數(shù)據(jù)是一個企業(yè)核心機密和競爭力，一旦數(shù)據(jù)安全事件發(fā)生，企業(yè)將遭受難以挽回的損失。那么，企業(yè)應(yīng)該如何保護(hù)數(shù)據(jù)安全呢？

一、前言

近期，數(shù)據(jù)安全事件頻發(fā)，從華住集團(tuán)數(shù)億條開房記錄泄露事件，到騰訊云數(shù)據(jù)丟失事件。不僅涉及到千千萬萬普通C端用戶，也涉及到使用B端服務(wù)的大小企業(yè)。

尤其是騰訊云數(shù)據(jù)丟失事件，更是引發(fā)了大范圍的討論，讓很多企業(yè)意識到，原來不光是C端用戶的數(shù)據(jù)安全可能受到威脅，自身企業(yè)的數(shù)據(jù)安全也不是固若金湯。

數(shù)據(jù)是二十一世紀(jì)的石油，是企業(yè)的核心機密和競爭力。一旦發(fā)生此類數(shù)據(jù)安全事件，企業(yè)將遭受難以挽回的損失，保護(hù)數(shù)據(jù)安全已經(jīng)成為企業(yè)不得不重視的環(huán)節(jié)。

我們也看到，一些對數(shù)據(jù)安全要求較高的行業(yè)，如軍工、證券、銀行、互聯(lián)網(wǎng)等，已經(jīng)對所采購或者使用的產(chǎn)品提出了一定的安全等級要求。

目前網(wǎng)絡(luò)上關(guān)于C端產(chǎn)品安全模塊設(shè)計的文章比較多，但是對于如何打造具有安全感的B端產(chǎn)品的文章卻很少。

筆者目前負(fù)責(zé)的就是一款國內(nèi)市場占有率第一的數(shù)據(jù)可視化產(chǎn)品，服務(wù)的B端客戶多達(dá)上萬家，其中不乏對數(shù)據(jù)安全非常敏感的行業(yè)巨頭，所以在產(chǎn)品安全性這塊的打磨可謂頗多。

那么，我們是如何打造這款B端產(chǎn)品的安全感的呢？在這里跟大家分享一下。

二、擔(dān)心

只有切實了解了已有的問題，我們才能對癥下藥，針對性地采取措施。所以，在講具體的措施之前，我們要先來看一下B端客戶對于使用的產(chǎn)品的安全性會有哪些方面的擔(dān)心？

筆者梳理了一下，可以分為以下3方面：

1. 擔(dān)心提供該服務(wù)的企業(yè)會竊取的自身數(shù)據(jù)或者操作失誤導(dǎo)致數(shù)據(jù)丟失；
2. 擔(dān)心該企業(yè)提供的產(chǎn)品存在嚴(yán)重的安全漏洞，被黑客攻擊導(dǎo)致數(shù)據(jù)泄露；
3. 擔(dān)心企業(yè)內(nèi)部員工利用權(quán)限竊取數(shù)據(jù)或者內(nèi)部員工操作不當(dāng)而導(dǎo)致數(shù)據(jù)泄露或者丟失；

下面的這張關(guān)系圖可能更清晰明了一些：

三、措施

大家可以看到，B端客戶對于產(chǎn)品安全性的擔(dān)心來自于內(nèi)外部，而且這三方面擔(dān)心之間的關(guān)系是層層遞進(jìn)的。

我們只有逐一、全面地解決了他們的這些擔(dān)心，才能讓他們對于所使用的產(chǎn)品產(chǎn)生一定的安全感。

而營造這種產(chǎn)品安全感，不僅僅是產(chǎn)品上要做一個安全防護(hù)措施，還需要綜合運用運營上的一些手段。

那么針對這3方面的擔(dān)心，我們來探討下分別可以從產(chǎn)品和運營的角度采取哪些措施？

?1. 首先來看第一個擔(dān)心：?提供該服務(wù)的企業(yè)會竊取的自身數(shù)據(jù)或者操作失誤導(dǎo)致數(shù)據(jù)丟失。

這種擔(dān)心是一款B端產(chǎn)品想進(jìn)入一家企業(yè)時，首先會遇到的安全門檻，而且是潛意識里面的門檻。很多時候，可能這家企業(yè)都還沒有看你的產(chǎn)品有哪些具體安全措施，就下意識把你地產(chǎn)品給pass了，尤其是一款在市面上并沒有很高知名度或者品牌背書的B端產(chǎn)品。

而對于騰訊或者阿里這種巨頭公司，中小企業(yè)一般不會擔(dān)心對方會竊取自己的數(shù)據(jù)。這種情況非常像經(jīng)營一家鏢局，老字號的品牌有保障，信譽好、服務(wù)好，當(dāng)然是很多商家的首選。

但是新字號也未必沒有出頭的機會，當(dāng)一家新的鏢局準(zhǔn)豎起大旗開始進(jìn)入這個行業(yè)的時候，一般要在服務(wù)流程上，建立起可信的安全措施，比如用封條封住貨物，鏢師之間相互監(jiān)督、貨物丟失加倍賠償?shù)取?/p>

運營上則可以一開始可以從小商家做起，逐步積累起口碑和信任，慢慢就會獲得市場的認(rèn)可。這個過程中尤其要重視一些大客戶的單子，哪怕獲利不多，也要漂亮的完成押運任務(wù)，這對鏢局接下來的業(yè)務(wù)有著非常好的示范作用。

打消客戶對于提供B端產(chǎn)品服務(wù)的企業(yè)本身監(jiān)守自盜或者操作失誤的擔(dān)心，大體可以參照上面的策略。

針對這種擔(dān)心，產(chǎn)品上我們采取的措施是：

私有云部署，客戶的數(shù)據(jù)不能被我們拿到，從源頭上打消了客戶對于我們監(jiān)守自盜的或者操作失誤導(dǎo)致他們數(shù)據(jù)被盜或丟失的擔(dān)心。

運營上：從小的客戶做起，服務(wù)好每一個客戶，積少成多，口碑慢慢就起來了，一些中大型客戶也會嘗試使用你的產(chǎn)品。在這個過程中尤其注意樹立每個行業(yè)里的標(biāo)桿，可能賺的會少一些，付出的精力多很多，但是如果標(biāo)桿樹立成功，就會對洽談這個行業(yè)里的其他客戶產(chǎn)生非常大的助力。

2. 再來看第二個擔(dān)心：該企業(yè)提供的產(chǎn)品存在嚴(yán)重的安全漏洞，被黑客攻擊導(dǎo)致數(shù)據(jù)泄露。

這種擔(dān)心是緊接著上一種擔(dān)心的，也是客戶很容易想到的一點。在實際接觸客戶的過程中， 我們也發(fā)現(xiàn)，越來越多的客戶注意到安全防護(hù)這一塊，他們會要求提供產(chǎn)品安全測試報告和權(quán)威機構(gòu)的漏掃掃描。甚至有條件的企業(yè)會自己內(nèi)部對所采購的產(chǎn)品進(jìn)行漏洞掃描。

針對這種擔(dān)心，產(chǎn)品上我們采取的措施是：

1. 定期檢測和修復(fù)安全漏洞，修復(fù)當(dāng)前所有存在的cve掃描漏洞，并定期持續(xù)更新安全補丁，保證系統(tǒng)的安全性。
2. 采用先進(jìn)的加密算法，所有需要加密信息存儲的地方，全面使用經(jīng)過時間考驗、業(yè)界認(rèn)可的加密算法。
3. 提供基本的web應(yīng)用防護(hù)，如文件上傳校驗，SQL防注入，XSS跨站攻擊防護(hù)，SessionID加密防止遍歷，防止CSRF跨站請求偽造等。
4. 登錄防暴力破解：可設(shè)置對用戶的登錄進(jìn)行驗證，包括短信驗證、郵箱驗證和滑塊驗證三種，可組合使用，防止機器登錄及他人盜用密碼。連續(xù)登錄失敗鎖定賬號或ip，可通過管理員解鎖或自行驗證重置密碼解鎖，防止遍歷暴力破解密碼。
5. 強密碼策略：管理員可設(shè)定密碼復(fù)雜度限制，登錄時如密碼不符合強度限制需要先修改密碼才能登錄平臺。提供定期修改密碼選項，到規(guī)定時間時提示客戶修改密碼，且新舊密碼不允許相同。

運營上：出具權(quán)威機構(gòu)的安全檢測報告、發(fā)布產(chǎn)品安全白皮書、建議客戶加強軟件硬件上的安全防護(hù)措施等。

3. 最后來看第三個擔(dān)心：企業(yè)內(nèi)部員工利用權(quán)限竊取數(shù)據(jù)或者內(nèi)部員工操作不當(dāng)而導(dǎo)致數(shù)據(jù)泄露或者丟失。

小公司一般不會有這種擔(dān)心，因為安全意識較薄弱，往往會忽略來自公司內(nèi)部的數(shù)據(jù)安全風(fēng)險。但是大公司一般都有相應(yīng)的措施，比如定期開展安全知識培訓(xùn)，確認(rèn)安全責(zé)任人等。

針對這種擔(dān)心，產(chǎn)品上我們采取的措施是：

1. 提供完善的權(quán)限管理功能，將權(quán)限劃分為管理權(quán)限、目錄權(quán)限、模板權(quán)限和數(shù)據(jù)權(quán)限，這些權(quán)限可以快捷地分配給相應(yīng)的部門，角色或者用戶，也可以快捷地禁用相應(yīng)的權(quán)限，防止越權(quán)行為的發(fā)生。
2. 提供全面的日志審計功能，所有用戶的訪問，上傳、下載、導(dǎo)出等操作都會記錄詳細(xì)的的IP、時間、操作項目等，方便客戶可以發(fā)現(xiàn)異常操作并且定位到操作源。
3. 提供易用的安全水印功能，可以通過公式自定義要顯示的水印，如水印中顯示用戶的昵稱、手機號、ID時間等，一方面提醒用戶這是敏感數(shù)據(jù)，嚴(yán)禁外泄，另一方面也在出現(xiàn)數(shù)據(jù)泄露時，便于定位泄露源或提高泄露成本。
4. 提供強大的數(shù)據(jù)備份功能，客戶可以主動進(jìn)行數(shù)據(jù)備份，或者設(shè)置定時備份，這樣即使出現(xiàn)一些操作失誤，也可以回到原來的狀態(tài)，消除或者減少誤操作帶來的損失。
5. 提供敏感操作提醒功能，當(dāng)用戶進(jìn)行一些如刪除數(shù)據(jù)、權(quán)限、模板等敏感操作時，出現(xiàn)彈框提醒可能會造成的風(fēng)險，客戶了解風(fēng)險后可以繼續(xù)進(jìn)行該操作或者取消本次操作。

運營上：開展安全知識問答活動，以參與有獎的形式宣傳產(chǎn)品中的安全措施，提高客戶的安全意識。

以上就是目前我所運營的這款B端產(chǎn)品在打造產(chǎn)品的安全感方面所做的一些嘗試，目前來看效果還不錯，基本上沒有出現(xiàn)因客戶擔(dān)心產(chǎn)品不夠安全而棄買的情況。

當(dāng)然這里面的很多小點，如安全水印功能的設(shè)計、安全知識問答活動等，每一個拆分出來都可以寫成一篇幾千字的長文。

本文旨在從宏觀角度探討如何打造B端產(chǎn)品的安全感，所以不詳細(xì)拆分，感興趣的同學(xué)可以和筆者私下探討。

作者：阮磊（微信baijiadishi），大數(shù)據(jù)行業(yè)B端產(chǎn)品運營，愛寫作，愛交流。