編輯導語：隨著社會對數(shù)據安全、信息安全等方面的注重，企業(yè)也需要提升安全意識，比如SaaS企業(yè)，在為客戶提供服務時，就需要考慮如何降低風險，提升安全保障。本篇文章里，作者就SaaS產品的風險控制等問題做了解讀，一起來看一下。

一、聊聊安全

在SaaS企業(yè)成長的過程中，往往會出現(xiàn)這樣的轉變：從完全不在意安全，到慢慢開始在意，再到非常在意。

這樣的轉變，主要源于客戶群體的變化。

最初服務的客戶體量規(guī)模較小，使用的人數(shù)較少，會把注意力放在是否滿足業(yè)務場景，是否能夠達成業(yè)務目標。關心的是能產生對應的結果。

而隨著SaaS企業(yè)的擴展，服務客戶的規(guī)模越來越大，到后期行業(yè)內的標桿企業(yè)也會購買系統(tǒng)，這類客戶把安全作為第一要務，用審計、風控、合規(guī)等崗位來確保實現(xiàn)安全目標。他們既關心結果，也關心產生結果的過程。

看起來是大客戶對安全的關注，倒逼企業(yè)來重視和關注系統(tǒng)安全。所以安全模塊的設計，在產品設計中處于長期被忽視的狀態(tài)，往往認為是為了迎合大客戶不得去去投入資源的模塊，無法產生價值。

但形成這樣的既定認知前，有一個問題值得思考：安全需求，真的只是大客戶才關心的嗎？

先講一個小故事。

兩位農夫在田間勞作，正當正午，日頭曬得人頭暈眼花，農夫甲擦了擦汗，直起身來望向城里，彷佛視線落在了紫禁城，他艷羨地說：你說皇帝在宮里，過都是什么樣的日子？

農夫乙笑著說：那肯定是神仙一樣的日子，他坐在屋里，前面一油鍋后面一油鍋，想吃油條炸油條，想吃麻花炸麻花。

農夫甲接話：“可能還不止，下地干活肯定也用的是金鋤頭?！?/p>

我們已知的是，皇帝日常并不做飯，并不下地，所以農夫的猜測如同坐井觀天，和現(xiàn)實并不搭邊。

同理，小客戶對于SaaS軟件的認識，很可能也大大出乎我們的意料。

客戶一般數(shù)字化程度不高，使用SaaS的經驗很少甚至沒有，對技術更是毫不了解，系統(tǒng)對于他們而言，就像坐在宮殿里的貴人，只能用自己的思維去猜測。購買一套系統(tǒng)的作用被極致簡化，認為是就是這里點點，那里寫寫，產生數(shù)據，大家看看。

他們并不知道系統(tǒng)可能是不安全的，不知道系統(tǒng)一旦被使用，從人，從權限，從操作流程方面等方面都會帶來安全隱患，或者并沒有對安全隱患的背后的損失有著正確的認識。

用馬斯洛需求層次來解釋，每個人的底層需求都是安全，同理，每個企業(yè)的底層需求也應該是安全。小客戶沒有明確表達需求，并不代表他們不重視安全。反而由于他們不懂不會，才是需要SaaS企業(yè)更好地支持到他們，為客戶防患于未然。

從長遠來看，這一項工作也非常有意義。進入數(shù)字時代后，我們每天產生的數(shù)據呈倍數(shù)級增長。所以數(shù)據的安全顯得更加重要。

同時，在互聯(lián)網+，產業(yè)互聯(lián)網的共同升級下，安全的定義被極大地延伸，安全不僅要做到保護數(shù)據隱私，防范數(shù)據流出，也需要呈現(xiàn)準確的數(shù)據，因為只有準確的數(shù)據，未來才會有連通和銜接的價值。

這就意味做到安全，要符合行業(yè)互聯(lián)網的規(guī)范，要減少客戶試錯成本，要真正以幫客戶實現(xiàn)業(yè)務目標為核心，去思考系統(tǒng)如何能幫客戶做好做對做準確。

二、4類風險與3層限制

1. 4類風險

回到具體的場景，會造成系統(tǒng)不安全的風險一共有四類。

它們分別是

1. 環(huán)境的風險：系統(tǒng)登錄環(huán)境，使用環(huán)境帶來的風險。
2. 操作的風險：員工越權操作，或操作無人監(jiān)管，無據可查帶來的風險。
3. 合規(guī)的風險：產生的業(yè)務數(shù)據是否符合財務規(guī)范，符合財務真實準確的要求。以及數(shù)據是否符合相關行業(yè)規(guī)范，采集的過程和結果是否可靠。
4. 經營的風險：上下游合作伙伴管理不善帶來的經營風險，導致收入和成本可能出現(xiàn)劇烈波動。

2. 三層限制

相對應的是，我們需要建好三道門檻，用不同的態(tài)度去限制用戶，降低風險。

第一層限制：能不能。

在這個層次的限制中，我們扮演的是一個執(zhí)法者。

執(zhí)法者面臨的是環(huán)境的風險，操作的風險，在這些環(huán)節(jié)出現(xiàn)風險的時候，執(zhí)法者當機立斷，采用一刀切的方式，阻攔用戶，告訴用戶不能進行某些操作，需要按照規(guī)定來操作。

而作為執(zhí)法者，我們憑借什么去阻攔用戶呢？

首先依仗的是系統(tǒng)上的，約定俗成的安全性要求。

要保證的是系統(tǒng)里所有用戶的賬號是安全的，也要確保當前登錄的人確實是用戶本身。

常見的功能有：

1）登錄安全提示：首次登錄某個設備需要做二次校驗；登錄時提示上一次登錄地和時間，以便用戶及時發(fā)覺異常；讓用戶設置一串文字作為安全碼，登錄時展示安全碼，用戶看到安全碼和自己設置的一致時，則認為安全。

2）雙重校驗：例如增加goggle校驗，增加短信校驗，把新增的校驗方式視為臨時密碼，與用戶事先設置的固定性密碼組合，共同確保安全。

3）單設備登錄校驗：不允許用戶同時登錄兩個設備。

4）登錄密碼安全性設置：可由管理人設置密碼的安全性等級，例如是否考慮大小寫字母，數(shù)字，特殊字符的混用，是否限制長度，以及是否設置過期時間。

除了依賴安全規(guī)范，也要依賴法律上、道德上的規(guī)范。

這些規(guī)范用于限制內部員工的行為，讓員工在規(guī)范內允許的范圍內操作，盡可能減少員工犯錯可能。曾有一段時間，銀行、支付工具等公司，都屢屢被爆出員工的數(shù)據倒賣的情況，但近些年這類新聞少了很多，猜測可能和系統(tǒng)逐步提升安全等級有關。

為了管控員工行為，一共有3類的方向可以去優(yōu)化。

1）細化數(shù)據權限

對于系統(tǒng)而言，有兩類數(shù)據是最重要的：公司業(yè)務數(shù)據，合作方隱私數(shù)據。

• 業(yè)務數(shù)據：包含成本，售價，利潤，單數(shù)等等信息，應該嚴格限制，特別是上市公司的經營數(shù)據，更應該把可查范圍縮小縮小再縮小。
• 合作方隱私數(shù)據：包括證件號碼，聯(lián)系方式，犯罪信息等等，這類有倒賣價值、以及流出后會影響他人的信息，都應設置嚴格的權限

解決方案

① 敏感信息，界面查看時脫敏處理

例如電話號碼，證件信息，可以用只保留首尾數(shù)字的方法展示，展示為138****8888。又例如個人姓名，默認展示時僅展示姓氏李**，但點擊可以查看到完整的信息。

這兩種方式可以適應到不同的情況，前者是無論如何都不展示全部信息，后者是可以展示完整，但多了一層信息保護，避免一目了然看到所有信息。

② 設置敏感信息的統(tǒng)一查看權限

較為敏感的信息，且只有某些角色才需要查看到的，可以設置統(tǒng)一的查看權限，擁有權限的人才可以看到相關信息。

③ 非常敏感的信息設置獨立權限。

例如查看犯罪信息，需要有單獨的查看和篩選權限。

2）管控關鍵行為

在使用中，有兩類行為是非常值得注意的。

一類是導致數(shù)據流出系統(tǒng)的行為，也就是下載。

首先需要重點梳理下載行為涉及的字段。

有些字段在系統(tǒng)中展示和查看問題不大，外流則會造成很大的問題，例如犯罪信息的外流，可想而知會引起多大程度的輿論壓力。對于這類情況，需要讓用戶可以設置，無論權限如何都不能下載的字段。

其次需要限制導出的數(shù)據量。

絕大多數(shù)場景中，導出是用于做數(shù)據分析，按月導出可以滿足絕大多數(shù)需求。如果一次性導出幾年的數(shù)據，是有風險的。對于這類情況，需要讓用戶設置導出的條件限制。

最后導出某些數(shù)據，需要受到監(jiān)管。

或者有統(tǒng)一的下載管理評查，可查看導出的數(shù)據內容和信息，或者可以把導出行為設計成需要審批。

另一類值得注意的是修改業(yè)務上的關鍵信息。

例如把已經過期的身份證修改為正常，導致圖片和文字信息不匹配，把犯罪信息從無改到有，都是嚴格的紅線行為。

如果系統(tǒng)本身有業(yè)務屬性，則可以預見并嚴格限制紅線行為。

如果系統(tǒng)不為業(yè)務服務，無法知道用戶的修改會造成什么問題，至少提供不允許修改的配置，并在培訓時著重強調修改信息的權限，請用戶思考背后對應的風險。

3）服務合理用戶

正常來說，有系統(tǒng)登錄權限的人，都應該是在職且有權限的員工。

但事實上總有各種情況，導致不在職的人，無權限的人還可以登錄系統(tǒng)，造成系統(tǒng)信息的不安全。

可以從功能設計上防范這些情況：

• 控制超級管理員人數(shù)：超級管理員的賦予和取消都應有通知和留檔，甚至可以設置為需要審批。
• 人員退出機制：盡量把系統(tǒng)人員狀態(tài)和其他系統(tǒng)打通，例如OA和辦公協(xié)同系統(tǒng)，這樣員工離職后，可以自動變更賬號狀態(tài)。
• 人員回收機制：如果某些用戶長期未登錄，可以把狀態(tài)自動變更為凍結。
• 臨時登錄機制：如果某些用戶需要臨時登錄，可以開始有登錄有效期的臨時賬號，滿足短期內使用的需求。

第二層限制：對不對。

第一層限制里，我們關注的是用戶能不能這么做，而在第二層限制，我們扮演的是一個老師，來告訴客戶這么做是否對，在合規(guī)層面，操作是否符合規(guī)范。

企業(yè)留存在系統(tǒng)中的業(yè)務數(shù)據，最后都會變成財務數(shù)據，甚至有些客戶希望把系統(tǒng)打通，直接按系統(tǒng)金額去進行支付，這就要求系統(tǒng)的數(shù)據最后應該是符合財務的規(guī)范的。

就實踐而言，系統(tǒng)應該重點關注以下幾個場景，數(shù)據是否做到了真實、準確、及時。

1）信息采集

主要是基礎數(shù)據的準確。例如訂單系統(tǒng)需要維護商品和客戶數(shù)據，物流系統(tǒng)需要維護司機和車輛數(shù)據。

2）信息修改

基礎信息的修改往往會導致業(yè)務數(shù)據，財務數(shù)據變化。例如商品價格沒有及時更新，導致訂單價格錯誤，而此時已經走完打款開票流程，就顯而易見地已經造成了損失。

3）對賬過程

一般需要內部和外部的審核，在這些場景中，是否可以提示風險點和審核要點，快速幫助定位問題，避免自動化工作造成的人工錯誤。

這些場景，是在對行業(yè)、業(yè)務有深度認知上才能認識到重要性，且能夠給到解決方案的。

通過給到專業(yè)的解決方案，達成數(shù)據真實、準確、及時的目標，達成最終的財務合規(guī)目標，這就是產品隱形實力的體現(xiàn)，是硬功夫的細節(jié)，是不容易抄走的理念。

第三層限制：好不好。

在這個層次里，系統(tǒng)扮演的是專家，可以給出關于企業(yè)經營的意見。

企業(yè)能夠順利運轉，很大程度上都依賴于合作伙伴，那么合作方的帶來風險也可以被關注起來。

例如一個固定項目，長期都是一個供應商來承接，那么代表著項目可能存在一家獨大的風險，項目風險無法分攤，對于成本也很難有議價權。

那么系統(tǒng)是不是可以給出項目經營的風險預警呢？

除此以外，對于合作方的資質要求，保證金管理，系統(tǒng)是否對應的能力和預警，也是可以考慮的。

對于上游客戶，如果連續(xù)出現(xiàn)某類客戶的訂單下降，是否可以給到預警，提示持續(xù)流失風險。

以上只是一些例子，可以挖掘的場景應該還有很多。畢竟企業(yè)經營，是上游下游都好，才是真的好。

系統(tǒng)能做到這一點，也是真的能夠把SaaS的雙重性都體現(xiàn)出來了，既是經營思路，又是經營工具。

除了三個層次的限制，我們也要有一些兜底的能力。

目標是盡量增加違規(guī)操作的成本，或者在事后能盡快定位。例如增加可查驗的、完整的系統(tǒng)日志，以及設置系統(tǒng)全局的水印。

三、總結

回顧本文，我們聊了SaaS企業(yè)的安全意識，并把安全指代的場景擴大化。

安全不僅僅是信息儲存安全，也代表著信息生成的過程合規(guī)，上下游的運營安全。

與之對應，我們聊了4種風險，并一一對應了三類解決辦法。

1. 環(huán)境的風險：系統(tǒng)登錄環(huán)境，使用環(huán)境帶來的風險。用“不能”的態(tài)度去攔截。
2. 操作的風險：員工越權操作，或操作無人監(jiān)管，無據可查帶來的風險。用“不能”的態(tài)度去攔截。
3. 合規(guī)的風險：產生的業(yè)務數(shù)據是否符合財務規(guī)范，符合財務真實準確的要求。以及數(shù)據是否符合相關行業(yè)規(guī)范，采集的過程和結果是否可靠。用“不對”的態(tài)度去規(guī)勸。
4. 經營的風險：上下游合作伙伴管理不善帶來的經營風險，導致收入和成本可能出現(xiàn)劇烈波動。用“不好”的態(tài)度去提示。

SaaS系統(tǒng)既然是理念和工具的合并，也同時也代表著執(zhí)法者，老師，專家三類角色，三者背后的服務理念各不相同，從低到高，服務于用戶的不同需求。

經常聽到創(chuàng)業(yè)者說SaaS功能太容易被抄襲了。那么我想說：未來SaaS的競爭核心，或許不是功能的競爭，而是理念的競爭。

作者：假裝是運營，微信公眾號：SaaS學姐

本文由 @假裝是運營 原創(chuàng)發(fā)布于人人都是產品經理。未經許可，禁止轉載

題圖來自Unsplash，基于CC0協(xié)議