòu)的漏掃掃描。甚至有條件的企業(yè)會(huì)自己內(nèi)部對(duì)所采購的產(chǎn)品進(jìn)行漏洞掃描。

針對(duì)這種擔(dān)心,產(chǎn)品上我們采取的措施是:

  1. 定期檢測(cè)和修復(fù)安全漏洞,修復(fù)當(dāng)前所有存在的cve掃描漏洞,并定期持續(xù)更新安全補(bǔ)丁,保證系統(tǒng)的安全性。
  2. 采用先進(jìn)的加密算法,所有需要加密信息存儲(chǔ)的地方,全面使用經(jīng)過時(shí)間考驗(yàn)、業(yè)界認(rèn)可的加密算法。
  3. 提供基本的web應(yīng)用防護(hù),如文件上傳校驗(yàn),SQL防注入,XSS跨站攻擊防護(hù),SessionID加密防止遍歷,防止CSRF跨站請(qǐng)求偽造等。
  4. 登錄防暴力破解:可設(shè)置對(duì)用戶的登錄進(jìn)行驗(yàn)證,包括短信驗(yàn)證、郵箱驗(yàn)證和滑塊驗(yàn)證三種,可組合使用,防止機(jī)器登錄及他人盜用密碼。連續(xù)登錄失敗鎖定賬號(hào)或ip,可通過管理員解鎖或自行驗(yàn)證重置密碼解鎖,防止遍歷暴力破解密碼。
  5. 強(qiáng)密碼策略:管理員可設(shè)定密碼復(fù)雜度限制,登錄時(shí)如密碼不符合強(qiáng)度限制需要先修改密碼才能登錄平臺(tái)。提供定期修改密碼選項(xiàng),到規(guī)定時(shí)間時(shí)提示客戶修改密碼,且新舊密碼不允許相同。

運(yùn)營上:出具權(quán)威機(jī)構(gòu)的安全檢測(cè)報(bào)告、發(fā)布產(chǎn)品安全白皮書、建議客戶加強(qiáng)軟件硬件上的安全防護(hù)措施等。

3. 最后來看第三個(gè)擔(dān)心:企業(yè)內(nèi)部員工利用權(quán)限竊取數(shù)據(jù)或者內(nèi)部員工操作不當(dāng)而導(dǎo)致數(shù)據(jù)泄露或者丟失。

小公司一般不會(huì)有這種擔(dān)心,因?yàn)榘踩庾R(shí)較薄弱,往往會(huì)忽略來自公司內(nèi)部的數(shù)據(jù)安全風(fēng)險(xiǎn)。但是大公司一般都有相應(yīng)的措施,比如定期開展安全知識(shí)培訓(xùn),確認(rèn)安全責(zé)任人等。

針對(duì)這種擔(dān)心,產(chǎn)品上我們采取的措施是:

  1. 提供完善的權(quán)限管理功能,將權(quán)限劃分為管理權(quán)限、目錄權(quán)限、模板權(quán)限和數(shù)據(jù)權(quán)限,這些權(quán)限可以快捷地分配給相應(yīng)的部門,角色或者用戶,也可以快捷地禁用相應(yīng)的權(quán)限,防止越權(quán)行為的發(fā)生。
  2. 提供全面的日志審計(jì)功能,所有用戶的訪問,上傳、下載、導(dǎo)出等操作都會(huì)記錄詳細(xì)的的IP、時(shí)間、操作項(xiàng)目等,方便客戶可以發(fā)現(xiàn)異常操作并且定位到操作源。
  3. 提供易用的安全水印功能,可以通過公式自定義要顯示的水印,如水印中顯示用戶的昵稱、手機(jī)號(hào)、ID時(shí)間等,一方面提醒用戶這是敏感數(shù)據(jù),嚴(yán)禁外泄,另一方面也在出現(xiàn)數(shù)據(jù)泄露時(shí),便于定位泄露源或提高泄露成本。
  4. 提供強(qiáng)大的數(shù)據(jù)備份功能,客戶可以主動(dòng)進(jìn)行數(shù)據(jù)備份,或者設(shè)置定時(shí)備份,這樣即使出現(xiàn)一些操作失誤,也可以回到原來的狀態(tài),消除或者減少誤操作帶來的損失。
  5. 提供敏感操作提醒功能,當(dāng)用戶進(jìn)行一些如刪除數(shù)據(jù)、權(quán)限、模板等敏感操作時(shí),出現(xiàn)彈框提醒可能會(huì)造成的風(fēng)險(xiǎn),客戶了解風(fēng)險(xiǎn)后可以繼續(xù)進(jìn)行該操作或者取消本次操作。

運(yùn)營上:開展安全知識(shí)問答活動(dòng),以參與有獎(jiǎng)的形式宣傳產(chǎn)品中的安全措施,提高客戶的安全意識(shí)。

以上就是目前我所運(yùn)營的這款B端產(chǎn)品在打造產(chǎn)品的安全感方面所做的一些嘗試,目前來看效果還不錯(cuò),基本上沒有出現(xiàn)因客戶擔(dān)心產(chǎn)品不夠安全而棄買的情況。

當(dāng)然這里面的很多小點(diǎn),如安全水印功能的設(shè)計(jì)、安全知識(shí)問答活動(dòng)等,每一個(gè)拆分出來都可以寫成一篇幾千字的長文。

本文旨在從宏觀角度探討如何打造B端產(chǎn)品的安全感,所以不詳細(xì)拆分,感興趣的同學(xué)可以和筆者私下探討。

 

作者:阮磊(微信baijiadishi),大數(shù)據(jù)行業(yè)B端產(chǎn)品運(yùn)營,愛寫作,愛交流。

本文由 @阮磊 原創(chuàng)發(fā)布于人人都是產(chǎn)品經(jīng)理。未經(jīng)許可,禁止轉(zhuǎn)載

題圖來自 Unsplash ,基于 CC0 協(xié)議

更多精彩內(nèi)容,請(qǐng)關(guān)注人人都是產(chǎn)品經(jīng)理微信公眾號(hào)或下載App
評(píng)論
評(píng)論請(qǐng)登錄
  1. 數(shù)據(jù)類的安全是最難做的,畢竟堡壘最容易從內(nèi)部攻破。

    回復(fù)