2016 年,雅虎先後證實共超 15 億用戶信息遭竊,涉及用戶姓名、電子郵箱、電話號碼、出生日期和部分登錄密碼,刷新了當時人類大規模數據洩露的新記錄,堪稱數據洩露之最「牛」事件。
2017 年,新型"蠕蟲"式勒索病毒WannaCry(中文直譯為「想哭」)爆發,席捲全球。這場全球最大的網絡攻擊已經造成至少 150 個國家和 20 萬臺機器受到感染。受害者包括中國、英國、俄羅斯、德國和西班牙等國的醫院、大學、製造商和政府機構。
2018 年,全國 200 多家三甲醫院檢出勒索病毒,隨後在騰訊智慧安全發布的《醫療行業勒索病毒專題報告》中指出:在全國三甲醫院中,有 247 家醫院檢出了勒索病毒,以廣東、湖北、江蘇等地區檢出勒索病毒最多。
2019 年,酒店連鎖巨頭喜達屋母公司萬豪國際酒店表示,經過取證和分析團隊縝密調查後發現,因大數據洩露,有超過 500 萬個未加密的護照號碼和大約 860 萬個加密信用卡號碼被盜 。
信息安全事件年年有,隨著網際網路應用的日益深入,安全問題已成為關乎政府、企業乃至個人信息安全的關鍵。 2018 年歐盟的「通用數據保護條例」(GDPR)正式生效,這項條例賦予歐盟公民更多的個人數據控制權,另外對那些收集、處理和存儲個人數據的公司提出更高的責任要求,特別是數據洩露,這一舉措再一次將信息安全保護推向高潮。
在企業服務領域,信息安全也正逐步成為企業管理者在採購各種軟體時重點考慮的特性。忽視信息安全的重要性,最終因為安全事件導致企業蒙受巨大損失甚至破產的案例比比皆是。以曾經全球最大的比特幣交易平臺Mt.Gox為例,由於系統漏洞遭到黑客攻擊, 85 萬個價值 5 億美元的比特幣被盜一空,全球超過 30 萬比特幣投資者損失慘重,平臺血本無歸宣布破產。
銷售易作為企業級新型CRM開創者,一直對信息安全保障體系建設十分重視。早在CRM產品設計之初,公司就已經將「安全性」作為銷售易CRM產品的基本屬性進行規劃和設計,經過幾年來的不斷努力,已經形成了一套卓有成效的信息安全保障體系,並且持續深入建設。每個大客戶籤單的背後,安全保障體系都在經歷一次次驗證,面對客戶聘請的國外專業安全機構的調研,銷售易也憑藉著優異的成績順利通過。
本文,就銷售易在安全建設方面的思路以及心得做一分享,看看銷售易CRM如何練就企業信息安全「保護鎖」,保障企業信息安全。
信息安全體系建設講究「木桶原理」,也就是說安全防護水平的高低由企業最薄弱的一環決定。因此,銷售易安全建設思路是從多個層級形成一套縱深防禦的安全體系。
當前銷售易的安全體系建設是聚合了專業安全廠商的能力以及銷售易自身的安全能力而形成的,覆蓋網絡層、主機層、應用層和數據層幾個技術層級,並制定了全流程的安全管理制度。
每個技術層級都包含了多項安全工作。以應用代碼安全為例,銷售易參考微軟SDL(Security Development Lifecycle)的思想,結合自身敏捷開發的模式制定了一套安全開發流程。
(安全開發流程圖)
應用開發可以分為需求、設計、開發、測試、發布和運維階段,銷售易在應用開發的各個階段加入了安全工作,與產品、開發、測試和運維人員一起,通過多種方式提高系統的安全性。
在每次發版之前,會有諸多安全工作,包括安全評審、白盒代碼審核、靜態代碼掃描、滲透測試、作業系統安全基線檢測及加固等。全面檢測安全風險點,並快速進行風險規避或修復改善措施。
以滲透測試為例,安全測試工程師藉助自動化安全工具及人工抓包分析等多種方式,評估系統中的應用脆弱性。每個功能模塊均會進行交叉測試,防止因測試人員疏忽或技術擅長點不同導致漏洞未被有效發現。銷售易也會聘請國內知名的有資質的安全服務商對銷售易系統進行滲透測試評估,進一步保障系統的安全性。
特別值得一提的是,銷售易還順利通過了國內知名安全廠商對web端及移動端的安全滲透測試,並獲得了最高等級的網站安全性認證。
正所謂「三分技術,七分管理」。在體系建設中,安全管理是非常重要的組成部分。而在管理制度的執行方面,「人」是其中最重要的環節。在文章開始的幾個真實發生的安全事件中,大部分是因為人員安全意識淡薄導致的。因此銷售易也把常態化的安全培訓納入了安全工作中。
在安全培訓與考核方面,銷售易全面開展入職員工的安全意識培訓工作,並定期針對不同崗位進行安全專項培訓,提高全員的安全意識及安全技能。同時,為了保證培訓效果,每一場培訓均安排考試,新員工必須通過安全培訓考試後,方可轉正;其他安全培訓若考試不通過,需要重新參加學習並重考。
銷售易憑藉著在信息安全建設方面堅持不懈,目前已通過了ISO(國際標準化組織)20000、ISO27001 以及公安部安全等級保護三級認證。其中ISO27001 是基於國際標準對銷售易公司安全管理制度及流程符合度的認證,是國際上普遍認可的安全資質。公安部安全等級保護三級認證,是針對銷售易CRM業務系統的整體安全性的認證,這也是國內非金融領域安全方面的最高認證。
同時,銷售易的安全工作也得到了包括中國工商銀行、聯想集團、上海電氣、金山軟體、沈鼓集團等眾多 500 強龍頭企業的認可,更是為銷售易順利支撐大中型客戶提供了有力保障。
安全無止境,銷售易將繼續砥礪前行,為保障客戶數據安全貢獻力量,讓安全為客戶的業務保駕護航!