首先,选择和数据安全相关的产品最简单的方法是看案例,案例中如果有对安全要求较高的企业在使用这款产品,大概率没问题。因为对安全要求高的企业部署一款产品后会有严格的安全检查及扫描(一般会委托第三方机构)有的政企甚至公安部会定期进行安全扫描并且给出整改通知。
譬如我们的产品巴别鸟企业网盘,服务的安全要求极高的客户就有 中国空间研究院、体彩中心、中日友好医院、中石油新家坡、MCC新加坡、昆明电力交易….这些企业因为行业和政策原因对安全都有极高的要求,能服务好他们的产品,首先安全就要没问题。
这是对于非专业用户来说最简单和不大容易犯错的判断方法。当然,需要想点办法核实下厂商案例的真实性。
其他的角度就很多了,安全无止境,有人的方面(系统使用体验是否能防止人为出错)、有系统的方面(系统结构和产品上是不是有漏洞)、也有网络和传输的层面(物理隔离?堡垒机?)。
对于网盘来说,基础的安全门槛有如下3个:
- 是否是https SSL传输
- 文件是否是分块加密存储
- 权限管理是否清晰无冲突
这个门槛没有达到的产品也就不要谈安全了,接下来以我们的产品巴别鸟企业网盘为例讲解一款产品如何保障安全性的。
首先,一个企业在安全上的诉求一般有如下几项:
- 企业可以统一管理所有文件,对属于企业的文件都有控制权,能分权管理,并且可追踪每个文件生命周期中的使用情况。
- 防止误操作造成文件泄漏。
- 防止没有权限的人有意无意获得文件并泄漏。
- 防止文件在有权限的人手中有意无意泄漏,泄漏了有迹可查。
- 防止IT管理人员通过服务器、接口获得文件。
- 防止因攻击、病毒破坏等情况造成文件丢失或泄漏。
- 防止员工离职删文件走人。
要满足这些需求的网盘简单说就是从网盘设计时的架构和技术方案、用户使用方式的交互设计、到权限管理设计的合理性这些方面都围绕安全为核心进行产品定义和研发。
其中,在产品交互设计上考虑安全其实是很多网盘没有考虑到的:
打个简单的比方,有的网盘可以简单设置每个文件每个人的访问权限,并且是勾选“只读、下载、复制….“这样的授权,看上去是很安全,但其实是不安全的。因为管理者不可能记得每个文件或者每个人的具体权限,最终导致管理混乱。譬如一个用户临时要求获得某个文件夹的高权限,但设置后管理者忘记了该用户在这文件夹有高权限,最终文件泄漏。甚至管理者最后都搞不清楚什么用户有什么权限了。
正确的做法是引入角色概念,不同的用户可以选择不同角色,通过角色统一管理一类用户的权限集合,我们只要知道用户的角色就知道用户在所在部门的默认权限,更改角色权限所有该角色的用户权限也统一更改。同时再配合独立更改文件(文件夹)权限的进行细化管理,最重要的是可以设置临时授权的有效期,并且可以统一管理所有独立授权过的文件(文件夹)
类似的问题还有很多,安全无小事,一个看似不重要的细节可能就是个毁堤蚁穴。
巴别鸟是怎么做的呢?
前方大量图片预警~~~
由此可见,一个安全的企业网盘是要有很多细节和指标进行考量的。
但是,没有什么比客户的证明来得更有效!