在線CRM服務(wù)如何保障企業(yè)客戶的數(shù)據(jù)安全
2010/09/25
前言
在線CRM是CRM的最重要的一種形態(tài),企業(yè)在線應(yīng)用CRM��,不需要自己搭建服務(wù)器����,不需要購(gòu)買軟件�,企業(yè)按月付費(fèi),這也就是目前熱門的SaaS(軟件即服務(wù))模式�����,但是很多人說:“數(shù)據(jù)存儲(chǔ)在SaaS服務(wù)商的服務(wù)器上,我還是不放心呀��!”
對(duì)于這個(gè)問題�����,我們采訪了中國(guó)最具代表性的SaaS廠商XTools��,對(duì)于2009年在線CRM付費(fèi)用戶數(shù)第一的廠商�����,他們是如何保障企業(yè)客戶的數(shù)據(jù)安全的呢���?
XTools的副總經(jīng)理謝億民說:“數(shù)據(jù)安全是SaaS模式服務(wù)的一部分����,如果缺少數(shù)據(jù)安全保障�����,那就不叫SaaS了,在線CRM的服務(wù)提供方需要有嚴(yán)密的數(shù)據(jù)安全保障體系�,來運(yùn)營(yíng)這種模式�����!
關(guān)于數(shù)據(jù)安全����,在線CRM需要做到一下幾方面:
第一:服務(wù)穩(wěn)定
評(píng)價(jià)在線CRM的系統(tǒng)穩(wěn)定來自于兩個(gè)方面:第一:連接速度��;第二:連接連通率��。在連通率上一般的數(shù)據(jù)中心都能保障達(dá)到99.9%�����,而在速度上����,各家的在線CRM卻良莠不齊。
所以在試用過程中需要關(guān)注訪問速度���。XTools在全國(guó)南北等地分布了很多服務(wù)器�,用戶可以根據(jù)自己的測(cè)試速度登錄最快的服務(wù)器���,也就是假定一個(gè)有全國(guó)分支機(jī)構(gòu)的公司員工�����,能夠分別登錄自己測(cè)速最快的服務(wù)器���,錄入和讀取的數(shù)據(jù)也是即時(shí)和同步的��。
第二:登錄安全
如何防止木馬等黑客程序給用戶登錄密碼帶來威脅���,一直是網(wǎng)絡(luò)安全界討論的話題,無論網(wǎng)上銀行系統(tǒng)還是國(guó)家保密部門��,都離不開幾種方式:證書登錄�、動(dòng)態(tài)密碼OTP登錄、USB鑰匙登錄����。
SaaS的在線CRM登錄也需要關(guān)注于登錄的安全,一些優(yōu)秀的SaaS廠商目前也采取了登錄的措施�����,比較全面的要數(shù)XTools,比如加長(zhǎng)主密碼位數(shù)�����、提供USBkey登錄��、OTPkey登錄等����,以避免客戶在登錄CRM系統(tǒng)時(shí)密碼泄露的風(fēng)險(xiǎn)�。
第三:傳輸安全
SSL 廣泛用于瀏覽器中,以便向客戶端(用戶端)證明服務(wù)的身份���,并且隨后向通道提供保密性(加密傳輸)���。
客戶端(用戶端)和網(wǎng)站(在線CRM網(wǎng)站)之間的數(shù)據(jù)交流使用加密規(guī)則,以便對(duì)傳輸?shù)臄?shù)據(jù)進(jìn)行加密和解密�����。如果沒有SSL加密傳輸�����,就可以視同在數(shù)據(jù)傳輸過程中,包括用戶名��、密碼在內(nèi)的重要數(shù)據(jù)存在被竊聽的風(fēng)險(xiǎn)���。
當(dāng)用戶第一次訪問XToolsCRM平臺(tái)時(shí)�,所有的傳輸數(shù)據(jù)通過SSL機(jī)制對(duì)傳送的數(shù)據(jù)進(jìn)行加密和隱藏��;XToolsCRM從終端身份認(rèn)證���、網(wǎng)絡(luò)中間傳輸���、服務(wù)器身份認(rèn)證、異地容災(zāi)數(shù)據(jù)備份等提供了完整的數(shù)據(jù)安全加密解決方案����。
第四:存儲(chǔ)安全
目前云存儲(chǔ)成為最為尖端的存儲(chǔ)和備份方式,這種方式能夠最大限度保障客戶數(shù)據(jù)不被意外情況(包括不可抗力的災(zāi)害)所破壞�����,并實(shí)現(xiàn)數(shù)據(jù)快速恢復(fù)���。
云存儲(chǔ)是在云計(jì)算(cloud computing)概念上延伸和發(fā)展出來的一個(gè)新的概念���,是指通過集群應(yīng)用���、網(wǎng)格技術(shù)或分布式文件系統(tǒng)等功能,將網(wǎng)絡(luò)中大量各種不同類型的存儲(chǔ)設(shè)備通過應(yīng)用軟件集合起來協(xié)同工作����,共同對(duì)外提供數(shù)據(jù)存儲(chǔ)和業(yè)務(wù)訪問功能的一個(gè)系統(tǒng)。
XTools為了保障數(shù)據(jù)安全�����,建立了云存儲(chǔ)中心��,各地服務(wù)互相備份�����,如遇到不可抗力導(dǎo)致服務(wù)器損毀�,可在一小時(shí)內(nèi)恢復(fù)數(shù)據(jù)�����。
第五:系統(tǒng)安全
系統(tǒng)安全包括的面很廣��,安全風(fēng)險(xiǎn)包括:
對(duì)URL規(guī)則的分析后,就可以通過修改URL中各種數(shù)據(jù)參數(shù)����,并合成偽造成新的URL,然后直接訪問服務(wù)器���。這個(gè)過程的產(chǎn)生的后果是:可以繞開系統(tǒng)本身的權(quán)限體系�,而直接從數(shù)據(jù)庫(kù)中讀取數(shù)據(jù)���。就像是雖然門口裝了重重鐵鎖����,但是圍墻很低��,很容易翻越����,根本不用通過大門進(jìn)入。防止URL偽造與合成欺騙成為在線CRM重要工作�����。
對(duì)于在線系統(tǒng)來說��,出現(xiàn)這種漏洞是致命的。XTools的總工程師李亞平說:“經(jīng)過我們的安全工程師檢測(cè)���,目前國(guó)內(nèi)很多在線服務(wù)系統(tǒng)均沒有解決這個(gè)漏洞���,這對(duì)于客戶的數(shù)據(jù)安全來說,風(fēng)險(xiǎn)很大���!
相對(duì)于前面的兩種風(fēng)險(xiǎn),SQL注入可能會(huì)產(chǎn)生更為嚴(yán)重的惡果�。數(shù)據(jù)訪問程序編寫的不規(guī)范、權(quán)限系統(tǒng)不完善��,或者URL漏洞�,給破壞者帶來使用SQL注入的可乘之機(jī)����。SQL是數(shù)據(jù)庫(kù)訪問的語言標(biāo)準(zhǔn),通過SQL注入��,入侵者可能會(huì)實(shí)現(xiàn)對(duì)數(shù)據(jù)的整體刪除����,數(shù)據(jù)的整體復(fù)制或者全面讀取��。如果發(fā)生這種情況����,對(duì)于客戶來說����,簡(jiǎn)直就是災(zāi)難。
以上僅僅是系統(tǒng)安全的兩個(gè)例子��,系統(tǒng)安全也包括操作系統(tǒng)和應(yīng)用系統(tǒng)是否存在漏洞�,服務(wù)器端口安全、應(yīng)用系統(tǒng)的接口安全����、系統(tǒng)的訪問壓力監(jiān)控等等。專業(yè)的SaaS廠商應(yīng)該對(duì)系統(tǒng)的安全定期檢查��,和用戶對(duì)數(shù)據(jù)安全要求達(dá)成一致�。
第六:五年以上SaaS運(yùn)營(yíng)經(jīng)驗(yàn)
對(duì)于在線CRM的安全和穩(wěn)定運(yùn)營(yíng),需要有一個(gè)專業(yè)的團(tuán)隊(duì)�,通過采訪,記者覺得�,如果只有通過五年以上的SaaS運(yùn)營(yíng)實(shí)戰(zhàn)經(jīng)驗(yàn),安全才能有所保障���,穩(wěn)定性才能得到用戶口碑認(rèn)可��。因?yàn)�,處理SaaS運(yùn)營(yíng)中的一些不確定因素的經(jīng)驗(yàn)是需要長(zhǎng)期服務(wù)才能獲得的。
結(jié)束語
要讓客戶買單�����,在線CRM服務(wù)的提供者需要拿出一個(gè)數(shù)據(jù)安全的解決方案����,那些隱晦的如何保障數(shù)據(jù)安全的回答只能讓客戶對(duì)數(shù)據(jù)安全更加擔(dān)心,XTools的經(jīng)驗(yàn)是:一定需要拿出一個(gè)全面的數(shù)據(jù)安全方案�����。據(jù)了解��,XTools在六年的運(yùn)營(yíng)過程中�����,不斷提升客戶的數(shù)據(jù)安全感受����,目前付費(fèi)企業(yè)客戶突破六千七百家,居行業(yè)第一�����。
CTI論壇編輯
相關(guān)閱讀: