Call Center管理中的安全困惑
客户世界||2008-10-09
p>
p>
最近,有几位在银行、运营商(电信、移动)、招聘/旅游/即时通讯等web2.0网站负责内网安全维护工作的朋友,在聊天时不约而同地提到了一个话题:在CallCenter(呼叫中心),怎样让客服人员能够最大程度接触他们需要接触的信息,同时还能保护客户的信息?
他们的一个困惑就是:客服人员的薪水普遍不高,但是又往往能够调阅查看,甚至导出各种客户信息——这些信息中,可能包括我们的通讯记录、医疗保险信息、银行存款记录、信用卡消费明细等等……
如果要降低客服人员的查阅权限,一方面可能会影响他们为客户提供更好的服务,另一方面,对客服人员使用的终端应用程序进行修改定制,成本也及其高昂。
我们可以看看前几个月的新闻中,对这个话题是怎么描述的:
2008年5月,香港连续爆发1.6万名病人资料、16万银行客户资料、4.4万市民个人资料等泄密;
2008年6月,深圳10万孕产妇个人信息遭泄露;
这些信息,是怎么流传到外部的呢?究其根源,泄密的渠道主要有这么几个:
数据库管理员(DBA)主动泄密;
CallCenter(呼叫中心)客服人员主动将文件导出外发;
保存导出文件的存储介质(U盘、光盘、移动硬盘等)管理不善;
网络安全防范不当导致黑客入侵;
明确根源之后,再做解决方案的调研,就容易做到有的放矢,对这些问题,我提出的解决方案是:
管理方面:
与员工(尤其是DBA)签订保密协议,从法律角度先站住脚;
对DBA采用"高薪养廉"的方法,提供更好的待遇——同时也提高他们的责任心。
技术方面:
首先,采用企业级的电子文档安全系统,例如铁卷,然后:
在裝有CallCenter客户端应用程序的电脑上安装铁卷电子文档安全系统的Agent程序和我们定制的安全浏览器,我们设定该浏览器只能访问特定服务器;
客服人员通过应用程序存取数据库/WEB SERVER;
客服人员导出资料至各类常用格式;
客服人员可以(操作与过去相同,不受影响)通过受保护的应用程序打开导出的文件;
原理如下图所示:
此时,该文件受加密控制,无论是客服人员希望主动外发,或是拷贝到U盘带走,甚至是他们的电脑被黑客/病毒入侵,导致文件被批量盗走,取走的文件,都将处于加密状态,完全不用担心泄露风险。
其次,可以采用数据库审计产品,记录下可疑的数据库访问操作,包括实时审计用户对数据库系统的所有操作(如:插入、删除、更新、用户自定义操作等),精细还原SQL操作命令包括源IP地址、目的IP地址、访问时间、用户名、数据库操作类型、数据库表名、字段名等,实现安全事件准确全程跟踪定位,为事后追查取证提供有力支持。
通过这样管理与技术两手一起抓,我们能对呼叫中心的客户信息安全管理,起到一定的保驾护航作用。如果您有更好的解决方法,欢迎探讨。
责编:admin
转载请注明来源:Call Center管理中的安全困惑
噢!评论已关闭。