面对B端产品,企业该如何评估安全性?

今年来,数据安全事件频发,尤其是腾讯云数据丢失事件,更是引发了大范围的讨论,很多企业开始意识到保护数据安全至关重要。


而在企业的业务运转过程中,要用到各种各样的B端软件服务,包括数据处理系统、CRM系统,ERP系统等等,企业的核心数据都会在这些系统上流转。


那么如何在进行这些B端产品的选择时,全面地评估它们的安全性呢?是不是对方提供一个安全检测报告就够了呢?


笔者目前负责的一款国内领先的大数据科学平台产品Europa,服务的B端客户不计其数,其中不乏对数据安全非常敏感的行业巨头。借这篇文章,笔者想从B端产品安全做一些分享,给大家提供一些思路。



大方向


我们先通过一张流程图来梳理一下可能导致企业数据泄露的环节有哪些:


1.webp.jpg


从这张图中,我们可以清晰地看到,提供产品的企业、黑客和使用产品的企业都有可能成为企业数据的泄漏源。


那么,对一款B端产品进行选型时,我们就可以从以下3个大方向进行考虑:


  1. 提供该产品的企业是否会窃取客户的数据或者操作失误导致数据丢失。


  2. 该企业提供的产品是否存在严重的安全漏洞,被黑客攻击导致数据泄露。


  3. 该产品是否提供完善的措施防止企业内部员工窃取数据或操作失误导致数据泄露。



具体细节



我们可以看到,企业数据泄露的威胁来自于内外部,而且这3个大方向的关系是层层递进的。


但是如果我们只看到这些大方向,还远远不够。只有把每一个方向都了解透彻,才能够真正帮助我们去进行B端产品安全性的选择评估。


1、首先来看第一个方向:提供该产品的企业是否会窃取客户的数据或者操作失误导致数据丢失。


很多时候,我们在进行B端产品选择时,我们会优先选择那些口碑好,实力强的公司,而下意识地pass掉那些新成立,没听说过的小公司。


这种下意识是有道理的,从实际情况来看,口碑好实力强的公司一般也要比没听说过的小公司更加安全。


但是不是说这样的企业就绝对安全呢?或者说我们是不是只要随便挑一家这样的大公司就行了呢?显然是不行的。否则腾讯云安全事件就不会引起这么大的波澜。


2.webp.jpg


2、再来看第二个方向:该企业提供的产品是否存在严重的安全漏洞,被黑客攻击导致数据泄露。


这可能是大部分人在进行B端软件产品选择时首先会想到的点,那么就像文章开头问的那样:是不是对方提供一个安全检测报告就够了?显然也是不够的。


安全监测报告只是一种滞后的安全漏洞扫描,除了这些被动的安全漏洞修补措施,B端软件产品还应该提供主动的安全防御措施。


3.webp.jpg


3、最后来看第三个方向:该产品是否提供完善的措施防止企业内部员工窃取数据或操作失误导致数据泄露。


很多公司往往会忽略来自公司内部的数据安全风险,但有统计显示,“内鬼“和操作失误造成的数据泄露占到了企业数据泄露事件的很大一个比例。


因此,B端产品中是否提供完善的措施,防止企业内部员工窃取数据就非常重要。同时,企业员工误操作也在所难免,关键是产品能否提供完善的提醒和恢复机制。


4.webp.jpg

睿帆科技的初衷就是以大数据的方式让人们的工作和生活更美好,所以对于数据安全问题也是极为看重。针对这些问题,睿帆科技在自主研发的大数据科学平台Europa专门设计了十大安全机制:


身份鉴别:采用单独的身份认证服务器,对于恶意连接(连续多次尝试登录失败)在一段时间内禁止该IP再次登录进行安全保护。


访问控制:采用基于角色的权限控制,每种角色针对系统资源(模块,URL,后台服务等)进行访问控制。


安全审计:提供审计日志,对系统中的修改、删除等变更行操作进行记录,记录详细到人,事件,时间、终端信息等。


通信完整:系统文件数据通信,根据校验码校验双方数据完整性。


通信保密:数据链路采用Https安全链路,身份敏感数据采用Pki签名保护,登录密码采用Sha1保护,重要数据采用Aes加密保护。


软件容错:验证码实现人机校验,交互数据均采用显示端,后台服务器二次验证功能,确保数据准确符合要求,对于异常数据统一处理。


资源控制:对应用系统最大并发会话连接数进行限制, 对一个访问用户或一个请求进程占用的资源分配最大限额和最小限额。


数据完整:核心数据采用Pki签名,确保数据完整以及数据来源验证。


数据保密:核心数据采用加密信道传送。


备份恢复:数据存储采用大数据方案,每份数据均带有备份副本,定期对系统中的核心数据进行备份导出提供DevOps平台,系统中的硬件采用集群运行,软件组件为多副本微服务,保证硬件,软件容错,灾备需要。



除此之外,大数据科学平台Europa还会记录每个用户的行为习惯。一个每天00:00-8:00登陆的用户,突然有一天14:00登陆,系统就会自动判断此人登陆异常,然后在原本的安全防护基础上追加一个更深层的安全验证,并在登陆日志中体现异常。


如果此人又在接下来的时间段里,又发生异常登录,系统就会短暂限制登录权限并发出警报,通过这种针对不同用户细致、个性化的安全防护措施更进一步的保护企业数据安全。


5.webp.jpg


在大数据时代,企业面临的数据安全问题日益严峻,睿帆科技将不断升级迭代数据安全保护解决方案,聚焦网络安全法规、数据安全实践、企业发展策略,加强网络空间安全保障、做好关键信息保护、强化数据加密、保护个人敏感信息等多种手段,进一步保障大数据背景下政府、企业及个人的数据安全。