如何快速了解企業網盤的安全性？（技術貼）

《啟示錄》裡說，驗證産品是否值得開發可以從這3個方面去證明：

可行性測試：技術上是否能實作？

可用性測試：使用者是否明白如何使用？

價值測試：使用者是否渴望使用？

以上3點雖然是從産品視角來衡量的，但是從使用者視角來衡量，依然适用。

可行性：産品用着是否穩定？

可用性：産品功能是否易用？

價值：産品是否有使用的欲望？

具體可以一把鎖為例。可行性是指用這把鎖的打開的成功率是否100%？可用性是指這個鎖打開友善嗎？價值是指它的吸引點在哪，為什麼要用這把鎖而不是那把？或者說為什麼要用鎖，不用可以嗎？

但是對于一款企業網盤來說，光是有上面3點并不夠，還需要加上一點：安全性。

企業網盤安全嗎？這對使用者來說是第一重要的事，這也是使用者最關心的事。

企業網盤如果可行性低、可用性差、價值小，這些問題使用者或可将就或可棄用，損失的是時間，是一定的試錯成本，尚在掌控範圍内。

但如果企業網盤的安全性弱，就極有可能發生重要檔案丢失、核心資訊洩露等嚴重事件，給公司帶來不可估量的損失。

企業網盤的安全性是如何衡量的？

企業網盤的安全性關鍵在于兩點：資料傳輸的安全和使用者權限。前者是負責外部操作環境的安全性，後者負責使用者内部使用時的安全性。

想了解前者，需要我們掌握一定的知識技能；後者，則需要我們親自去體驗相關的産品。這次，我們主要談的是資料傳輸的安全。

資料傳輸的安全

說到資料傳輸的安全，就不得不先聊一聊 HTTP、SSL / TLS 以及 HTTPS 。

什麼是HTTP?

HTTP是一個網絡協定，專門用來傳輸網站上的内容資料。但是它的協定是明文的，傳輸内容易被偷窺和篡改。所謂明文就是沒有加密的文字或字元，一般人都能看懂。對應的還有密文，即加密過的文字。明文和密文的差別就像是普通密碼和摩斯密碼的差別。

什麼是SSL / TLS ?

SSL / TLS，是一個安全套接層，由網景公司（Netscape）設計。它的出現是為了解決HTTP的明文易洩露問題，給HTTP套上一個加密層，讓傳輸的内容更安全。它可以采用兩種加密算法：對稱加密和非對稱加密。

在對稱加密中，AES的加密方式強度最高。AES 又包含三種密鑰長度（128、192、256），目前都是安全的，但AES 256 的安全度更好。

非對稱加密以RSA為主。由于非對稱加密影響資料傳輸效率，是以這兩種加密方式組合使用效果更好。

什麼是HTTPS?

HTTPS 即 HTTP + SSL / TLS。

HTTPS 就是在HTTP 資料外面加了一個SSL的安全套接層。最開始HTTP是和SSL一起使用的，從SSL1.0 到SSL 4.0，後來又演變成TLS 1.0。TLS 是 SSL 廣泛使用後的标準化名稱。現在比較安全的加密方式是HTTPS +TLS（1.2）。

這個安全性較之前提高了多少呢？就好比原來的HTTP 是塑膠水管，容易破，現在的 HTTPS 在原來的塑膠水管外，又加強了一層金屬水管。

在目前的網際網路環境下，網站采用 HTTPS 加密協定早已成為事實标準，但不是法律标準。目前，國内仍有諸多未采用 HTTPS 協定的網站，比如各大門戶網站。

不過，如前文所述，企業網盤的安全性很重要。是以，目前國内的企業網盤基本都采用了HTTPS協定，但注意，不是所有的。并且，有的即便采用了HTTPS協定的，安全等級也各不一緻。

因為，想采用HTTPS協定也不是張口即來的，還得有HTTPS證書。目前主流的SSL證書有3種：DV SSL 、 OV SSL 、EV SSL。其中，EV SSL 是業界安全級别最高、驗證稽核最嚴格的頂級 SSL 證書。

如何了解一個網站有沒有使用HTTPS協定？

現在大多數浏覽器，在我們輸入網址後，都會自動判斷它有沒有采用HTTPS協定，并标記出來。如Chrome、Safari、Firefox 等等。

以Chrome為例，采用了HTTPS協定的，網址前面會有一個綠色小鎖。反之，網址前面是一個感歎号。

以上截圖來自Chrome

如何了解一個網站使用的HTTPS協定的安全級别？

浏覽器是個好東西，它不僅可以幫我們鑒定網站是否采用了HTTPS，也可以讓我們檢視網站的HTTPS證書，了解該網站采用了哪種 SSL 證書，加密方式是什麼。

以谷歌浏覽器為例，打開一個網站後，在頁面任意處，點選滑鼠右鍵，選擇“檢查” → “Security” → “View certificate”，即可檢視該網站的證書詳情。

以上截圖來自Chrome

或者，也可以通過第三方檢測機構，如Qualys（www.qualys.com），進行安全等級檢測。該網站的評級結果按26個英文字母排列，最高等級為A+，最低等級目前為T。

打開Qualys官網，選擇“Test your sever”。

然後在“Hostname”處輸入要檢測的網址，點選“Submit”送出後，等待幾分鐘，就可以看到檢測結果了。

通過上述兩種方式，我們可以了解到一個企業網盤的資料傳輸安全性，它究竟值不值得使用者信賴使用。

在這一方面，巴仔可以很自豪的說，我們内容傳輸的安全性處于業界最高水準。

我們采用的是HTTP+TLS 1.2協定，使用的是對稱加密算法中的最進階的AES 256，獲得的 HTTPS 證書是超強級的EV SSL證書。這些都可以在浏覽器内檢視到。

截圖來自Firefox

截圖來自Chrome

并且，巴别鳥還獲得了Qualys 的最高評級 A+ 。目前僅有屈指可數的企業網盤達到這一評級。

截圖來自Qualys網站