一莉撇、前言

近期呢蛤，數(shù)據(jù)安全事件頻發(fā)，從華住集團(tuán)數(shù)億條開房記錄泄露事件棍郎，到騰訊云數(shù)據(jù)丟失事件其障。不僅涉及到千千萬萬普通C端用戶，也涉及到使用B端服務(wù)的大小企業(yè)坝撑。

尤其是騰訊云數(shù)據(jù)丟失事件静秆，更是引發(fā)了大范圍的討論，讓很多企業(yè)意識到巡李，原來不光是C端用戶的數(shù)據(jù)安全可能受到威脅抚笔，自身企業(yè)的數(shù)據(jù)安全也不是固若金湯。

數(shù)據(jù)是二十一世紀(jì)的石油侨拦，是企業(yè)的核心機密和競爭力殊橙。一旦發(fā)生此類數(shù)據(jù)安全事件，企業(yè)將遭受難以挽回的損失狱从，保護(hù)數(shù)據(jù)安全已經(jīng)成為企業(yè)不得不重視的環(huán)節(jié)膨蛮。

我們也看到，一些對數(shù)據(jù)安全要求較高的行業(yè)季研，如軍工敞葛、證券、銀行与涡、互聯(lián)網(wǎng)等惹谐，已經(jīng)對所采購或者使用的產(chǎn)品提出了一定的安全等級要求。

目前網(wǎng)絡(luò)上關(guān)于C端產(chǎn)品安全模塊設(shè)計的文章比較多驼卖，但是對于如何打造具有安全感的B端產(chǎn)品的文章卻很少氨肌。

筆者目前負(fù)責(zé)的就是一款國內(nèi)市場占有率第一的數(shù)據(jù)可視化產(chǎn)品，服務(wù)的B端客戶多達(dá)上萬家酌畜，其中不乏對數(shù)據(jù)安全非常敏感的行業(yè)巨頭怎囚，所以在產(chǎn)品安全性這塊的打磨可謂頗多。

那么桥胞，我們是如何打造這款B端產(chǎn)品的安全感的呢恳守？在這里跟大家分享一下考婴。

二、擔(dān)心

只有切實了解了已有的問題井誉，我們才能對癥下藥蕉扮，針對性地采取措施。所以颗圣，在講具體的措施之前喳钟，我們要先來看一下B端客戶對于使用的產(chǎn)品的安全性會有哪些方面的擔(dān)心？

筆者梳理了一下在岂，可以分為以下3方面：

擔(dān)心提供該服務(wù)的企業(yè)會竊取的自身數(shù)據(jù)或者操作失誤導(dǎo)致數(shù)據(jù)丟失奔则；

擔(dān)心該企業(yè)提供的產(chǎn)品存在嚴(yán)重的安全漏洞，被黑客攻擊導(dǎo)致數(shù)據(jù)泄露蔽午；

擔(dān)心企業(yè)內(nèi)部員工利用權(quán)限竊取數(shù)據(jù)或者內(nèi)部員工操作不當(dāng)而導(dǎo)致數(shù)據(jù)泄露或者丟失易茬；

下面的這張關(guān)系圖可能更清晰明了一些：

三、措施

大家可以看到及老，B端客戶對于產(chǎn)品安全性的擔(dān)心來自于內(nèi)外部抽莱，而且這三方面擔(dān)心之間的關(guān)系是層層遞進(jìn)的。

我們只有逐一骄恶、全面地解決了他們的這些擔(dān)心食铐，才能讓他們對于所使用的產(chǎn)品產(chǎn)生一定的安全感。

而營造這種產(chǎn)品安全感僧鲁，不僅僅是產(chǎn)品上要做一個安全防護(hù)措施虐呻，還需要綜合運用運營上的一些手段。

那么針對這3方面的擔(dān)心寞秃，我們來探討下分別可以從產(chǎn)品和運營的角度采取哪些措施斟叼？

?1. 首先來看第一個擔(dān)心：?提供該服務(wù)的企業(yè)會竊取的自身數(shù)據(jù)或者操作失誤導(dǎo)致數(shù)據(jù)丟失。

這種擔(dān)心是一款B端產(chǎn)品想進(jìn)入一家企業(yè)時春寿，首先會遇到的安全門檻朗涩，而且是潛意識里面的門檻。很多時候绑改，可能這家企業(yè)都還沒有看你的產(chǎn)品有哪些具體安全措施馋缅，就下意識把你地產(chǎn)品給pass了，尤其是一款在市面上并沒有很高知名度或者品牌背書的B端產(chǎn)品绢淀。

而對于騰訊或者阿里這種巨頭公司，中小企業(yè)一般不會擔(dān)心對方會竊取自己的數(shù)據(jù)瘾腰。這種情況非常像經(jīng)營一家鏢局皆的，老字號的品牌有保障，信譽好蹋盆、服務(wù)好费薄，當(dāng)然是很多商家的首選硝全。

但是新字號也未必沒有出頭的機會，當(dāng)一家新的鏢局準(zhǔn)豎起大旗開始進(jìn)入這個行業(yè)的時候楞抡，一般要在服務(wù)流程上伟众，建立起可信的安全措施，比如用封條封住貨物召廷，鏢師之間相互監(jiān)督凳厢、貨物丟失加倍賠償?shù)取?/p>

運營上則可以一開始可以從小商家做起，逐步積累起口碑和信任竞慢，慢慢就會獲得市場的認(rèn)可先紫。這個過程中尤其要重視一些大客戶的單子，哪怕獲利不多筹煮，也要漂亮的完成押運任務(wù)遮精，這對鏢局接下來的業(yè)務(wù)有著非常好的示范作用。

打消客戶對于提供B端產(chǎn)品服務(wù)的企業(yè)本身監(jiān)守自盜或者操作失誤的擔(dān)心败潦，大體可以參照上面的策略本冲。

針對這種擔(dān)心，產(chǎn)品上我們采取的措施是：

私有云部署劫扒，客戶的數(shù)據(jù)不能被我們拿到檬洞，從源頭上打消了客戶對于我們監(jiān)守自盜的或者操作失誤導(dǎo)致他們數(shù)據(jù)被盜或丟失的擔(dān)心。

運營上：從小的客戶做起粟关，服務(wù)好每一個客戶疮胖，積少成多，口碑慢慢就起來了闷板，一些中大型客戶也會嘗試使用你的產(chǎn)品澎灸。在這個過程中尤其注意樹立每個行業(yè)里的標(biāo)桿，可能賺的會少一些遮晚，付出的精力多很多性昭，但是如果標(biāo)桿樹立成功，就會對洽談這個行業(yè)里的其他客戶產(chǎn)生非常大的助力县遣。

2. 再來看第二個擔(dān)心：該企業(yè)提供的產(chǎn)品存在嚴(yán)重的安全漏洞糜颠，被黑客攻擊導(dǎo)致數(shù)據(jù)泄露。

這種擔(dān)心是緊接著上一種擔(dān)心的萧求，也是客戶很容易想到的一點其兴。在實際接觸客戶的過程中， 我們也發(fā)現(xiàn)夸政，越來越多的客戶注意到安全防護(hù)這一塊元旬，他們會要求提供產(chǎn)品安全測試報告和權(quán)威機構(gòu)的漏掃掃描。甚至有條件的企業(yè)會自己內(nèi)部對所采購的產(chǎn)品進(jìn)行漏洞掃描。

針對這種擔(dān)心匀归，產(chǎn)品上我們采取的措施是：

定期檢測和修復(fù)安全漏洞坑资，修復(fù)當(dāng)前所有存在的cve掃描漏洞，并定期持續(xù)更新安全補丁穆端，保證系統(tǒng)的安全性袱贮。

采用先進(jìn)的加密算法，所有需要加密信息存儲的地方体啰，全面使用經(jīng)過時間考驗攒巍、業(yè)界認(rèn)可的加密算法。

提供基本的web應(yīng)用防護(hù)狡赐，如文件上傳校驗窑业，SQL防注入，XSS跨站攻擊防護(hù)枕屉，SessionID加密防止遍歷常柄，防止CSRF跨站請求偽造等。

登錄防暴力破解：可設(shè)置對用戶的登錄進(jìn)行驗證搀擂，包括短信驗證西潘、郵箱驗證和滑塊驗證三種，可組合使用哨颂，防止機器登錄及他人盜用密碼喷市。連續(xù)登錄失敗鎖定賬號或ip，可通過管理員解鎖或自行驗證重置密碼解鎖威恼，防止遍歷暴力破解密碼品姓。

強密碼策略：管理員可設(shè)定密碼復(fù)雜度限制，登錄時如密碼不符合強度限制需要先修改密碼才能登錄平臺箫措。提供定期修改密碼選項腹备，到規(guī)定時間時提示客戶修改密碼，且新舊密碼不允許相同斤蔓。

運營上：出具權(quán)威機構(gòu)的安全檢測報告植酥、發(fā)布產(chǎn)品安全白皮書、建議客戶加強軟件硬件上的安全防護(hù)措施等弦牡。

3. 最后來看第三個擔(dān)心：企業(yè)內(nèi)部員工利用權(quán)限竊取數(shù)據(jù)或者內(nèi)部員工操作不當(dāng)而導(dǎo)致數(shù)據(jù)泄露或者丟失友驮。

小公司一般不會有這種擔(dān)心，因為安全意識較薄弱驾锰，往往會忽略來自公司內(nèi)部的數(shù)據(jù)安全風(fēng)險卸留。但是大公司一般都有相應(yīng)的措施，比如定期開展安全知識培訓(xùn)椭豫，確認(rèn)安全責(zé)任人等耻瑟。

針對這種擔(dān)心买喧，產(chǎn)品上我們采取的措施是：

提供完善的權(quán)限管理功能，將權(quán)限劃分為管理權(quán)限匆赃、目錄權(quán)限、模板權(quán)限和數(shù)據(jù)權(quán)限今缚，這些權(quán)限可以快捷地分配給相應(yīng)的部門算柳，角色或者用戶，也可以快捷地禁用相應(yīng)的權(quán)限姓言，防止越權(quán)行為的發(fā)生瞬项。

提供全面的日志審計功能，所有用戶的訪問何荚，上傳囱淋、下載、導(dǎo)出等操作都會記錄詳細(xì)的的IP餐塘、時間妥衣、操作項目等，方便客戶可以發(fā)現(xiàn)異常操作并且定位到操作源戒傻。

提供易用的安全水印功能税手，可以通過公式自定義要顯示的水印，如水印中顯示用戶的昵稱需纳、手機號芦倒、ID時間等，一方面提醒用戶這是敏感數(shù)據(jù)不翩，嚴(yán)禁外泄兵扬，另一方面也在出現(xiàn)數(shù)據(jù)泄露時，便于定位泄露源或提高泄露成本口蝠。

提供強大的數(shù)據(jù)備份功能器钟，客戶可以主動進(jìn)行數(shù)據(jù)備份，或者設(shè)置定時備份亚皂，這樣即使出現(xiàn)一些操作失誤俱箱，也可以回到原來的狀態(tài)，消除或者減少誤操作帶來的損失灭必。

提供敏感操作提醒功能狞谱，當(dāng)用戶進(jìn)行一些如刪除數(shù)據(jù)、權(quán)限禁漓、模板等敏感操作時跟衅，出現(xiàn)彈框提醒可能會造成的風(fēng)險，客戶了解風(fēng)險后可以繼續(xù)進(jìn)行該操作或者取消本次操作播歼。

運營上：開展安全知識問答活動伶跷，以參與有獎的形式宣傳產(chǎn)品中的安全措施掰读，提高客戶的安全意識。

以上就是目前我所運營的這款B端產(chǎn)品在打造產(chǎn)品的安全感方面所做的一些嘗試叭莫，目前來看效果還不錯蹈集，基本上沒有出現(xiàn)因客戶擔(dān)心產(chǎn)品不夠安全而棄買的情況。

當(dāng)然這里面的很多小點雇初，如安全水印功能的設(shè)計拢肆、安全知識問答活動等，每一個拆分出來都可以寫成一篇幾千字的長文靖诗。

本文旨在從宏觀角度探討如何打造B端產(chǎn)品的安全感郭怪，所以不詳細(xì)拆分，感興趣的同學(xué)可以和筆者私下探討刊橘。