呼叫中心是基于數(shù)據(jù)庫(kù)的電話呼入和呼出系統(tǒng)���,信息安全對(duì)于呼叫中心尤其呼叫中心外包的業(yè)務(wù)發(fā)包方而言非常重要��,從各行業(yè)BPO來看客戶數(shù)據(jù)丟失甚至造成客戶財(cái)產(chǎn)和生命損失的案例存在不少�����。因此外包數(shù)據(jù)的安全保障�,既是業(yè)務(wù)合作前提也是運(yùn)營(yíng)環(huán)節(jié)必須要保障的核心技術(shù)問題����。
結(jié)合筆者多年外包運(yùn)營(yíng)經(jīng)驗(yàn),總結(jié)以下安全保障機(jī)制��,多角度確保發(fā)包方信息安全�����。
1.呼叫中心數(shù)據(jù)安全方案
呼叫中心外包平臺(tái)的數(shù)據(jù)傳輸保障措施包括:
*應(yīng)用安全性 :合理設(shè)計(jì)數(shù)據(jù)訪問等核心部件�����,如身份認(rèn)證、防抵賴�����、數(shù)據(jù)完整性�����、數(shù)據(jù)加密等��,防止數(shù)據(jù)不一致實(shí)時(shí)監(jiān)測(cè)應(yīng)用內(nèi)部運(yùn)行狀況����,自動(dòng)報(bào)警 �����。
*傳輸安全性:實(shí)現(xiàn)外部系統(tǒng)與內(nèi)部系統(tǒng)之間的邏輯隔離���,保證內(nèi)部系統(tǒng)的獨(dú)立和安全�,系統(tǒng)間的數(shù)據(jù)交換和傳輸采用標(biāo)準(zhǔn)協(xié)議并進(jìn)行加密和日志處理���。
*信息安全性:采用雙機(jī)熱備��、RAID磁盤陣列等方式�����,在系統(tǒng)上實(shí)現(xiàn)數(shù)據(jù)庫(kù)的自動(dòng)動(dòng)態(tài)備份���。同時(shí)在應(yīng)用上實(shí)現(xiàn)數(shù)據(jù)定時(shí)(如每小時(shí)/天/周)的數(shù)據(jù)同步����、更新�����、匯總����、統(tǒng)計(jì)和比對(duì)工作。
*網(wǎng)絡(luò)安全性:在路由器中對(duì)遠(yuǎn)端的IP地址進(jìn)行過濾���,使非注冊(cè)的遠(yuǎn)端系統(tǒng)不能建立TCP連接��。同時(shí)設(shè)立雙防火墻��,對(duì)來訪的遠(yuǎn)端進(jìn)行進(jìn)一步的權(quán)限控制和訪問控制����。
*物理安全性:系統(tǒng)各種設(shè)備所在環(huán)境應(yīng)滿足國(guó)家關(guān)于計(jì)算機(jī)場(chǎng)地站的安全要求,如對(duì)重要信息存儲(chǔ)�、收發(fā)部門進(jìn)行屏蔽處理,以防止電磁干擾等�����。
*機(jī)房管理制度:建立良好的安全意識(shí)和健全的管理制度�����,同時(shí)系統(tǒng)記錄安觀管理日志和自動(dòng)預(yù)警�。若接入INTERNET,還靠考慮病毒防御��、木馬防御和外部攻擊等工作�����。
2.應(yīng)用軟件安全保障
通過制定相應(yīng)管理措施來保證呼叫中心的信息安全����。針對(duì)人員的信息安全管理��,主要是要針對(duì)人員角色制定信息安全責(zé)任矩陣和信息安全管理制度來保證信息安全。
呼叫中心外包安全管理制度�,從規(guī)范和監(jiān)控兩個(gè)角度,對(duì)涉及到數(shù)據(jù)環(huán)節(jié)的所有人員和流程進(jìn)行約束和監(jiān)督�,專人專崗責(zé)任制,確保杜絕數(shù)據(jù)安全的人為隱患���。以下以TSR座席崗位為例��,在營(yíng)銷和服務(wù)全過程中�����,除性別和姓氏之外���,所有客戶數(shù)據(jù)均以屏蔽:
3.網(wǎng)絡(luò)傳輸安全體系
隨著信息化技術(shù)的發(fā)展,網(wǎng)絡(luò)攻擊技術(shù)發(fā)生了巨大的變化����,早期黑客主要是通過暴力攻擊獲取服務(wù)器權(quán)限來證明自我價(jià)值,而現(xiàn)在已經(jīng)逐漸演變?yōu)槔酶鞣N滲透手段�����,將目標(biāo)網(wǎng)絡(luò)內(nèi)的服務(wù)器和終端變成發(fā)展僵尸網(wǎng)絡(luò)�����,最終形成以竊取隱私、販賣數(shù)據(jù)�、拒絕服務(wù)等體系化的黑色產(chǎn)業(yè)鏈。
根據(jù)呼叫中心的具體情況��,分別對(duì)內(nèi)部服務(wù)器和內(nèi)網(wǎng)客戶端設(shè)置相應(yīng)的安全策略����,主要涉及IPS漏洞防御,AV防病毒���,惡意URL過濾和網(wǎng)絡(luò)應(yīng)用安全一體化關(guān)聯(lián)分析等安全策略�����。從而實(shí)現(xiàn)對(duì)內(nèi)部服務(wù)器的安全加固���,對(duì)內(nèi)部員工上網(wǎng)的保護(hù)��。
通過防火墻的主動(dòng)威脅防御體系提供基于行為分析�����、多種類型日志的智能關(guān)聯(lián)和威脅分析可視化的防護(hù)手段,幫助用戶有效發(fā)現(xiàn)網(wǎng)絡(luò)中存在的未知威脅并加以控制�、及時(shí)調(diào)整安全策略增強(qiáng)安全防御。隨時(shí)監(jiān)控和定位網(wǎng)絡(luò)中的僵尸主機(jī)��,保護(hù)企業(yè)網(wǎng)絡(luò)安全高效的運(yùn)行����。
4.數(shù)據(jù)存儲(chǔ)安全體系
呼叫中心結(jié)合CRM軟件,根據(jù)發(fā)包方安全要求和業(yè)務(wù)特點(diǎn)���,可提供三級(jí)保密機(jī)制����,防止各部門/崗位人員竊取數(shù)據(jù)的隱患�。
三級(jí)安全機(jī)制:通過數(shù)據(jù)隱藏和屏蔽,對(duì)非技術(shù)人員進(jìn)行數(shù)據(jù)保護(hù)�。
二級(jí)安全機(jī)制:通過數(shù)據(jù)加密、校驗(yàn)和日志���,對(duì)技術(shù)人員進(jìn)行數(shù)據(jù)保護(hù)��。
一級(jí)安全機(jī)制:對(duì)數(shù)據(jù)傳輸全過程進(jìn)行加密處理�,對(duì)所有數(shù)據(jù)接觸點(diǎn)進(jìn)行身份驗(yàn)證處理���,并由發(fā)包方技術(shù)人員全程日志記錄和實(shí)時(shí)監(jiān)控�,確保數(shù)據(jù)的100%安全。
5.終端設(shè)施安全方案
座席人員和辦公人員的PC電腦終端���,是呼叫中心數(shù)據(jù)安全隱患的入口和出口,很多企業(yè)采取了封口���、安檢�、監(jiān)控等低效手段,即耗費(fèi)大量投資�,同時(shí)安全效果不明顯���。
由于傳統(tǒng)的呼叫中心坐席用機(jī)與坐席電話完全分離����,所以無論用戶是新籌建或再擴(kuò)建呼叫中心桌面系統(tǒng)�,還是擬改變其桌面系統(tǒng)現(xiàn)狀,都可以使用云終端來實(shí)現(xiàn)����,使用云終端替代傳統(tǒng)PC作為呼叫中心桌面系統(tǒng)坐席用機(jī),僅需在坐席用機(jī)網(wǎng)絡(luò)出口處部署一臺(tái)或幾臺(tái)云服務(wù)器以供云終端用戶訪問����,而無需管理員逐個(gè)桌面安裝操作系統(tǒng)及應(yīng)用軟件���,大大減少初期軟件部署工作量;而且較傳統(tǒng)PC而言�,云終端實(shí)施起來更加方便快捷���。使呼叫中心真正成為安全的私有云呼叫中心。
6.機(jī)房運(yùn)維操作規(guī)范
機(jī)房運(yùn)行維護(hù)服務(wù)包括信息系統(tǒng)相關(guān)的主機(jī)設(shè)備、操作系統(tǒng)��、數(shù)據(jù)庫(kù)和存儲(chǔ)設(shè)備的運(yùn)行維護(hù)服務(wù)�����,保證用戶現(xiàn)有的信息系統(tǒng)的正常運(yùn)行����。因此能夠進(jìn)入機(jī)房并且接觸到數(shù)據(jù)庫(kù)的技術(shù)人員�����,一方面外包企業(yè)要制定嚴(yán)密的操作記錄審查制度和視頻監(jiān)控設(shè)備���,更重要的是要有規(guī)范的技術(shù)服務(wù)流程,避免內(nèi)部專業(yè)人員監(jiān)守自盜。
數(shù)據(jù)�����!數(shù)據(jù)�����!還是數(shù)據(jù)����!數(shù)據(jù)安全對(duì)于呼叫中心外包企業(yè)而言��,既是保護(hù)業(yè)務(wù)發(fā)包方信息安全的前提,也是外包企業(yè)長(zhǎng)遠(yuǎn)發(fā)展的信任基礎(chǔ)和合作保障�����。
