中国信息安全测评中心胡铁君:呼叫中心数据保护的机制
胡铁君:我的名字叫胡铁君,来自广东,今天我很感谢组织委员会邀请我过来谈谈信息安全的问题,主要还是谈数据的问题,因为我上次会议曾经谈了宏观呼叫中心要考虑的安全问题,今天谈有关数据的,比较细节。
图:中国信息安全测评中心广东测评中心 广东省信息安全测评中心专家委员会秘书长 胡铁君
我本人已经退休了,从事十多年计算机工作,没有互联网的时候我已经开始做互联网了,后来转入了传呼业,我就在润迅,现在他们有2万名员工,所以呼叫中心的业务也是很熟悉的。我本身是无线专业的,我是第四代无线电的发起人,今天都是3G,我讲的是4G,是未来的无线电,我是唯一一个亚洲人。
我是中山大学的客座教授,做无线电的教授,我帮广东省信息安全测评中心做专家服务。中国信息安全测评是一个国家机构,负责对国内重点企业,重要的机构进行信息安全测评,有产品的测评,也有系统的测评,站在中心的角度来看, 我们国家信息安全威胁一方面来自认为破坏、自然灾害,第二方面是不同组织或个人的动机、能力和掌握的资源各不相同对我们信息安全进行攻击,不同地区的信息安全是不同的,比如香港信息安全没有像我们这么恐怖的事情,他们关心的是版权,中国就有一些其他的威胁,主要的天灾、人祸等等,还有一些恐怖袭击,这都是新安全受到的威胁,美国9•11五角大楼塌了以后,里面有很多数据都丢失了,损失是没有办法估计的,这些不是经常发生的事情,但是经常发生的事情可能是黑客,或者是商业上的盗窃行为,这是我们经常会出现的事情,黑客和犯罪,甚至间谍,这些事情发生率是很高的。
我们看一下呼叫中心里面的内容是什么,我们这里有一个比较复杂的图,一般容易发生的攻击是技术含量比较低的,比如说口令猜测、复制代码、口令破解等等。现在很多IT设备都是外国做的,如果有什么事情随时随地可以进去,很多事件上面我们都可以看到,美国攻击一个国家的时候首先是从网络进去,把你核心的设备、电厂、通信设备停下来。如果是很高级的情况下可以利用很高级的技术做,这种情况是比较少的,另外还有一些Dos的攻击,竞争对手会互相攻击,特别是游戏玩家,一个公司攻击另外一个公司,可以把网络瘫痪掉,这张图告诉我们,在我们身边有很多机会可以攻击你,除非我不注意你,我注意你的话,我是坏人的话,我一定可以攻击你,因为你是计算机。
所以呼叫中心的安全问题就变得非常重要了,重要的是有机密的客户信息,如果丢失的话就会有法律风险,如果你是个客户,在外派自己呼叫中心的业务,其中一项很重要的就是安全问题,今天早上东软也提到了,到国际上投标把呼叫中心业务承包下来会碰到一些问题的,我们对它的知识产权和保密是否能做到,但是发达国家对知识产权保密的法律很严格,他本身的劳动力也非常贵,所以他们就找一些比较便宜的国家做呼叫中心,但是有一个问题,这些国家本身的国民教育知识产权保密并不是很严格,还有一个呼叫中心的管理人员对信息安全的理解,通常很多时候以为这些都是计算机的事,工程技术员的事,所以是比较麻烦的事情。另外还有一个事情,全世界上没有一套完整的呼叫中心的信息安全规范。
今天的呼叫中心已经和业务联系的很紧密,如果一个客户找呼叫中心的时候,呼叫中心跟客户解释他们拥有一些服务的经验,有很多设备,有很好的培训,有很好的管理,这是他的客户,很重要的一点是怎么跟客户保护有一套严格的安全规范,来保证整个运作是有序、高效、安全牢靠的,这一点要讲清楚,不讲清楚的话客户是不放心把业务交给你的。呼叫中心我们碰到的除了刚才说的系统安全问题以外,还有一个很危险的问题,每个客户座席代表都有机会拿到客户信息,如果这个员工有问题的话,什么坏事都可以做出来,特别在银行、保险,跟金钱有关系的行业。你要怎么能确保正确的人在正确的时间做正确的事情,这是非常复杂的,不是简单的讲一句话就可以的,这里面需要有方法,有技术,有制度。
很多问题都谈出来了,怎么解决呢,归根结底很核心的还是计算机。因为呼叫中心整个核心运作起来是由计算机完成的,计算机信息安全就变成呼叫中心信息安全重要的一环,反是呼叫中心比较敏感的,像证券、银行等,我们会想措施保护他,另外一种情况,计算机里面有很多标准,很开放,结构很标准,网络普及,所以危险性就很大,也就是说你摸到计算机的时候人人都会跑到里面找东西,大家都有这个技能,所以很危险。数据在中间传播的过程中,由于在存储的时候丢失,有可能是泄漏、认为破坏、修改,甚至是计算机病毒,更严重的是网络黑客,所以我们需要借助技术上的力量。
我们把电子数据作为业务信息处理必须要考虑一些问题,选择什么计算机作为软件,员工自己的笔记本能不能带进去,还有一些移动的媒介,像U盘,这些事情要很严格的控制。我们看很多新闻可以知道,有人丢失了数据,可能是客户的数据,可能是医院里面病人的数据,都是涉及到私人,这时候呼叫中心就有可能受到法律上的问题,如果使用很方便,那我们就失去了保密性,如果你不控制,大家可以拿信息很轻松,你控的话就有很多层次的管理,增加很多成本,所以保密、可控、可用、完整、易用在数据使用当中都是矛盾的,我们建立这个中心的时候要考虑这些问题。
既然有这么多问题,我们就要建立一些制度,管理的规范,我相信这些规范大家日常的工作中都有,但是这些规范有没有真正的落实下去,有没有真正存在呢,这是值得研究的,保护工作包括工作人员、工作流程、技术设施必须要严格管理,很多呼叫中心是管理的问题,是技术人员的问题,所以应该在行政上对技术范围里的安全管理提升到更高的高度。举个例子,密码,每个座席的员工每天上班要登记,有密码进去,要做什么事情,如果是比较重要的行业可能还有几层的关。但是我们呼叫中心人员流动性很大,不管是座席代表,还是管理人员,通常为了方便密码是不换的,所以有很多漏洞在里面。所以我们要对数据进行保护,必须在中心里面对每个客户不同的情况进行分析,分清楚哪些是跟客户资料有关系的,财务上有关系的,或者跟知识产权有关系的,有纠纷的这些要列出来,要注意这些敏感的资料是不是能够泄漏出去,要做个目录,要有一个比较严格的数据结构,建立一些使用的流程,信用卡公司有一整套专门对信用卡行业使用数据的标准,因为信用卡已经做了很长时间,管理数据的时候知道怎么管理,所以这些流程是值得我们参考的,我不去解释信用卡公司到底用什么方式来保护数据,这样的管理方式能够做到什么程度,即使我的座席代表或者黑客入侵了系统,他偷我们信用卡帐号的时候,不会拿到一个完整的资料。我就是放你进来偷,也没有办法偷到完整的,所以使用的管理流程是非常重要的。你们以后跟客户谈的时候,或者客户跟你谈的时候,可以看一下客户的资料属于什么程度的保密性,什么样的保密性建立什么样的制度。
还有一些很常见的问题,就是开发人员的问题,有一些小的银行整个业务都是自己开发,开发的时候程序设计员没有对信息安全有足够的意识,所以他编写的程序就是要实现逻辑功能,忽视了对整个网络、结构、计算机本身存在缺陷的考虑。我们曾经对一个银行进行信息安全评估的时候发现他们犯了一个很低等的错误,比如说登记系统进去的时候通常要打用户名、密码,通过了就可以进去。在计算机里面有一些残局的东西,如果是对的是1,如果是错的是0,这个符号是整台计算机一起用的,所以我们就可以欺骗他。用户名就写成1+1等于2,计算机一进去的时候认为1+1=2是对的,已经把标志改了,所以自动就可以进去了。很奇怪的,很多用户名密码可以碰一碰,如果没有经过很严格的意识,我们就可以利用计算机的漏洞很简单就进去,非常简单,给他一个逻辑辨别,它以为是对的就是对的,这个问题非常值得注意,特别是使用微软,我不是说微软不好,微软是非常好的软件,微软补漏洞是全世界做的最好的公司,但是微软有很多人工攻击他,微软每天都可以公布漏洞,如果是他的业务合作伙伴,他会提前一个月通知你,有漏洞。但是有时候管理没有注意的时候,黑客就利用这个手段了,一发现微软堵了就试试你的系统能不能进去,利用这个漏洞进去,所以程序员必须要很关心这个机制,所以设计软件之前一定要进行培训,可以用一些工具专门对进行代码进行安全分析。这些工具可以模拟黑客,可以把微软的漏洞统统拿出来试试,还有从国家漏洞库里面找找有没有问题。所以很重要的程序进行开发的时候要注意这个问题,写程序、开发程序不是简单交给一家公司就完了,不是简单把你的需求他就完了,必须要进行安全检查。
下面一个问题是呼叫中心的容灾能力。每个提供呼叫中心服务的中心,一旦发生数据丢失以后都会有一些补救的措施,通常是备份的方法。现在数据越来越多了,你用什么办法可以做,有什么方法可以在最短的时间内把损失减到最小,这里面有一个硬件研究的问题。传统的技术都是比较简单的,建立一些历史的存在,比如每天做一些悲愤,当然有些很重要的,可能用一些连续数需的保护,甚至有一些时间概念的,只要你发生变化了,我们都要记下来,这就是看我们备份的能力。
我们做工程的人员保护程序的时候通常是简单的把系统备份,这种通常需要做很多工作。对灾难的影响我们应该好好的评估,到底哪些业务程序会影响企业最重要的地方,哪些可以是慢慢恢复的、,这些决策需要管理部门和IT部门一起研究,这不是IT负责,而是由相关业务部门的使用者、公司风险评估部门和使用数据的业务人员来决定哪些数据需要最快恢复,哪些是最重要不能丢失的,然后再取得一个平衡。因为如果不管三七二十一都进行恢复很难,因为我们的数据很大,在云端的东西怎么处理,这里面要解决恢复时间和投放资源的平衡关系,所以不要盲目建立容灾系统。
还有一个对我们很大的挑战,就是数据库的发展,以前我们看到数据库的几个模型,这里有四个主要的模型,像IMS系统是IBM的,有一层层的结构,还有树型的结构,还有一些面向目标的数据结构,我们呼叫中心绝大部分在用的是关系数据库,主要是IBMDB2、Oracle。这些数据库是我们公司拥有的很大的数据库,这个数据你可以看得到,摸得到,在刚才灾难的处理上你只要在业务上能够排出秩序,损失前后算清楚的话,是可以有办法做的,只要你有足够的钱就可以做,这就是传统的方法,可以根据业务的实际情况做备份。
未来的问题就很严重,今天华为说云的计算结构会越来越多。什么是云计算的结构?云计算的结构是我使用这个服务,换句话说我使用的数据不知道在什么地方,好像是云上拿上来的,用户看到的都是云,头都晕了,这个我们不用管,是云。但是设计数据库的人不是云,他很清楚放在哪里,刚才讲的传统的数据库是索引的方法建立的数据,但是今天我们谈的不是这样的,我们不用数据库,我们用非常简单的文件结构能够把数据库建立起来。Hadoop是在谷歌、微软上应用的,比如说谷歌查找什么没有想到库有多大,不知道延伸下去到底有多少东西,所以在全世界建立9000多个服务器,北京、江苏、南通,数据库可能就在这里,大家找南通都是附近人找,美国人很少找南通的,所以就可以联在这里,所以是一层层的,把中国建立一条路,中国下去有江苏,江苏下去有南通,南通再下去。另外一种结构叫NoSQL,eBay、Twitter都在用,这种机构是非常极端的,允许任何一个点即使出现问题都没有影响它工作,是一个很极端的应用,很保险的假设,不管是硬盘、机器和网络都出现问题的基础上可以建立的数据结构。这些做法今天我们有不同的看法,比如说我们不能打开Facebook,或者说世界上很多人对Facebook有意见,里面成人的黄色的东西太多了,或者说它本身就是个间谍,放在全世界不同的地方。所以这种结构也是有很多非议的,如果这样的业务越来越大,我们是自动升级的,延长的,也可能会使用这种云的数据库来解决业务的膨胀,比如现在做的业务是南通,不知道哪一天去了上海,也不知道哪天去了北京、广东,甚至出国。像我们都玩过谷歌地图,拿到当地地图的时候怎么会那么快,不是跑到美国去拿的,它知道我们所有的机站,什么东西都知道。这个时候我们就要考虑,技术发展以后,数据库结构变化以后,我们技术上怎么保护数据,这是我们未来的话题,也许明年大家都用云的话,我再来讲云计算结构的数据库安全保护,实际这种安全比我们自己拥有一个数据库更危险,管住一个数据库物理上摸得着的都很困难,更何况你不知道在哪里,更加困难。
国家对信息安全是有管理规定的,不是把所有信息安全都统一做规范,包括呼叫中心到底对信息安全要做到什么程度没有定义下来,关键是看信息系统是不是属于国家的安全等级保护范围,这里面有相关的规定,假定这个结构数据丢失损害了对社会有没有影响,比如说如果坏了是不是国家就乱了,或者局部范围有问题。因为这些数据对公众要提供服务,所以丢失了、损坏了就必须引起一些不同程度的影响,所以要分成不同的等级进行保护。我个人觉得呼叫中心也可以按照国家信息安全等级保护的基础原则建立相应的等级保护检查。但是对于一些重要的数据要进行等级划分,进行检查。
这是国家的一些条例(图),1994年已经有一些信息系统条例,还有一些专卖产品的规定等等,公安部有互联网安全保护技术措施规定,也有四部委的信息安全等级保护管理办法,我们广东省已经把信息安全放到法律上面了。最近国家标准化管理委员会也制订了一些信息安全技术国家标准。
国家信息安全机构提供信息安全的测评工作,如果对你们的系统有什么担心可以找我们,在这里不是卖广告,只不过告诉大家,我不卖东西的,我是医生,我帮你看病,看完病以后告诉你到药房里面买药,市场上有很多可以买的,然后按照规范去吃药,吃完以后我会再检查。我先检查,然后你买设备整改,整改完以后我再检查,这是我们的工作。我们有一个漏洞库放在北京,同时也对一些服务知识进行审核,有一些很重要的机构可能需要一些支持我们进行培训考试,当然我们也可以做研究开发。这是关于我们的中心。
我的演讲就到这里结束,如果需要帮助的话就找我们,或者找我们北京的中心或者各地的分中心,谢谢大家!
本文根据CTI论坛协办的2011中国呼叫中心产业大会会议记录整理,转载请注明出处! CTI论坛报道