FineReport产品君:历时365天,我们为什么要做数据安全?

我是社区第148135位番薯,欢迎点我头像关注我哦~
作为FineReport的产品经理,我们注意到近年来的网络安全形势越来越严峻,信息泄露问题层出不穷。帆软产品作为我们合作企业的报表中心,承载着企业最重要的数据资源,保卫客户数据安全的责任重大。

基于此,FineReport产品组将安全模块作为FineReport10.0版本更新中的重点模块,在系统安全性方面做多方位的优化,主要包括修复现有安全漏洞和增加主动防御措施两方面,基本覆盖了现有客户提出的安全性需求。

历时365天的设计、研发与测试,产品君对于FineReport10.0的安全模块信心满满。

然而,这些安全性优化是否符合客户的真实需要?是否还有客户需要但是被我们遗漏的安全性需求?目前帆软客户的信息安全现状到底是怎么样的?这些都是需要跟客户进行直接沟通的。
所以,带着这些疑惑,FineReport产品线组织进行了一次安全性相关的客户拜访调研。下面产品君给大家讲下这次调研的过程和结论。

首先来看下产品君在FineReport10.0安全模块做的4个方面措施:

1、 应用安全方面:FineReport10.0将采用更安全的SHA256算法+RSA加密,用token代替cookie,并修复了一系列已知的漏洞,来应对常见的威胁。新增cookie增强、文件上传校验、Security Headers及访问控制等一系列安全防护功能。

2、账户安全方面:FineReport10.0提供了更多的账号安全措施,包括单一登陆控制,异常登录地点提醒,访问频率控制,登陆防暴力破解,强密码策略等。同时提供更加详细的审计日志,记录账户下对资源的所有访问情况,包括操作人、操作时间、ip地址、资源对象、操作名称及操作情况,方便进行安全分析,并满足客户审计要求。

3、数据安全方面:FineReport10.0提供完备的权限控制,提供多种权限验证方式,开启角色权限控制后,无论从平台或者是通过url,未被授权的用户都无法访问相应报表,并避免了水平越权和垂直越权情况的发生。同时对密码信息统一进行加密存储,所有密码不再在请求中出现明文,统一加密传输。最后,提供更加定制化的水印功能,且不会被背景等遮挡,可降低数据泄露的风险。

4、运维安全方面:FineReport10.0提供定期的系统备份,保证系统被恶意更改后可恢复。同时,管理员账户对用户进行操作或对系统设置进行更改时,将有日志保存操作记录,包括操作人、操作时间、源IP地址、资源对象、操作名称及操作状态。客户可以实现安全分析,资源变更追踪以及合规性审计等。

带着做出来的产品,产品君从帆软的近万家客户中挑选出22家在历史纪录中有过安全性相关问题或者需求的客户。在炎炎夏日中,开启了“南京—合肥—杭州—苏州—上海—深圳—厦门—福州”的调研之旅,下面来看下调研数据:

是否有专职的信息安全人员
企业微信截图_1537166229705.png

是否发生过信息安全事故
企业微信截图_1537166329892.png
购买信息产品时是否会扫描漏洞
企业微信截图_15371664157735.png

是否因为安全问题弃买过产品
企业微信截图_15371665407999.png

安全性关注度综合评价
企业微信截图_15371666375622.png
安全性功能点关注情况
企业微信截图_15371671351377.png

看到上面的6张图表,产品君就放心了,因为这几张图表至少反映出下面几个问题:

1、绝大部分帆软客户对于企业安全越来越重视

82%以上的客户会设置专门的信息安全人员,59%以上的客户表示该企业会在购买信息化产品时进行扫描,32%以上的客户发生过信息安全事故,23%以上的客户表示该企业以往有因为产品的安全问题而弃买过产品。这说明客户确实面临着非常严峻的信息安全威胁,同时他们也意识到了加强信息安全措施的重要性。

本次被访客户有45%的客户安全关注度等级为高,即客户表示关注安全性,实际行动上也采取了比较完备的措施。41%的客户安全关注度等级为中,即表示关注安全性,但实际行动上还没有采取比较完备的措施。而这些等级为中的客户往往也是因为目前企业发展阶段和实力不足以去采取更加完备的安全措施,但是只要有这种意识在,随着企业的发展壮大,安全等级提高也是水到渠成的事情。

2、FR10.0做的安全性优化符合客户的真实需要

上文已经列出了FR10.0版本所做的安全性方面的措施,此次调研中,22家被访企业有10家对水印功能表示需要或者感兴趣,这也说明我们对于水印功能的深度优化是有普遍需要的。同时,每个企业都表示非常需要其中的一些安全性功能点,有些更关注账户权限,有些更关注传输加密,但是所有的功能点都是有需要的。即使是一般企业用不到的三员管理功能,对于军工企业来说也是一个必要的安全措施。

这说明FR10.0中所做的安全性措施确实是客户的真实需求,而不是产品君自己拍脑袋想出来的。

3、没有发现客户需要但是被产品君遗漏的需求

本次客户拜访调研,除了以上两点问题外,产品君尤其关注是否还有客户需要但是被我们遗漏的安全性需求?让我们遗憾但也自豪的是,并没有!这也肯定了FR10.0安全模块更新的先进性,产品君做的功能点基本覆盖了客户已有的安全性需求~

当然,就像文章一开始所提到的,企业面临的信息安全现状越来越严峻,信息安全威胁也在不断变化,帆软要做的就是尽自己最大的能力,不断加强产品的安全防护措施,提升应用的安全等级,保护好客户最重要的数据资源。

以上就是产品君这次客户调研的起因,过程和结论,通过和这些客户的当面沟通,基本上验证了FR10.0安全模块的先进性。最后产品君再次提醒各位同学,数据是21世纪企业的黄金和原油,是企业的核心资源,产品君会不断提升帆软的产品安全等级,也希望大家能够重视起来哦~





参与人数 +1 F豆 +50 理由
15310294538 + 50 太棒了,给你32个赞,么么哒

查看全部评分

发表于 2018-10-16 09:24:39
数据安全很重要
发表于 2018-10-16 09:47:55
发表于 2018-10-16 10:29:51
发表于 2018-10-16 13:52:29
数据安全,不出事没事,一出事就!!!
发表于 2018-10-26 17:14:58
您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

7回帖数 1关注人数 6786浏览人数
最后回复于:2018-10-26 17:17

返回顶部 返回列表