鲁丝丝国产一区二区,亚洲人做受???高潮明,五月天丁香婷

主頁 > 知識庫 > 中國信息安全測評中心胡鐵君：呼叫中心數據保護的機制

中國信息安全測評中心胡鐵君：呼叫中心數據保護的機制

　　胡鐵君：我的名字叫胡鐵君，來自廣東，今天我很感謝組織委員會邀請我過來談談信息安全的問題，主要還是談數據的問題，因為我上次會議曾經談了宏觀呼叫中心要考慮的安全問題，今天談有關數據的，比較細節。

演講PPT下載（PDF格式 842KB）

圖：中國信息安全測評中心廣東測評中心廣東省信息安全測評中心專家委員會秘書長胡鐵君
　　我本人已經退休了，從事十多年計算機工作，沒有互聯網的時候我已經開始做互聯網了，后來轉入了傳呼業，我就在潤迅，現在他們有2萬名員工，所以呼叫中心的業務也是很熟悉的。我本身是無線專業的，我是第四代無線電的發起人，今天都是3G，我講的是4G，是未來的無線電，我是唯一一個亞洲人。

　　我是中山大學的客座教授，做無線電的教授，我幫廣東省信息安全測評中心做專家服務。中國信息安全測評是一個國家機構，負責對國內重點企業，重要的機構進行信息安全測評，有產品的測評，也有系統的測評，站在中心的角度來看，我們國家信息安全威脅一方面來自認為破壞、自然災害，第二方面是不同組織或個人的動機、能力和掌握的資源各不相同對我們信息安全進行攻擊，不同地區的信息安全是不同的，比如香港信息安全沒有像我們這么恐怖的事情，他們關心的是版權，中國就有一些其他的威脅，主要的天災、人禍等等，還有一些恐怖襲擊，這都是新安全受到的威脅，美國9•11五角大樓塌了以后，里面有很多數據都丟失了，損失是沒有辦法估計的，這些不是經常發生的事情，但是經常發生的事情可能是黑客，或者是商業上的盜竊行為，這是我們經常會出現的事情，黑客和犯罪，甚至間諜，這些事情發生率是很高的。

　　我們看一下呼叫中心里面的內容是什么，我們這里有一個比較復雜的圖，一般容易發生的攻擊是技術含量比較低的，比如說口令猜測、復制代碼、口令破解等等。現在很多IT設備都是外國做的，如果有什么事情隨時隨地可以進去，很多事件上面我們都可以看到，美國攻擊一個國家的時候首先是從網絡進去，把你核心的設備、電廠、通信設備停下來。如果是很高級的情況下可以利用很高級的技術做，這種情況是比較少的，另外還有一些Dos的攻擊，競爭對手會互相攻擊，特別是游戲玩家，一個公司攻擊另外一個公司，可以把網絡癱瘓掉，這張圖告訴我們，在我們身邊有很多機會可以攻擊你，除非我不注意你，我注意你的話，我是壞人的話，我一定可以攻擊你，因為你是計算機。

　　所以呼叫中心的安全問題就變得非常重要了，重要的是有機密的客戶信息，如果丟失的話就會有法律風險，如果你是個客戶，在外派自己呼叫中心的業務，其中一項很重要的就是安全問題，今天早上東軟也提到了，到國際上投標把呼叫中心業務承包下來會碰到一些問題的，我們對它的知識產權和保密是否能做到，但是發達國家對知識產權保密的法律很嚴格，他本身的勞動力也非常貴，所以他們就找一些比較便宜的國家做呼叫中心，但是有一個問題，這些國家本身的國民教育知識產權保密并不是很嚴格，還有一個呼叫中心的管理人員對信息安全的理解，通常很多時候以為這些都是計算機的事，工程技術員的事，所以是比較麻煩的事情。另外還有一個事情，全世界上沒有一套完整的呼叫中心的信息安全規范。

　　今天的呼叫中心已經和業務聯系的很緊密，如果一個客戶找呼叫中心的時候，呼叫中心跟客戶解釋他們擁有一些服務的經驗，有很多設備，有很好的培訓，有很好的管理，這是他的客戶，很重要的一點是怎么跟客戶保護有一套嚴格的安全規范，來保證整個運作是有序、高效、安全牢靠的，這一點要講清楚，不講清楚的話客戶是不放心把業務交給你的。呼叫中心我們碰到的除了剛才說的系統安全問題以外，還有一個很危險的問題，每個客戶座席代表都有機會拿到客戶信息，如果這個員工有問題的話，什么壞事都可以做出來，特別在銀行、保險，跟金錢有關系的行業。你要怎么能確保正確的人在正確的時間做正確的事情，這是非常復雜的，不是簡單的講一句話就可以的，這里面需要有方法，有技術，有制度。

　　很多問題都談出來了，怎么解決呢，歸根結底很核心的還是計算機。因為呼叫中心整個核心運作起來是由計算機完成的，計算機信息安全就變成呼叫中心信息安全重要的一環，反是呼叫中心比較敏感的，像證券、銀行等，我們會想措施保護他，另外一種情況，計算機里面有很多標準，很開放，結構很標準，網絡普及，所以危險性就很大，也就是說你摸到計算機的時候人人都會跑到里面找東西，大家都有這個技能，所以很危險。數據在中間傳播的過程中，由于在存儲的時候丟失，有可能是泄漏、認為破壞、修改，甚至是計算機病毒，更嚴重的是網絡黑客，所以我們需要借助技術上的力量。

　　我們把電子數據作為業務信息處理必須要考慮一些問題，選擇什么計算機作為軟件，員工自己的筆記本能不能帶進去，還有一些移動的媒介，像U盤，這些事情要很嚴格的控制。我們看很多新聞可以知道，有人丟失了數據，可能是客戶的數據，可能是醫院里面病人的數據，都是涉及到私人，這時候呼叫中心就有可能受到法律上的問題，如果使用很方便，那我們就失去了保密性，如果你不控制，大家可以拿信息很輕松，你控的話就有很多層次的管理，增加很多成本，所以保密、可控、可用、完整、易用在數據使用當中都是矛盾的，我們建立這個中心的時候要考慮這些問題。

　　既然有這么多問題，我們就要建立一些制度，管理的規范，我相信這些規范大家日常的工作中都有，但是這些規范有沒有真正的落實下去，有沒有真正存在呢，這是值得研究的，保護工作包括工作人員、工作流程、技術設施必須要嚴格管理，很多呼叫中心是管理的問題，是技術人員的問題，所以應該在行政上對技術范圍里的安全管理提升到更高的高度。舉個例子，密碼，每個座席的員工每天上班要登記，有密碼進去，要做什么事情，如果是比較重要的行業可能還有幾層的關。但是我們呼叫中心人員流動性很大，不管是座席代表，還是管理人員，通常為了方便密碼是不換的，所以有很多漏洞在里面。所以我們要對數據進行保護，必須在中心里面對每個客戶不同的情況進行分析，分清楚哪些是跟客戶資料有關系的，財務上有關系的，或者跟知識產權有關系的，有糾紛的這些要列出來，要注意這些敏感的資料是不是能夠泄漏出去，要做個目錄，要有一個比較嚴格的數據結構，建立一些使用的流程，信用卡公司有一整套專門對信用卡行業使用數據的標準，因為信用卡已經做了很長時間，管理數據的時候知道怎么管理，所以這些流程是值得我們參考的，我不去解釋信用卡公司到底用什么方式來保護數據，這樣的管理方式能夠做到什么程度，即使我的座席代表或者黑客入侵了系統，他偷我們信用卡帳號的時候，不會拿到一個完整的資料。我就是放你進來偷，也沒有辦法偷到完整的，所以使用的管理流程是非常重要的。你們以后跟客戶談的時候，或者客戶跟你談的時候，可以看一下客戶的資料屬于什么程度的保密性，什么樣的保密性建立什么樣的制度。

　　還有一些很常見的問題，就是開發人員的問題，有一些小的銀行整個業務都是自己開發，開發的時候程序設計員沒有對信息安全有足夠的意識，所以他編寫的程序就是要實現邏輯功能，忽視了對整個網絡、結構、計算機本身存在缺陷的考慮。我們曾經對一個銀行進行信息安全評估的時候發現他們犯了一個很低等的錯誤，比如說登記系統進去的時候通常要打用戶名、密碼，通過了就可以進去。在計算機里面有一些殘局的東西，如果是對的是1，如果是錯的是0，這個符號是整臺計算機一起用的，所以我們就可以欺騙他。用戶名就寫成1+1等于2，計算機一進去的時候認為1+1=2是對的，已經把標志改了，所以自動就可以進去了。很奇怪的，很多用戶名密碼可以碰一碰，如果沒有經過很嚴格的意識，我們就可以利用計算機的漏洞很簡單就進去，非常簡單，給他一個邏輯辨別，它以為是對的就是對的，這個問題非常值得注意，特別是使用微軟，我不是說微軟不好，微軟是非常好的軟件，微軟補漏洞是全世界做的最好的公司，但是微軟有很多人工攻擊他，微軟每天都可以公布漏洞，如果是他的業務合作伙伴，他會提前一個月通知你，有漏洞。但是有時候管理沒有注意的時候，黑客就利用這個手段了，一發現微軟堵了就試試你的系統能不能進去，利用這個漏洞進去，所以程序員必須要很關心這個機制，所以設計軟件之前一定要進行培訓，可以用一些工具專門對進行代碼進行安全分析。這些工具可以模擬黑客，可以把微軟的漏洞統統拿出來試試，還有從國家漏洞庫里面找找有沒有問題。所以很重要的程序進行開發的時候要注意這個問題，寫程序、開發程序不是簡單交給一家公司就完了，不是簡單把你的需求他就完了，必須要進行安全檢查。

　　下面一個問題是呼叫中心的容災能力。每個提供呼叫中心服務的中心，一旦發生數據丟失以后都會有一些補救的措施，通常是備份的方法。現在數據越來越多了，你用什么辦法可以做，有什么方法可以在最短的時間內把損失減到最小，這里面有一個硬件研究的問題。傳統的技術都是比較簡單的，建立一些歷史的存在，比如每天做一些悲憤，當然有些很重要的，可能用一些連續數需的保護，甚至有一些時間概念的，只要你發生變化了，我們都要記下來，這就是看我們備份的能力。

　　我們做工程的人員保護程序的時候通常是簡單的把系統備份，這種通常需要做很多工作。對災難的影響我們應該好好的評估，到底哪些業務程序會影響企業最重要的地方，哪些可以是慢慢恢復的、，這些決策需要管理部門和IT部門一起研究，這不是IT負責，而是由相關業務部門的使用者、公司風險評估部門和使用數據的業務人員來決定哪些數據需要最快恢復，哪些是最重要不能丟失的，然后再取得一個平衡。因為如果不管三七二十一都進行恢復很難，因為我們的數據很大，在云端的東西怎么處理，這里面要解決恢復時間和投放資源的平衡關系，所以不要盲目建立容災系統。

　　還有一個對我們很大的挑戰，就是數據庫的發展，以前我們看到數據庫的幾個模型，這里有四個主要的模型，像IMS系統是IBM的，有一層層的結構，還有樹型的結構，還有一些面向目標的數據結構，我們呼叫中心絕大部分在用的是關系數據庫，主要是IBMDB2、Oracle。這些數據庫是我們公司擁有的很大的數據庫，這個數據你可以看得到，摸得到，在剛才災難的處理上你只要在業務上能夠排出秩序，損失前后算清楚的話，是可以有辦法做的，只要你有足夠的錢就可以做，這就是傳統的方法，可以根據業務的實際情況做備份。

　　未來的問題就很嚴重，今天華為說云的計算結構會越來越多。什么是云計算的結構？云計算的結構是我使用這個服務，換句話說我使用的數據不知道在什么地方，好像是云上拿上來的，用戶看到的都是云，頭都暈了，這個我們不用管，是云。但是設計數據庫的人不是云，他很清楚放在哪里，剛才講的傳統的數據庫是索引的方法建立的數據，但是今天我們談的不是這樣的，我們不用數據庫，我們用非常簡單的文件結構能夠把數據庫建立起來。Hadoop是在谷歌、微軟上應用的，比如說谷歌查找什么沒有想到庫有多大，不知道延伸下去到底有多少東西，所以在全世界建立9000多個服務器，北京、江蘇、南通，數據庫可能就在這里，大家找南通都是附近人找，美國人很少找南通的，所以就可以聯在這里，所以是一層層的，把中國建立一條路，中國下去有江蘇，江蘇下去有南通，南通再下去。另外一種結構叫NoSQL，eBay、Twitter都在用，這種機構是非常極端的，允許任何一個點即使出現問題都沒有影響它工作，是一個很極端的應用，很保險的假設，不管是硬盤、機器和網絡都出現問題的基礎上可以建立的數據結構。這些做法今天我們有不同的看法，比如說我們不能打開Facebook，或者說世界上很多人對Facebook有意見，里面成人的黃色的東西太多了，或者說它本身就是個間諜，放在全世界不同的地方。所以這種結構也是有很多非議的，如果這樣的業務越來越大，我們是自動升級的，延長的，也可能會使用這種云的數據庫來解決業務的膨脹，比如現在做的業務是南通，不知道哪一天去了上海，也不知道哪天去了北京、廣東，甚至出國。像我們都玩過谷歌地圖，拿到當地地圖的時候怎么會那么快，不是跑到美國去拿的，它知道我們所有的機站，什么東西都知道。這個時候我們就要考慮，技術發展以后，數據庫結構變化以后，我們技術上怎么保護數據，這是我們未來的話題，也許明年大家都用云的話，我再來講云計算結構的數據庫安全保護，實際這種安全比我們自己擁有一個數據庫更危險，管住一個數據庫物理上摸得著的都很困難，更何況你不知道在哪里，更加困難。

　　國家對信息安全是有管理規定的，不是把所有信息安全都統一做規范，包括呼叫中心到底對信息安全要做到什么程度沒有定義下來，關鍵是看信息系統是不是屬于國家的安全等級保護范圍，這里面有相關的規定，假定這個結構數據丟失損害了對社會有沒有影響，比如說如果壞了是不是國家就亂了，或者局部范圍有問題。因為這些數據對公眾要提供服務，所以丟失了、損壞了就必須引起一些不同程度的影響，所以要分成不同的等級進行保護。我個人覺得呼叫中心也可以按照國家信息安全等級保護的基礎原則建立相應的等級保護檢查。但是對于一些重要的數據要進行等級劃分，進行檢查。

　　這是國家的一些條例（圖），1994年已經有一些信息系統條例，還有一些專賣產品的規定等等，公安部有互聯網安全保護技術措施規定，也有四部委的信息安全等級保護管理辦法，我們廣東省已經把信息安全放到法律上面了。最近國家標準化管理委員會也制訂了一些信息安全技術國家標準。

　　國家信息安全機構提供信息安全的測評工作，如果對你們的系統有什么擔心可以找我們，在這里不是賣廣告，只不過告訴大家，我不賣東西的，我是醫生，我幫你看病，看完病以后告訴你到藥房里面買藥，市場上有很多可以買的，然后按照規范去吃藥，吃完以后我會再檢查。我先檢查，然后你買設備整改，整改完以后我再檢查，這是我們的工作。我們有一個漏洞庫放在北京，同時也對一些服務知識進行審核，有一些很重要的機構可能需要一些支持我們進行培訓考試，當然我們也可以做研究開發。這是關于我們的中心。

　　我的演講就到這里結束，如果需要幫助的話就找我們，或者找我們北京的中心或者各地的分中心，謝謝大家！

　　本文根據CTI論壇協辦的2011中國呼叫中心產業大會會議記錄整理，轉載請注明出處！

CTI論壇報道

標簽：舟山河源十堰紅河香港濟源鐵嶺貴港

巨人網絡通訊聲明：本文標題《中國信息安全測評中心胡鐵君：呼叫中心數據保護的機制》，本文關鍵詞中國,信息,安全,測評,中心,；如發現本文內容存在版權問題，煩請提供相關信息告之我們，我們將及時溝通與處理。本站內容系統采集于網絡，涉及言論、版權與本站無關。

好湿?好紧?好多水好爽自慰,久久久噜久噜久久综合,成人做爰A片免费看黄冈,机机对机机30分钟无遮挡

中國信息安全測評中心胡鐵君：呼叫中心數據保護的機制