數據是一個企業(yè)核心機密和競爭力，一旦數據安全事件發(fā)生，企業(yè)將遭受難以挽回的損失。那么，企業(yè)應該如何保護數據安全呢？

一、前言

近期，數據安全事件頻發(fā)，從華住集團數億條開房記錄泄露事件，到騰訊云數據丟失事件。不僅涉及到千千萬萬普通C端用戶，也涉及到使用B端服務的大小企業(yè)。

尤其是騰訊云數據丟失事件，更是引發(fā)了大范圍的討論，讓很多企業(yè)意識到，原來不光是C端用戶的數據安全可能受到威脅，自身企業(yè)的數據安全也不是固若金湯。

數據是二十一世紀的石油，是企業(yè)的核心機密和競爭力。一旦發(fā)生此類數據安全事件，企業(yè)將遭受難以挽回的損失，保護數據安全已經成為企業(yè)不得不重視的環(huán)節(jié)。

我們也看到，一些對數據安全要求較高的行業(yè)，如軍工、證券、銀行、互聯(lián)網等，已經對所采購或者使用的產品提出了一定的安全等級要求。

目前網絡上關于C端產品安全模塊設計的文章比較多，但是對于如何打造具有安全感的B端產品的文章卻很少。

筆者目前負責的就是一款國內市場占有率第一的數據可視化產品，服務的B端客戶多達上萬家，其中不乏對數據安全非常敏感的行業(yè)巨頭，所以在產品安全性這塊的打磨可謂頗多。

那么，我們是如何打造這款B端產品的安全感的呢？在這里跟大家分享一下。

二、擔心

只有切實了解了已有的問題，我們才能對癥下藥，針對性地采取措施。所以，在講具體的措施之前，我們要先來看一下B端客戶對于使用的產品的安全性會有哪些方面的擔心？

筆者梳理了一下，可以分為以下3方面：

1. 擔心提供該服務的企業(yè)會竊取的自身數據或者操作失誤導致數據丟失；
2. 擔心該企業(yè)提供的產品存在嚴重的安全漏洞，被黑客攻擊導致數據泄露；
3. 擔心企業(yè)內部員工利用權限竊取數據或者內部員工操作不當而導致數據泄露或者丟失；

下面的這張關系圖可能更清晰明了一些：

三、措施

大家可以看到，B端客戶對于產品安全性的擔心來自于內外部，而且這三方面擔心之間的關系是層層遞進的。

我們只有逐一、全面地解決了他們的這些擔心，才能讓他們對于所使用的產品產生一定的安全感。

而營造這種產品安全感，不僅僅是產品上要做一個安全防護措施，還需要綜合運用運營上的一些手段。

那么針對這3方面的擔心，我們來探討下分別可以從產品和運營的角度采取哪些措施？

?1. 首先來看第一個擔心：?提供該服務的企業(yè)會竊取的自身數據或者操作失誤導致數據丟失。

這種擔心是一款B端產品想進入一家企業(yè)時，首先會遇到的安全門檻，而且是潛意識里面的門檻。很多時候，可能這家企業(yè)都還沒有看你的產品有哪些具體安全措施，就下意識把你地產品給pass了，尤其是一款在市面上并沒有很高知名度或者品牌背書的B端產品。

而對于騰訊或者阿里這種巨頭公司，中小企業(yè)一般不會擔心對方會竊取自己的數據。這種情況非常像經營一家鏢局，老字號的品牌有保障，信譽好、服務好，當然是很多商家的首選。

但是新字號也未必沒有出頭的機會，當一家新的鏢局準豎起大旗開始進入這個行業(yè)的時候，一般要在服務流程上，建立起可信的安全措施，比如用封條封住貨物，鏢師之間相互監(jiān)督、貨物丟失加倍賠償等。

運營上則可以一開始可以從小商家做起，逐步積累起口碑和信任，慢慢就會獲得市場的認可。這個過程中尤其要重視一些大客戶的單子，哪怕獲利不多，也要漂亮的完成押運任務，這對鏢局接下來的業(yè)務有著非常好的示范作用。

打消客戶對于提供B端產品服務的企業(yè)本身監(jiān)守自盜或者操作失誤的擔心，大體可以參照上面的策略。

針對這種擔心，產品上我們采取的措施是：

私有云部署，客戶的數據不能被我們拿到，從源頭上打消了客戶對于我們監(jiān)守自盜的或者操作失誤導致他們數據被盜或丟失的擔心。

運營上：從小的客戶做起，服務好每一個客戶，積少成多，口碑慢慢就起來了，一些中大型客戶也會嘗試使用你的產品。在這個過程中尤其注意樹立每個行業(yè)里的標桿，可能賺的會少一些，付出的精力多很多，但是如果標桿樹立成功，就會對洽談這個行業(yè)里的其他客戶產生非常大的助力。

2. 再來看第二個擔心：該企業(yè)提供的產品存在嚴重的安全漏洞，被黑客攻擊導致數據泄露。

這種擔心是緊接著上一種擔心的，也是客戶很容易想到的一點。在實際接觸客戶的過程中， 我們也發(fā)現(xiàn)，越來越多的客戶注意到安全防護這一塊，他們會要求提供產品安全測試報告和權威機構的漏掃掃描。甚至有條件的企業(yè)會自己內部對所采購的產品進行漏洞掃描。

針對這種擔心，產品上我們采取的措施是：

1. 定期檢測和修復安全漏洞，修復當前所有存在的cve掃描漏洞，并定期持續(xù)更新安全補丁，保證系統(tǒng)的安全性。
2. 采用先進的加密算法，所有需要加密信息存儲的地方，全面使用經過時間考驗、業(yè)界認可的加密算法。
3. 提供基本的web應用防護，如文件上傳校驗，SQL防注入，XSS跨站攻擊防護，SessionID加密防止遍歷，防止CSRF跨站請求偽造等。
4. 登錄防暴力破解：可設置對用戶的登錄進行驗證，包括短信驗證、郵箱驗證和滑塊驗證三種，可組合使用，防止機器登錄及他人盜用密碼。連續(xù)登錄失敗鎖定賬號或ip，可通過管理員解鎖或自行驗證重置密碼解鎖，防止遍歷暴力破解密碼。
5. 強密碼策略：管理員可設定密碼復雜度限制，登錄時如密碼不符合強度限制需要先修改密碼才能登錄平臺。提供定期修改密碼選項，到規(guī)定時間時提示客戶修改密碼，且新舊密碼不允許相同。

運營上：出具權威機構的安全檢測報告、發(fā)布產品安全白皮書、建議客戶加強軟件硬件上的安全防護措施等。

3. 最后來看第三個擔心：企業(yè)內部員工利用權限竊取數據或者內部員工操作不當而導致數據泄露或者丟失。

小公司一般不會有這種擔心，因為安全意識較薄弱，往往會忽略來自公司內部的數據安全風險。但是大公司一般都有相應的措施，比如定期開展安全知識培訓，確認安全責任人等。

針對這種擔心，產品上我們采取的措施是：

1. 提供完善的權限管理功能，將權限劃分為管理權限、目錄權限、模板權限和數據權限，這些權限可以快捷地分配給相應的部門，角色或者用戶，也可以快捷地禁用相應的權限，防止越權行為的發(fā)生。
2. 提供全面的日志審計功能，所有用戶的訪問，上傳、下載、導出等操作都會記錄詳細的的IP、時間、操作項目等，方便客戶可以發(fā)現(xiàn)異常操作并且定位到操作源。
3. 提供易用的安全水印功能，可以通過公式自定義要顯示的水印，如水印中顯示用戶的昵稱、手機號、ID時間等，一方面提醒用戶這是敏感數據，嚴禁外泄，另一方面也在出現(xiàn)數據泄露時，便于定位泄露源或提高泄露成本。
4. 提供強大的數據備份功能，客戶可以主動進行數據備份，或者設置定時備份，這樣即使出現(xiàn)一些操作失誤，也可以回到原來的狀態(tài)，消除或者減少誤操作帶來的損失。
5. 提供敏感操作提醒功能，當用戶進行一些如刪除數據、權限、模板等敏感操作時，出現(xiàn)彈框提醒可能會造成的風險，客戶了解風險后可以繼續(xù)進行該操作或者取消本次操作。

運營上：開展安全知識問答活動，以參與有獎的形式宣傳產品中的安全措施，提高客戶的安全意識。

以上就是目前我所運營的這款B端產品在打造產品的安全感方面所做的一些嘗試，目前來看效果還不錯，基本上沒有出現(xiàn)因客戶擔心產品不夠安全而棄買的情況。

當然這里面的很多小點，如安全水印功能的設計、安全知識問答活動等，每一個拆分出來都可以寫成一篇幾千字的長文。

本文旨在從宏觀角度探討如何打造B端產品的安全感，所以不詳細拆分，感興趣的同學可以和筆者私下探討。

作者：阮磊（微信baijiadishi），大數據行業(yè)B端產品運營，愛寫作，愛交流。

本文由 @阮磊 原創(chuàng)發(fā)布于人人都是產品經理。未經許可，禁止轉載

題圖來自 Unsplash ，基于 CC0 協(xié)議