对企业移动CRM的安全性研究
悠虎 发表于:13年06月07日 15:00 [转载] 比特网
随着经济全球化、一体化趋势的发展,市场供给由相对短缺走向相对过剩,企业与客户的关系在保持企业竞争优势中显得尤为重要。与此同时,互联网技术、移动通信技术和其他技术的飞速发展,使得企业的营销人员,服务人员不再受地点时间的限制,能够随时随地的响应客户,从而提高客户的满意度。毫无疑问,传统的CRM已无法满足这种不受地点和时间限制的需求,这就使得移动CRM应用而生。
1 移动CRM概述
1.1 理论基础
移动CRM的产生是以“一对一营销”为理论基础,同时将移动技术的应用整合到企业的CRM战略中,创造和交付高度个性化并具有低成本、高效率的营销和服务,同时实现辅助企业经营决策。移动CRM在技术上主要是将传统CRM的管理功能扩展到移动设备上,为客户提供定制的、基于现场的实时服务,满足企业开展个性化一对一营销的要求和对“随时、随地、随心意”的客户交互能力的追求。通过应用移动CRM,不仅可以提高企业营销能力,降低成本,控制营销服务过程中可能导致客户不满的各种行为,而且还牢固掌控客户资源的同时,还可以极大满足客户个性化的服务。从而达到客户与企业的关系无缝化,客户满意度、忠诚度的最大化。
1.2 体系结构
众所周知,传统的CRM系统可以分为三个层次:界面层、功能层和支持层。其中界面层是用户与系统之间进行交互、获取或输入信息的接口,而移动CRM系统的正是对传统CRM系统的界面层的一个扩展。移动CRM系统主要是为无线移动设备如手机,PDA通过无线网络访问公司CRM数据做了相应的支持。我们可以看到移动CRM在具体实施发挥其功能的时候,是通过无线网络与有线网络互访实现的。由于无线设备的内存和计算能力有限而不能承载大部分的病毒扫描和入侵检测的程序,从而使移动CRM系统不仅面临新的安全威胁,还有传统CRM体系的所存在的威胁。
2 移动CRM面临的安全威胁
从移动CRM的体系结构的分析中可知,移动CRM系统不仅要受到传统CRM系统的有线网络安全威胁,同时还要会受到因扩展到移动设备的移动CRM系统无线网络的安全威胁。对于传统的CRM系统的有线网络的安全措施,已经有比较好的解决方式。因此,我们在这里主要就移动CRM系统在运作过程所面临无线网络的安全进行分析。总的来说,移动CRM系统在无线网络及其无线设备存在以下几个方面的安全威胁:
2.1 无线网络本身的威胁
移动CRM实现的是移动设备通过无线通信网络访问企业服务器,因此,在无线网络传输过程中可以不像有线网络那样受地理环境和通信电缆的限制就可以实现开放性的通信。无线信道是一个开放性的信道,它给无线用户带来通信自由和灵活性的同时,也带来了诸多不安全因素:如销售人员通过移动设备访问销售底价时,所获取的内容很容易被窃听、通信双方的身份容易被假冒,以及通信内容容易被篡改等。
2.2 网路漫游的威胁
在无线网路中的攻击者不需要寻找攻击目标,攻击目标会漫游到攻击者所在的小区。在终端用户不知情的情况下,信息可能被窃取和篡改。服务也可被经意或不经意地拒绝。交易会中途打断而没有重新认证的机制。由刷新引起连接的重新建立会给系统引入风险,没有再认证机制的交易和连接的重新建立是危险的。连接一旦建立,使用SSL和WTLS的多数站点不需要进行重新认证和重新检查证书。攻击者可以利用该漏洞来获利。
2.3 物理安全
无线设备另一个特有的威胁就是容易丢失和被窃。因为没有建筑、门锁和看管保证的物理边界和其较小的体积,无线设备很容易丢失和被盗窃。对个人来说,移动设备的丢失意味着别人将会看到电话上的数字证书,以及其他一些重要数据。利用存储的数据,拿到无线设备的人就可以访问企业内部网络,包括Email服务器和文件系统。目前手持移动设备最大的问题就是缺少对特定用户的实体认证机制。
3 移动CRM的安全措施
针对上述的安全威胁,本文提出如下的安全措施:
3.1 网络访问保护
VPN(virtual private network)是移动CRM系统常用的安全措施。所谓的VPN就是终端用户和企业服务器之间通信的安全通道。利用这中方式,用户可以确认数据在传输过程中不被任何第三方看到,大多数VPN都需要使用VPN终端即驻存在移动用户设备上的一些软件。要建立一个VPN连接,客户端软件会提示用户输入用户名/密码或出示数字证书。另外VPN客户端软件还具有连接“超时”功能,即如果一下连接长时间处于非活动就会被中断。这一功能有助于防止黑客利用开放的连接进行攻击。
从网络层次结构来说,VPN运行于应用层之下。因此,应用程序并不知道它们运行于VPN上。对于CRM的用户来说,无论是用手设备访问CRM数据库还在开放的互联网上,他们都会感觉到在公司内部网络内。之所以产生了这种感觉,主要是因为VPN采用了安全的连接和功能强大的加密的身份验证。
3.2 瘦型客户法
对CRM数据本身及其访问保护可以采用瘦客户法,该方法对后端CRM系统的访问进行限制。所谓瘦型客户就是能够向移动设备发送或从移动设备接收一小段通信软件,但是,实际的CRM软件和命令运行于远程的服务器上,瘦型客户只是简单地把命令传递给服务器,或者响应服务器。这样,除了内存了以外,CRM数据并没有真正地存储在移动设备上。
应该注意的是,许多瘦客户解决方案会明显降低CRM应用程序的性能。为了不至于明显降低CRM应用程序的性能,一定要选择适用于常规销售环境的瘦型客户。
3.3 回拨法
为了进一步提高安全性性能,也可能选用回拨技术。回拨系统要求用户首先进行身份验证,然后,根据用户提供的信息,如电话号码,中央处理机拨打这号码与用户的移动设备连接。随着因特网的日渐普及和流行以及一些更高级无线网络的出现,只有需要特别安全的领域才使用回拨技术。通常情况下,由于回拨系统的代价较高,大多数企业都不愿意使用这种解决方案。也许,拥有CRM系统的政府或军事部门有可能使用回拨技术解决方案。另外,采用这种安全技术的移动用户所面临的一个挑战是他们不可能长时间呆在同一个地方,而回拨技术要求根据预先得到的电话号码找到同一个用户,而且,只有这样才能与用户建立连接。
以上的方式对于解决无线网络以及移动手持设备本身的一些安全威胁还是比较有成效的,对于由于无线设备物理上的丢失所造成的安全威胁,目前只能依靠对特定用户的实体认证机制的提出来解决。
4 结论
移动CRM的应用能够帮助企业更加方便、快捷地访问有关用户的信息的数据,从而增加对用户的销售和技术支持力度。本文从移动CRM的体系结构出发,提出了在移动CRM运行过程中可以遭受到的安全威胁并据此提出了对应措施。随着越来越多的企业应用移动CRM系统,相信关于移动CRM安全性的研究也会有更进一步的发展。