2016年,雅虎先后证实共超15亿用户信息遭窃,涉及用户姓名、电子邮箱、电话号码、出生日期和部分登录密码,刷新了当时人类大规模数据泄露的新记录,堪称数据泄露之最“牛”事件。
2017年,新型"蠕虫"式勒索病毒WannaCry(中文直译为“想哭”)爆发,席卷全球。这场全球最大的网络攻击已经造成至少150个国家和20万台机器受到感染。受害者包括中国、英国、俄罗斯、德国和西班牙等国的医院、大学、制造商和政府机构。
2018年,全国200多家三甲医院检出勒索病毒,随后在腾讯智慧安全发布的《医疗行业勒索病毒专题报告》中指出:在全国三甲医院中,有247家医院检出了勒索病毒,以广东、湖北、江苏等地区检出勒索病毒最多。
2019年,酒店连锁巨头喜达屋母公司万豪国际酒店表示,经过取证和分析团队缜密调查后发现,因大数据泄露,有超过500万个未加密的护照号码和大约860万个加密信用卡号码被盗 。
信息安全事件年年有,随着互联网应用的日益深入,安全问题已成为关乎政府、企业乃至个人信息安全的关键。2018年欧盟的“通用数据保护条例”(GDPR)正式生效,这项条例赋予欧盟公民更多的个人数据控制权,另外对那些收集、处理和存储个人数据的公司提出更高的责任要求,特别是数据泄露,这一举措再一次将信息安全保护推向高潮。
在企业服务领域,信息安全也正逐步成为企业管理者在采购各种软件时重点考虑的特性。忽视信息安全的重要性,最终因为安全事件导致企业蒙受巨大损失甚至破产的案例比比皆是。以曾经全球最大的比特币交易平台Mt.Gox为例,由于系统漏洞遭到黑客攻击,85万个价值5亿美元的比特币被盗一空,全球超过30万比特币投资者损失惨重,平台血本无归宣布破产。
销售易作为企业级新型CRM开创者,一直对信息安全保障体系建设十分重视。早在CRM产品设计之初,公司就已经将“安全性”作为销售易CRM产品的基本属性进行规划和设计,经过几年来的不断努力,已经形成了一套卓有成效的信息安全保障体系,并且持续深入建设。每个大客户签单的背后,安全保障体系都在经历一次次验证,面对客户聘请的国外专业安全机构的调研,销售易也凭借着优异的成绩顺利通过。
本文,就销售易在安全建设方面的思路以及心得做一分享,看看销售易CRM如何练就企业信息安全“保护锁”,保障企业信息安全。
信息安全体系建设讲究“木桶原理”,也就是说安全防护水平的高低由企业最薄弱的一环决定。因此,销售易安全建设思路是从多个层级形成一套纵深防御的安全体系。
当前销售易的安全体系建设是聚合了专业安全厂商的能力以及销售易自身的安全能力而形成的,覆盖网络层、主机层、应用层和数据层几个技术层级,并制定了全流程的安全管理制度。
每个技术层级都包含了多项安全工作。以应用代码安全为例,销售易参考微软SDL(Security Development Lifecycle)的思想,结合自身敏捷开发的模式制定了一套安全开发流程。
(安全开发流程图)
应用开发可以分为需求、设计、开发、测试、发布和运维阶段,销售易在应用开发的各个阶段加入了安全工作,与产品、开发、测试和运维人员一起,通过多种方式提高系统的安全性。
在每次发版之前,会有诸多安全工作,包括安全评审、白盒代码审核、静态代码扫描、渗透测试、操作系统安全基线检测及加固等。全面检测安全风险点,并快速进行风险规避或修复改善措施。
以渗透测试为例,安全测试工程师借助自动化安全工具及人工抓包分析等多种方式,评估系统中的应用脆弱性。每个功能模块均会进行交叉测试,防止因测试人员疏忽或技术擅长点不同导致漏洞未被有效发现。销售易也会聘请国内知名的有资质的安全服务商对销售易系统进行渗透测试评估,进一步保障系统的安全性。
特别值得一提的是,销售易还顺利通过了国内知名安全厂商对web端及移动端的安全渗透测试,并获得了最高等级的网站安全性认证。
正所谓“三分技术,七分管理”。在体系建设中,安全管理是非常重要的组成部分。而在管理制度的执行方面,“人”是其中最重要的环节。在文章开始的几个真实发生的安全事件中,大部分是因为人员安全意识淡薄导致的。因此销售易也把常态化的安全培训纳入了安全工作中。
在安全培训与考核方面,销售易全面开展入职员工的安全意识培训工作,并定期针对不同岗位进行安全专项培训,提高全员的安全意识及安全技能。同时,为了保证培训效果,每一场培训均安排考试,新员工必须通过安全培训考试后,方可转正;其他安全培训若考试不通过,需要重新参加学习并重考。
销售易凭借着在信息安全建设方面坚持不懈,目前已通过了ISO(国际标准化组织)20000、ISO 27001以及公安部安全等级保护三级认证。其中ISO 27001是基于国际标准对销售易公司安全管理制度及流程符合度的认证,是国际上普遍认可的安全资质。公安部安全等级保护三级认证,是针对销售易CRM业务系统的整体安全性的认证,这也是国内非金融领域安全方面的最高认证。
同时,销售易的安全工作也得到了包括中国工商银行、联想集团、上海电气、金山软件、沈鼓集团等众多500强龙头企业的认可,更是为销售易顺利支撑大中型客户提供了有力保障。
安全无止境,销售易将继续砥砺前行,为保障客户数据安全贡献力量,让安全为客户的业务保驾护航!
