最近,有幾位在銀行、運營商(電信、移動)、招聘/旅游/即時通訊等web2.0網站負責內網安全維護工作的朋友,在聊天時不約而同地提到了一個話題:在CallCenter(呼叫中心),怎樣讓客服人員能夠最大程度接觸他們需要接觸的信息,同時還能保護客戶的信息?
他們的一個困惑就是:客服人員的薪水普遍不高,但是又往往能夠調閱查看,甚至導出各種客戶信息——這些信息中,可能包括我們的通訊記錄、醫療保險信息、銀行存款記錄、信用卡消費明細等等……
如果要降低客服人員的查閱權限,一方面可能會影響他們為客戶提供更好的服務,另一方面,對客服人員使用的終端應用程序進行修改定制,成本也及其高昂。
我們可以看看前幾個月的新聞中,對這個話題是怎么描述的:
-
2008年5月,香港連續爆發1.6萬名病人資料、16萬銀行客戶資料、4.4萬市民個人資料等泄密;
-
2008年6月,深圳10萬孕產婦個人信息遭泄露;
這些信息,是怎么流傳到外部的呢?究其根源,泄密的渠道主要有這么幾個:
-
數據庫管理員(DBA)主動泄密;
-
CallCenter(呼叫中心)客服人員主動將文件導出外發;
-
保存導出文件的存儲介質(U盤、光盤、移動硬盤等)管理不善;
-
網絡安全防范不當導致黑客入侵;
明確根源之后,再做解決方案的調研,就容易做到有的放矢,對這些問題,我提出的解決方案是:
管理方面:
與員工(尤其是DBA)簽訂保密協議,從法律角度先站住腳;
對DBA采用"高薪養廉"的方法,提供更好的待遇——同時也提高他們的責任心。
技術方面:
首先,采用企業級的電子文檔安全系統,例如鐵卷,然后:
-
在裝有CallCenter客戶端應用程序的電腦上安裝鐵卷電子文檔安全系統的Agent程序和我們定制的安全瀏覽器,我們設定該瀏覽器只能訪問特定服務器;
-
客服人員通過應用程序存取數據庫/WEB SERVER;
-
客服人員導出資料至各類常用格式;
-
客服人員可以(操作與過去相同,不受影響)通過受保護的應用程序打開導出的文件;
原理如下圖所示:
圖一
此時,該文件受加密控制,無論是客服人員希望主動外發,或是拷貝到U盤帶走,甚至是他們的電腦被黑客/病毒入侵,導致文件被批量盜走,取走的文件,都將處于加密狀態,完全不用擔心泄露風險。
關于電子文檔安全系統更多信息,可以訪問:http://www.unnoo.com獲得,也可以通過Google或者百度搜索"電子文檔安全系統企業應用",獲得更多相關商業應用資訊。
其次,可以采用數據庫審計產品,記錄下可疑的數據庫訪問操作,包括實時審計用戶對數據庫系統的所有操作(如:插入、刪除、更新、用戶自定義操作等),精細還原SQL操作命令包括源IP地址、目的IP地址、訪問時間、用戶名、數據庫操作類型、數據庫表名、字段名等,實現安全事件準確全程跟蹤定位,為事后追查取證提供有力支持。
圖二
通過這樣管理與技術兩手一起抓,我們能對呼叫中心的客戶信息安全管理,起到一定的保駕護航作用。如果您有更好的解決方法,歡迎探討。
共有條評論
