云呼叫中心安全性的最佳实践

客户世界 | 2015年7月13日 | 2012年 | 评论已关闭 | 1380

客户世界|利奇•萨都斯基|2012-07-10

现今的呼叫中心越来越多地使用外包以及大量采用在家工作的劳动力模式，这对如何保障安全性带来了深远的影响，必须要有复杂的安全解决方案防止未授权的信息访问，确保所有通信内容的保密性和完整性。对于“以云为基础的”虚拟呼叫中心来说这意味着既要考虑网络架构也要考虑到在家办公的虚拟座席及其家庭办公环境，对于企图通过在家工作的模式降低成本并获得其他好处的组织来说实施下列业界的安全性最佳实践会帮助他们降低风险。

网络架构的安全性

网络架构（包含应用服务器）的潜在威胁有两种基本形式：非授权访问、监听或劫持会话。能够防止这两种威胁的端对端的安全准备很有必要，因为链条的强度取决于它最弱的一环。

非授权访问

黑客通过各种手段不断尝试获取网络上的资源，防止黑客攻击的最佳实践之一是保证所有的系统都更新到最近的版本，安装了最新的补丁和软件升级。

• 防火墙任何网络的第一道防线都是防火墙。现在大多数的配置采用“防火墙三明治”，既保护网络应用服务器，也保护后端服务器。在云服务中配置尤为重要，背靠背的防火墙通常存在于服务提供商和企业网络架构的边界之间。

• 认证认证是确认该用户是否是其自称的那位用户的过程，该过程内置于协议中。最强大的认证方法结合多种元素，包括用户知道的东西（通常是密码）以及用户拥有的东西，例如插入电脑USB接口的实体口令牌，还可以通过场景认证附加一层保护，利用场景信息来帮助确认用户的身份，例如在他/她试图登录的时段是否安排了他/她来上班。

会话监听或劫持

云服务的公共网络架构显露出另一些弱点。黑客试图窃听会话以便监视或捕捉通信信息，更糟的是甚至假装成合法用户来劫持或接管会话。为了应对这些潜在的安全风险，业界发明了虚拟专用网络（VPN）。VPN把通信信息封装在特殊的信息包内，从而在公共网络中建立起加密的（因此称为专用）“管道”。利用如符合256位的高级加密标准（AES）的强加密算法，黑客几乎没有可能监听或劫持虚拟专用网络上的通信信息。

在家工作的虚拟座席的安全性

居家工作模式下的云呼叫中心环境安全包含两部分：雇员和他们的设备——特别是电脑和电话设备。

居家的虚拟座席代表

所有受雇的座席代表都必须经过细致的审查。云呼叫中心的一项最佳实践是执行一套特别严格的背景调查，背景调查至少要包含验明国籍、验证社会保险号、信用调查并在联邦和当地罪案（重罪和轻罪）数据库中搜索犯罪记录。对某些项目来说可能还需要额外的审查，例如教育背景和工作经历，在特定情况下还要做药物检测。此外很重要的一点是与所有受雇的座席代表签署正式的就业协议，协议（与承包合同相对应）概述座席代表的责任和义务，特别是关于客户和顾客的机密。

另一项最佳实践是提供某种方法来保护个人的可辨识信息。首选的方法是让顾客通过电话按键直接输入任何敏感的信息，如“听到提示音后请输入您的信用卡号码。”随后辨识信息和呼入者的整个会话联系在一起，但是以掩码形式显示在所有的屏幕上，对于座席代表来说是不可见的。让顾客直接输入数字也能减少键入错误，从而提高操作效率。

家庭办公室的安全性

最好的家庭办公室利用公共交换电话网络（PSTN）传输语音信息，这不仅仅因为PSTN的语音传输质量较好，也是出于其固有的安全性和可靠性。此外无论电脑是呼叫中心服务提供商分配的还是受雇座席代表自己的，保护家庭办公室电脑的安全要求直接在个人电脑上实现和数据中心同样层级的安全性。

电脑锁定

锁定座席代表的电脑可以防止信息被任意地复制、记录、传送或者保留。根据适用的规定和场景的不同，锁定可能包括禁止在磁盘或任何输入/输出端口上书写或保存文件并且停用“复制粘贴”功能，这通常要求一个特殊的安全应用程序在会话中禁用电脑系统的部分资源。

补丁管理系统

安全软件要完全发挥作用就必须升级到最新的版本。一项最佳实践是通过补丁系统定期安装系统和安全软件的补丁和更新，其中还包含了处理严重安全问题的优先计划，特别是应对新出现的零时差攻击注1。

验证

在国家安全问题上有句俗语“信任但要确认”（Trust but verify），这句话对云服务也适用。验证在家工作的安全性要通过终端主机完整性检查（Host Integrity Check (HIC)），每当座席代表登录的时候都要检查电脑的操作系统、应用程序和安全软件以确保所有的程序都已安装、更新并且运行正常，终端主机完整性检查还必须验证注册表设置确认目前没有安装未授权的应用并且验证座席代表确实通过授权的网络在预定的时间内尝试访问。

如果座席代表（在经过认证之后）出于任何理由未能通过终端完整性检查，会话必须立刻进入“隔离”状态，只有当用户成功通过终端完整性检查之后才能解除隔离从而转入正常的授权操作。

无论是物理集中还是以云为基础，最高级别的安全系统和流程对任何类型的呼叫中心都是必要的。只要遵循上述的安全准则，以云为基础的呼叫中心可以打造得和企业内部封闭的呼叫中心一样安全。已经有确定的行业标准和规定帮助经理们理解每种网络提供的安全级别，当你考虑在家工作的虚拟呼叫中心的合作伙伴时我极力推荐你与那些遵守HIPAA法案注2并且通过支付卡行业与数据安全标准（PCI—DSS）一级认证的组织合作，这是目前最高等级的评价。

注释：

注1：零时差攻击（zero-day attack）：又叫“零日漏洞攻击”，也有翻译为“初始攻击”、“瞬时攻击”，即安全补丁与漏洞曝光的同一日内相关的恶意程序就出现，并对漏洞进行攻击。

注2：HIPAA法案：全称为Health Insurance Portability and Accountability Act/1996，Public Law 104-19，美国医疗保险携带和责任法案，于1996年颁布。内容涵盖两大部分：HIPAA主题I（HIPAA Title I）涉及保障失业人员及重新择业人员享受医疗保险；HIPAA主题II（HIPAA Title II）包括一个简化管理部分，涉及医疗保健相关信息系统的标准化，在信息技术产业中多数人提到HIPAA时多指简化管理部分。HIPAA确立了一些强制条例要求大力改变医疗服务提供者的从业方法，HIPAA寻求确立电子数据交换（EDI）、安全及所有医疗保健相关数据保密性的标准化机制。法案规定：病人的健康记录、管理记录和财务数据均采用标准化格式；每个医疗保健实体（包括个人、雇主、医疗计划和医疗服务提供者）均采用唯一认证码（ID number）；运用安全机制确保识别每一个体的信息数据具有保密性和完整性。

本文刊载于《客户世界》2012年5月刊；作者为阿尔派阿克塞斯公司（Alpine Access, Inc.）主管解决方案的副总裁；编译者王超为CC-CMM国际标准认证机构资深顾问。