在線CRM服務(wù)如何保障企業(yè)客戶的數(shù)據(jù)安全
2010/09/25
前言
在線CRM是CRM的最重要的一種形態(tài)�����,企業(yè)在線應(yīng)用CRM���,不需要自己搭建服務(wù)器���,不需要購買軟件,企業(yè)按月付費��,這也就是目前熱門的SaaS(軟件即服務(wù))模式�����,但是很多人說:“數(shù)據(jù)存儲在SaaS服務(wù)商的服務(wù)器上,我還是不放心呀���!”
對于這個問題����,我們采訪了中國最具代表性的SaaS廠商XTools���,對于2009年在線CRM付費用戶數(shù)第一的廠商�����,他們是如何保障企業(yè)客戶的數(shù)據(jù)安全的呢��?
XTools的副總經(jīng)理謝億民說:“數(shù)據(jù)安全是SaaS模式服務(wù)的一部分�����,如果缺少數(shù)據(jù)安全保障�,那就不叫SaaS了��,在線CRM的服務(wù)提供方需要有嚴密的數(shù)據(jù)安全保障體系,來運營這種模式���!
關(guān)于數(shù)據(jù)安全,在線CRM需要做到一下幾方面:
第一:服務(wù)穩(wěn)定
評價在線CRM的系統(tǒng)穩(wěn)定來自于兩個方面:第一:連接速度�����;第二:連接連通率��。在連通率上一般的數(shù)據(jù)中心都能保障達到99.9%����,而在速度上,各家的在線CRM卻良莠不齊���。
所以在試用過程中需要關(guān)注訪問速度�。XTools在全國南北等地分布了很多服務(wù)器�,用戶可以根據(jù)自己的測試速度登錄最快的服務(wù)器,也就是假定一個有全國分支機構(gòu)的公司員工�����,能夠分別登錄自己測速最快的服務(wù)器���,錄入和讀取的數(shù)據(jù)也是即時和同步的�。
第二:登錄安全
如何防止木馬等黑客程序給用戶登錄密碼帶來威脅�,一直是網(wǎng)絡(luò)安全界討論的話題,無論網(wǎng)上銀行系統(tǒng)還是國家保密部門��,都離不開幾種方式:證書登錄����、動態(tài)密碼OTP登錄、USB鑰匙登錄�。
SaaS的在線CRM登錄也需要關(guān)注于登錄的安全,一些優(yōu)秀的SaaS廠商目前也采取了登錄的措施�����,比較全面的要數(shù)XTools�����,比如加長主密碼位數(shù)�、提供USBkey登錄、OTPkey登錄等�,以避免客戶在登錄CRM系統(tǒng)時密碼泄露的風(fēng)險。
第三:傳輸安全
SSL 廣泛用于瀏覽器中�,以便向客戶端(用戶端)證明服務(wù)的身份���,并且隨后向通道提供保密性(加密傳輸)。
客戶端(用戶端)和網(wǎng)站(在線CRM網(wǎng)站)之間的數(shù)據(jù)交流使用加密規(guī)則�����,以便對傳輸?shù)臄?shù)據(jù)進行加密和解密��。如果沒有SSL加密傳輸�����,就可以視同在數(shù)據(jù)傳輸過程中����,包括用戶名、密碼在內(nèi)的重要數(shù)據(jù)存在被竊聽的風(fēng)險��。
當用戶第一次訪問XToolsCRM平臺時����,所有的傳輸數(shù)據(jù)通過SSL機制對傳送的數(shù)據(jù)進行加密和隱藏;XToolsCRM從終端身份認證����、網(wǎng)絡(luò)中間傳輸、服務(wù)器身份認證���、異地容災(zāi)數(shù)據(jù)備份等提供了完整的數(shù)據(jù)安全加密解決方案�����。
第四:存儲安全
目前云存儲成為最為尖端的存儲和備份方式�����,這種方式能夠最大限度保障客戶數(shù)據(jù)不被意外情況(包括不可抗力的災(zāi)害)所破壞�,并實現(xiàn)數(shù)據(jù)快速恢復(fù)�����。
云存儲是在云計算(cloud computing)概念上延伸和發(fā)展出來的一個新的概念���,是指通過集群應(yīng)用��、網(wǎng)格技術(shù)或分布式文件系統(tǒng)等功能��,將網(wǎng)絡(luò)中大量各種不同類型的存儲設(shè)備通過應(yīng)用軟件集合起來協(xié)同工作�����,共同對外提供數(shù)據(jù)存儲和業(yè)務(wù)訪問功能的一個系統(tǒng)�����。
XTools為了保障數(shù)據(jù)安全�����,建立了云存儲中心����,各地服務(wù)互相備份,如遇到不可抗力導(dǎo)致服務(wù)器損毀����,可在一小時內(nèi)恢復(fù)數(shù)據(jù)。
第五:系統(tǒng)安全
系統(tǒng)安全包括的面很廣��,安全風(fēng)險包括:
對URL規(guī)則的分析后�,就可以通過修改URL中各種數(shù)據(jù)參數(shù),并合成偽造成新的URL��,然后直接訪問服務(wù)器��。這個過程的產(chǎn)生的后果是:可以繞開系統(tǒng)本身的權(quán)限體系��,而直接從數(shù)據(jù)庫中讀取數(shù)據(jù)。就像是雖然門口裝了重重鐵鎖����,但是圍墻很低�����,很容易翻越��,根本不用通過大門進入��。防止URL偽造與合成欺騙成為在線CRM重要工作���。
對于在線系統(tǒng)來說�����,出現(xiàn)這種漏洞是致命的�。XTools的總工程師李亞平說:“經(jīng)過我們的安全工程師檢測���,目前國內(nèi)很多在線服務(wù)系統(tǒng)均沒有解決這個漏洞����,這對于客戶的數(shù)據(jù)安全來說,風(fēng)險很大����。”
相對于前面的兩種風(fēng)險��,SQL注入可能會產(chǎn)生更為嚴重的惡果�。數(shù)據(jù)訪問程序編寫的不規(guī)范、權(quán)限系統(tǒng)不完善�,或者URL漏洞,給破壞者帶來使用SQL注入的可乘之機���。SQL是數(shù)據(jù)庫訪問的語言標準�,通過SQL注入��,入侵者可能會實現(xiàn)對數(shù)據(jù)的整體刪除�����,數(shù)據(jù)的整體復(fù)制或者全面讀取��。如果發(fā)生這種情況���,對于客戶來說���,簡直就是災(zāi)難����。
以上僅僅是系統(tǒng)安全的兩個例子�����,系統(tǒng)安全也包括操作系統(tǒng)和應(yīng)用系統(tǒng)是否存在漏洞����,服務(wù)器端口安全����、應(yīng)用系統(tǒng)的接口安全、系統(tǒng)的訪問壓力監(jiān)控等等�。專業(yè)的SaaS廠商應(yīng)該對系統(tǒng)的安全定期檢查,和用戶對數(shù)據(jù)安全要求達成一致�����。
第六:五年以上SaaS運營經(jīng)驗
對于在線CRM的安全和穩(wěn)定運營����,需要有一個專業(yè)的團隊�,通過采訪��,記者覺得���,如果只有通過五年以上的SaaS運營實戰(zhàn)經(jīng)驗���,安全才能有所保障,穩(wěn)定性才能得到用戶口碑認可�。因為,處理SaaS運營中的一些不確定因素的經(jīng)驗是需要長期服務(wù)才能獲得的��。
結(jié)束語
要讓客戶買單�����,在線CRM服務(wù)的提供者需要拿出一個數(shù)據(jù)安全的解決方案����,那些隱晦的如何保障數(shù)據(jù)安全的回答只能讓客戶對數(shù)據(jù)安全更加擔(dān)心,XTools的經(jīng)驗是:一定需要拿出一個全面的數(shù)據(jù)安全方案���。據(jù)了解��,XTools在六年的運營過程中����,不斷提升客戶的數(shù)據(jù)安全感受,目前付費企業(yè)客戶突破六千七百家��,居行業(yè)第一�。
CTI論壇編輯
相關(guān)閱讀: