在線CRM服務(wù)如何保障企業(yè)客戶的數(shù)據(jù)安全
2010/09/25
前言
在線CRM是CRM的最重要的一種形態(tài),企業(yè)在線應(yīng)用CRM,不需要自己搭建服務(wù)器,不需要購(gòu)買軟件,企業(yè)按月付費(fèi),這也就是目前熱門的SaaS(軟件即服務(wù))模式,但是很多人說:“數(shù)據(jù)存儲(chǔ)在SaaS服務(wù)商的服務(wù)器上,我還是不放心呀!”
對(duì)于這個(gè)問題,我們采訪了中國(guó)最具代表性的SaaS廠商XTools,對(duì)于2009年在線CRM付費(fèi)用戶數(shù)第一的廠商,他們是如何保障企業(yè)客戶的數(shù)據(jù)安全的呢?
XTools的副總經(jīng)理謝億民說:“數(shù)據(jù)安全是SaaS模式服務(wù)的一部分,如果缺少數(shù)據(jù)安全保障,那就不叫SaaS了,在線CRM的服務(wù)提供方需要有嚴(yán)密的數(shù)據(jù)安全保障體系,來運(yùn)營(yíng)這種模式。”
關(guān)于數(shù)據(jù)安全,在線CRM需要做到一下幾方面:
第一:服務(wù)穩(wěn)定
評(píng)價(jià)在線CRM的系統(tǒng)穩(wěn)定來自于兩個(gè)方面:第一:連接速度;第二:連接連通率。在連通率上一般的數(shù)據(jù)中心都能保障達(dá)到99.9%,而在速度上,各家的在線CRM卻良莠不齊。
所以在試用過程中需要關(guān)注訪問速度。XTools在全國(guó)南北等地分布了很多服務(wù)器,用戶可以根據(jù)自己的測(cè)試速度登錄最快的服務(wù)器,也就是假定一個(gè)有全國(guó)分支機(jī)構(gòu)的公司員工,能夠分別登錄自己測(cè)速最快的服務(wù)器,錄入和讀取的數(shù)據(jù)也是即時(shí)和同步的。
第二:登錄安全
如何防止木馬等黑客程序給用戶登錄密碼帶來威脅,一直是網(wǎng)絡(luò)安全界討論的話題,無論網(wǎng)上銀行系統(tǒng)還是國(guó)家保密部門,都離不開幾種方式:證書登錄、動(dòng)態(tài)密碼OTP登錄、USB鑰匙登錄。
SaaS的在線CRM登錄也需要關(guān)注于登錄的安全,一些優(yōu)秀的SaaS廠商目前也采取了登錄的措施,比較全面的要數(shù)XTools,比如加長(zhǎng)主密碼位數(shù)、提供USBkey登錄、OTPkey登錄等,以避免客戶在登錄CRM系統(tǒng)時(shí)密碼泄露的風(fēng)險(xiǎn)。
第三:傳輸安全
SSL 廣泛用于瀏覽器中,以便向客戶端(用戶端)證明服務(wù)的身份,并且隨后向通道提供保密性(加密傳輸)。
客戶端(用戶端)和網(wǎng)站(在線CRM網(wǎng)站)之間的數(shù)據(jù)交流使用加密規(guī)則,以便對(duì)傳輸?shù)臄?shù)據(jù)進(jìn)行加密和解密。如果沒有SSL加密傳輸,就可以視同在數(shù)據(jù)傳輸過程中,包括用戶名、密碼在內(nèi)的重要數(shù)據(jù)存在被竊聽的風(fēng)險(xiǎn)。
當(dāng)用戶第一次訪問XToolsCRM平臺(tái)時(shí),所有的傳輸數(shù)據(jù)通過SSL機(jī)制對(duì)傳送的數(shù)據(jù)進(jìn)行加密和隱藏;XToolsCRM從終端身份認(rèn)證、網(wǎng)絡(luò)中間傳輸、服務(wù)器身份認(rèn)證、異地容災(zāi)數(shù)據(jù)備份等提供了完整的數(shù)據(jù)安全加密解決方案。
第四:存儲(chǔ)安全
目前云存儲(chǔ)成為最為尖端的存儲(chǔ)和備份方式,這種方式能夠最大限度保障客戶數(shù)據(jù)不被意外情況(包括不可抗力的災(zāi)害)所破壞,并實(shí)現(xiàn)數(shù)據(jù)快速恢復(fù)。
云存儲(chǔ)是在云計(jì)算(cloud computing)概念上延伸和發(fā)展出來的一個(gè)新的概念,是指通過集群應(yīng)用、網(wǎng)格技術(shù)或分布式文件系統(tǒng)等功能,將網(wǎng)絡(luò)中大量各種不同類型的存儲(chǔ)設(shè)備通過應(yīng)用軟件集合起來協(xié)同工作,共同對(duì)外提供數(shù)據(jù)存儲(chǔ)和業(yè)務(wù)訪問功能的一個(gè)系統(tǒng)。
XTools為了保障數(shù)據(jù)安全,建立了云存儲(chǔ)中心,各地服務(wù)互相備份,如遇到不可抗力導(dǎo)致服務(wù)器損毀,可在一小時(shí)內(nèi)恢復(fù)數(shù)據(jù)。
第五:系統(tǒng)安全
系統(tǒng)安全包括的面很廣,安全風(fēng)險(xiǎn)包括:
對(duì)URL規(guī)則的分析后,就可以通過修改URL中各種數(shù)據(jù)參數(shù),并合成偽造成新的URL,然后直接訪問服務(wù)器。這個(gè)過程的產(chǎn)生的后果是:可以繞開系統(tǒng)本身的權(quán)限體系,而直接從數(shù)據(jù)庫(kù)中讀取數(shù)據(jù)。就像是雖然門口裝了重重鐵鎖,但是圍墻很低,很容易翻越,根本不用通過大門進(jìn)入。防止URL偽造與合成欺騙成為在線CRM重要工作。
對(duì)于在線系統(tǒng)來說,出現(xiàn)這種漏洞是致命的。XTools的總工程師李亞平說:“經(jīng)過我們的安全工程師檢測(cè),目前國(guó)內(nèi)很多在線服務(wù)系統(tǒng)均沒有解決這個(gè)漏洞,這對(duì)于客戶的數(shù)據(jù)安全來說,風(fēng)險(xiǎn)很大!
相對(duì)于前面的兩種風(fēng)險(xiǎn),SQL注入可能會(huì)產(chǎn)生更為嚴(yán)重的惡果。數(shù)據(jù)訪問程序編寫的不規(guī)范、權(quán)限系統(tǒng)不完善,或者URL漏洞,給破壞者帶來使用SQL注入的可乘之機(jī)。SQL是數(shù)據(jù)庫(kù)訪問的語言標(biāo)準(zhǔn),通過SQL注入,入侵者可能會(huì)實(shí)現(xiàn)對(duì)數(shù)據(jù)的整體刪除,數(shù)據(jù)的整體復(fù)制或者全面讀取。如果發(fā)生這種情況,對(duì)于客戶來說,簡(jiǎn)直就是災(zāi)難。
以上僅僅是系統(tǒng)安全的兩個(gè)例子,系統(tǒng)安全也包括操作系統(tǒng)和應(yīng)用系統(tǒng)是否存在漏洞,服務(wù)器端口安全、應(yīng)用系統(tǒng)的接口安全、系統(tǒng)的訪問壓力監(jiān)控等等。專業(yè)的SaaS廠商應(yīng)該對(duì)系統(tǒng)的安全定期檢查,和用戶對(duì)數(shù)據(jù)安全要求達(dá)成一致。
第六:五年以上SaaS運(yùn)營(yíng)經(jīng)驗(yàn)
對(duì)于在線CRM的安全和穩(wěn)定運(yùn)營(yíng),需要有一個(gè)專業(yè)的團(tuán)隊(duì),通過采訪,記者覺得,如果只有通過五年以上的SaaS運(yùn)營(yíng)實(shí)戰(zhàn)經(jīng)驗(yàn),安全才能有所保障,穩(wěn)定性才能得到用戶口碑認(rèn)可。因?yàn)椋幚鞸aaS運(yùn)營(yíng)中的一些不確定因素的經(jīng)驗(yàn)是需要長(zhǎng)期服務(wù)才能獲得的。
結(jié)束語
要讓客戶買單,在線CRM服務(wù)的提供者需要拿出一個(gè)數(shù)據(jù)安全的解決方案,那些隱晦的如何保障數(shù)據(jù)安全的回答只能讓客戶對(duì)數(shù)據(jù)安全更加擔(dān)心,XTools的經(jīng)驗(yàn)是:一定需要拿出一個(gè)全面的數(shù)據(jù)安全方案。據(jù)了解,XTools在六年的運(yùn)營(yíng)過程中,不斷提升客戶的數(shù)據(jù)安全感受,目前付費(fèi)企業(yè)客戶突破六千七百家,居行業(yè)第一。
CTI論壇編輯
相關(guān)閱讀: