Salesforce Trust

目前关注安全性

Salesforce 作为客户安全性的有效合作伙伴,承诺设置软件即服务标准。

 

最佳安全实践

Salesforce 致力于帮助客户更安全地访问服务。随着未来安全威胁的不断升级,我们强烈建议客户采取措施,防止他人非法访问您的 Salesforce 组织。

我们强烈建议 Salesforce 管理员考虑采取以下步骤,以使 Salesforce 用户尽可能安全地体验服务,同时保护公司数据。以下在 Salesforce 中可用的安全功能可以提供最终用户验证或身份验证的附加层:

双重身份验证

“双重身份验证”要求在进行所有登录时都使用登录凭据和二次身份验证。使用 Salesforce Authenticator 或来自安全供应商的类似解决方案就可以符合这一要求。如果登录时没有这两个来源的有效凭据,就不会取得访问 Salesforce 的授权。在帮助和培训中,了解如何实施此功能。

登录 IP 范围

登录 IP 范围会要求用户从指定 IP 地址(一般是贵公司网络或 VPN)登录 Salesforce,从而限制非法访问。通过使用登录 IP 范围,管理员可以定义允许的 IP 地址范围,控制对 Salesforce 的访问。如从指定 IP 地址范围外的地址登录 Salesforce,则不会获得访问授权。如果您使用 Professional、Group 或 Personal 版,可以从“安全控制 > 会话设置”中配置“登录 IP 范围”。如果您使用 Enterprise、Unlimited、Performance 或 Developer 版,则在“管理用户 > 简档”下配置“登录 IP 范围”。了解如何实施此功能。

TLS 1.1 或更高版本

从 2017 年 3 月 4 日开始,Salesforce 将需要安全组织连接,才能使用最新协议 TLS 1.1 或更高版本,以提供更加安全的环境和连续 PCI 合规性。使用 TLS 1.0 的组织必须升级,才能持续访问 API 集成、连接社区和站点、合作伙伴应用程序交换和用户浏览器访问。

请查看您的用户和集成如何连接 Salesforce,以确保这些连接准备支持 TLS 1.1。为找出仍在使用 TLS 1.0 的用户或集成,管理员可以将“TLS 协议”和“TLS Cipher Suite”字段添加到登录历史报表

为成功迁移,您应在实施禁用前采取操作。您可以下载 TLS 1.0 禁用就绪核对清单 (PDF),以了解有关如何为此更改做准备的最佳实践。

有关更多信息,请查看Salesforce 禁用 TLS 1.0,并将您的问题发布到官方:Salesforce 基础设施 Success 社区小组。您也可以观看安全连接:TLS 1.0 禁用如何影响贵组织(网络研讨会),以了解专家对禁用的看法。

如果您有其他问题,可以在“帮助和培训”入口网站上通过“支持”打开个案。

为用户培训有关网络欺诈的信息

Salesforce 强烈建议为所有 Salesforce 用户进行网络欺诈培训。大部分网络攻击会使用恶意软件(可疑软件),以使计算机感染旨在偷窃密码、数据或中断整个计算机/网络的恶意病毒。幸运的是,您不必成为帮助阻止恶意软件的安全专家。

您可以为 Salesforce 用户提出一些简单的建议:

告诉用户不要被网络欺诈所欺骗,也不要单击可疑电子邮件中的链接,或打开其中的附件。其中一个最有效的网络攻击技术是诱骗用户单击安装恶意软件的链接或打开安装恶意软件的附件。这些均称为网络欺诈电子邮件,因为这会诱使您打开电子邮件。网络欺诈电子邮件可以说是来自一家真实公司(包裹递送、工资单、IRS、社交网络等)的有趣、有用的消息,或看起来合法的消息。

告诉用户始终不要打开来自未知来源的电子邮件。黑客想要用户单击链接,这样他们就可以感染用户的计算机。相似地,告诉用户应根据来源以及是否合理评估从未知来源收到的电子邮件。如果不是,则可能是恶意电子邮件。发件人地址应始终进行验证,且可以将鼠标悬停在 URL 的任何链接上,以对其进行验证。例如,如果链接来自 Salesforce,则将鼠标悬停在链接上应显示以“.salesforce.com”结尾的 URL。

如果您或您的任何用户不确定 Salesforce 电子邮件是否合法,则将该电子邮件转发到 security@salesforce.com。请查看下方最近网络欺诈示例

My Domain

My Domain 允许您将自定义域添加到 Salesforce 组织 URL。拥有自定义域可让您突出显示品牌,并使贵组织更加安全。此外,这允许您遵照最佳实践,而不是在代码和集成(例如 na1.salesforce.com)中指定实例名称。在任何未来维护期间,遵照此最佳实践将为您和您的最终用户提高更加出色的无缝体验。

使用 My Domain,您可以定义是 Salesforce 域的一部分的自定义域。自定义域实际上是主域的子域。如果我们使用 Universal Containers 示例,则其子域将是“universal-containers”;在此 My Domain 示例中为 https://universal-containers.my.salesforce.com。

自定义域名可帮助您以多种重要方式管理贵组织的登录和验证。您可以:

  • 阻止或重新定向不使用新域名的页面请求
  • 设置自定义登录政策以确定用户的验证方式
  • 同时在多个 Salesforce 组织中工作
  • 让用户从登录页面使用社交帐户登录,如 Google 和 Facebook。
  • 允许用户登录一次以访问外部服务
  • 使用您的唯一域 URL 突出显示您的业务身份
  • 将您的登录屏幕品牌化并自定义右框架内容

了解有关 My Domain 和如何为贵组织实施的更多信息。

密码策略

强密码安全性是保护 Salesforce 帐户的第一个重要步骤。

Salesforce 建议这些最佳实践:

  1. 密码过期 – Salesforce 建议强制用户重置密码的时间不超过 90 天
  2. 密码长度 – Salesforce 建议密码的最小长度为 8-10 个字符
  3. 密码复杂度 – 要求用户在 Salesforce 密码中包含字母和数字字符组合。
    此外,提醒用户切勿为多个帐户重复使用密码,否则这会对多个帐户造成泄露风险。最后,用户需要了解不得与任何人(在线或亲自)共享密码,这包括 Salesforce 密码。

减少会话超时阈值

用户有时会使计算机处在无人看管的状态或未注销。通过在一段时间内无会话活动时自动关闭会话,您可以避免未经授权地访问应用程序。默认超时是 2 小时;您可将此值设置为介于 30 分钟至 8 小时之间的任何时间。要更改会话超时,单击:设置 > 安全控制 > 会话设置。

网络欺诈示例

网络欺诈会使用虚假电子邮件,以使用户泄露机密信息。此类电子邮件通常似乎来自合法组织并包含似乎是该组织站点的链接,但这实际上是一个旨在获取信息的虚假站点。

通过将其转发到 security@salesforce.com,报告可疑电子邮件。

随着这些欺诈变得越来越复杂,因此很难了解电子邮件究竟真实有效,还是虚假伪造。避免被欺诈的最好方法就是了解目标内容。请查看这些最近欺诈的示例:

报告可疑电子邮件