又一次被心理测试系统的安全性问题困扰
或许是以前没有关注心理测试系统的安全性,因为软件多是部署在用户服务器上,作为心理测试系统工厂,只需做好产品本身的安全性就可以了。
昨天委托我们定制心理测试系统的某集团机构,表示自己网络安全防控不适合内部员工远程登录,希望将产品部署到我们的服务器上,类似于托管。这样就要保证注册用户信息的安全。
后来了解到《数据安全法》可能下半年就出台了,涉及超过五十条个人信息的泄露,管理方会承担相应的风险。面对这个硬性要求,感觉将心理测试系统部署在本地才是醉合适的,而不是通过我们的服务器来架设。
负责底层架构的潘工,提出了解决方案,就是涉及电话及身份信息隐藏转码的方式,可以一定程度上对个人信息做防护,避免这些信息直接外露的风险。
不过,从技术层面,如果有黑客攻击我们所用的服务器,内部转码的文档也会被获取,这样对黑客来说,信息也是裸露直白的。这种转码也仅对技术外行有用,对真正获取定向信息、做破解的黑客来说,只能说增加了一层围栏。
当周围安静下来后,再次想到3D心理数字沙盘在防破解方面所做的工作,我想,除了在用户个人信息做安全防护,还要在结果报告上也做防护。可能醉终这样的想法,在心理测试系统上也会被技术否定,因为远程服务器部署的心理测试系统与单机或局域网运行的3D心理数字沙盘,是不一个频道的,在安全方面。
这个安全性问题,如果彻底解决,看似很难了,至少对我们这样的小公司来说是有一堵墙。特殊领域的网络都是封闭式部署,在这方面具有现实意义。这就跟办公室或家里某个房间的单机放置的电脑没有任何外网一样,软件在这电脑里安装,除非有人在电脑前才能登入或破解。
如果是这样,远程网络版的心理测试云系统,就没有远程的便利性了。
思来想去,依然对这种心理测试系统安全性所困扰,看来完全肯定的安全只是一种理想。只要运用远程网络,就难以摆脱双刃剑的威胁。这方面的头疼问题,让技术们思考去,我还是省点心吧。
