在企業的業務運轉過程中，要用到各種各樣的B端軟體服務，包括CRM系統，ERP系統，財務系統，報表系統等等，企業的核心資料都會在這些系統上流轉。我們先透過一張流程圖來梳理一下可能導致企業資料洩露的環節有哪些：

從這張圖中，我們可以清晰地看到，提供產品的企業、駭客和使用產品的企業都有可能成為企業資料的洩漏源。那麼，對一款B端產品進行安全性評估時，我們就可以從以下3個大方向進行考慮：1、提供該產品的企業是否會竊取客戶的資料或者操作失誤導致資料丟失。2、該企業提供的產品是否存在嚴重的安全漏洞，被駭客攻擊導致資料洩露。3、該產品是否提供完善的措施防止企業內部員工竊取資料或操作失誤導致資料洩露。我們可以看到，企業資料洩露的威脅來自於內外部，而且這3個大方向的關係是層層遞進的。但是如果我們只看到這些大方向，還遠遠不夠。只有把每一個方向都分解到最細節的點，才能夠真正幫助我們去進行B端產品安全性的選型評估。1、首先來看第一個方向： 提供該產品的企業是否會竊取客戶的資料或者操作失誤導致資料丟失。很多時候，我們在進行B端產品選型時，我們會下意識地選擇那些口碑好，實力強的公司，而下意識地pass掉那些新成立，沒聽說過的小公司。這種下意識是有道理的，從實際情況來看，口碑好實力強的公司一般也要比沒聽說過的小公司更加安全。但是不是說這樣的企業就絕對安全呢？或者說我們是不是隻要隨便挑一家這樣的大公司就行了呢？顯然是不行的。否則騰訊雲安全事件的就不會引起這麼大的波瀾。所以，除了口碑好，實力強，我們還可以從以下幾個細節點來評估：1) 是否能夠私有云部署，從源頭上掃除產品提供方監守自盜的或者操作失誤導致客戶資料被盜的可能性。2）是否有一套產品提供方內部員工操作資料的行為規範和萬一發生了操作失誤的搶救措施。3）是否能夠在一旦發生了因為產品提供方的失誤而導致的客戶資料丟失時進行合理地補償。2、再來看第二個方向：該企業提供的產品是否存在嚴重的安全漏洞，被駭客攻擊導致資料洩露。這可能是大部分人在進行B端軟體產品選型時首先會想到的點，那麼就像文章開頭問的那樣：是不是對方提供一個安全檢測報告就夠了？顯然也是不夠的。安全監測報告只是一種基本的滯後的安全漏洞掃描，除了這些被動的安全漏洞修補措施，安全的B端軟體產品還應該提供主動的安全防禦措施。所以我們可以從以下幾個細節點來評估：1）是否會定期檢測和修復安全漏洞，並定期持續更新安全補丁，保證系統的安全性，可以讓該企業提供權威檢測機構的安全報告。2）是否採用了先進的加密演算法，所有需要加密資訊儲存和傳輸的地方，使用經過時間考驗、業界認可的加密演算法。3）是否提供基本的web應用防護，如檔案上傳校驗，SQL防注入，XSS跨站攻擊防護，SessionID加密防止遍歷，防止CSRF跨站請求偽造等。4）是否提供登入防暴力破解措施，即可設定對使用者的登入進行驗證，如簡訊驗證、郵箱驗證和滑塊驗證等，防止機器登入及他人盜用密碼。連續登入失敗鎖定賬號或ip，防止遍歷暴力破解密碼。5）是否提供強密碼策略，管理員可設定密碼複雜度限制，登入時如密碼不符合強度限制需要先修改密碼才能登入平臺。提供定期修改密碼選項，到規定時間時提示客戶修改密碼，且新舊密碼不允許相同。3、最後來看第三個方向：該產品是否提供完善的措施防止企業內部員工竊取資料或操作失誤導致資料洩露。很多公司往往會忽略來自公司內部的資料安全風險，但有統計顯示，“內鬼“和操作失誤造成的資料洩露佔到了企業資料洩露事件的很大一個比例。因此，B端產品中是否提供完善的措施，防止企業內部員工竊取資料就非常重要。同時，企業員工誤操作也在所難免，關鍵是產品能否提供完善的提醒和回覆機制。所以我們可以從以下幾個細節點來評估：1）是否提供完善的許可權管理功能，將許可權劃分為管理許可權、目錄許可權、模板許可權和資料許可權，這些許可權可以快捷地分配給相應的部門，角色或者使用者，也可以快捷地禁用相應的許可權，防止越權行為的發生。2）是否提供全面的日誌審計功能，所有使用者的訪問，上傳、下載、匯出等操作都會記錄詳細的的IP、時間、操作專案等，方便客戶可以發現異常操作並且定位到操作源。3）是否提供易用的安全水印功能，可以透過公式自定義要顯示的水印，如水印中顯示使用者的暱稱、手機號、ID時間等，一方面提醒使用者這是敏感資料，嚴禁外洩，另一方面也在出現資料洩露時，便於定位洩露源或提高洩露成本。4）是否提供強大的資料備份功能，客戶可以主動進行資料備份，或者設定定時備份，這樣即使出現一些操作失誤，也可以回到原來的狀態，消除或者減少誤操作帶來的損失。5）是否提供敏感操作提醒功能，當用戶進行一些如刪除資料、許可權、模板等敏感操作時，出現彈框提醒可能會造成的風險，客戶瞭解風險後可以繼續進行該操作或者取消本次操作。以上就是面對B端產品安全性，在企業評估方面的一些個人建議，供大家參考。