.svg)
雖然聊天機器人安全對每家公司都很重要,但對醫療保健、金融和政府部門尤其重要。如果我們考慮對這些行業很重要的安全問題,我們至少能夠涵蓋與所有公司相關的問題。
聊天機器人安全隱患以及創建安全環境要考慮的要素。
在聊天機器人安全性方面,需要考慮許多要點。這些問題可以通過以下問題廣泛解決:
- 使用什麼環境來構建聊天機器人?
- 聊天機器人託管在哪裡?
- 構建聊天機器人的技術有哪些安全功能?
- 我將逐一解決這些問題。
1. 環境
開發人員(員工和承包商)用於開發聊天機器人的環境需要受到保護和許可。這意味著不僅要保護代碼並對其進行源控制,還要保護通信並確保環境沒有病毒和其他威脅。
需要為防病毒安裝、加密、訪問控制、強制性資訊安全培訓和活動記錄制定標準。還需要程式和策略來管理聊天機器人安全功能和更改控制的測試,因為未經高級工程師的明確批准,開發人員不能對原始程式碼進行更改。
2. 託管
託管有很多選擇 chatbots 這些天,來自公眾 cloud、到私有 cloud,到本地(本地/內部)。
需要更高程度的信息安全性的公司將選擇私人 cloud 或本地安裝,具體取決於聊天機器人用例的性質。
重要的是要瞭解託管不僅僅是託管機器人本身。如果聊天機器人使用第三方服務(如 NLP 引擎),則需要考慮與這些服務相關的類似託管和資訊聊天機器人安全風險。例如,這些服務是 SAAS 還是在本地可用?它們是隔離客戶端數據,還是以某種形式彙集所有數據?
當然,聊天機器人的前端是另一個考慮因素。如果機器人通過Facebook Messenger等聊天平臺使用,則客戶的資訊將被暴露並被該平台記錄。這可能是也可能不是聊天機器人的安全問題,但顯然需要考慮。
擔心通過Facebook Messenger和Slack等聊天平臺傳輸對話數據的企業可以使用其他方式通過本地或私人與客戶進行通信。cloud 解決方案,如Mattermost或Web Chat。
3. 安全功能
機器人是否託管在 cloud 或在本地,有許多與機器人相關的安全功能需要考慮。
需要通過內置的基於角色的安全性和多使用者管理來嚴格控制管理人員對聊天機器人管理系統的訪問。如果需要,此訪問控制可以與企業內部內部身份和訪問管理解決方案(如Active Directory和LDAP)集成。
系統應包括顯示使用者(包括管理員使用者)和系統活動的全面而詳細的日誌。應設置警報以通知管理員和其他人是否發生了特定活動。
除了正常警報外,還應設置特殊警報,以通知管理員和其他人特定的可疑活動、事件和異常。
存儲在伺服器上的數據和記錄(例如客戶記錄/交互),身份驗證數據需要使用某種行業標準加密(例如AES-256)進行加密。
最終使用者和伺服器之間的消息傳輸,以及前端(如Webchat,網頁或聊天平臺)和後端系統之間的連接需要使用TLS等行業標準進行加密。
4. 政策和程式
當然,對於上述所有內容而言,制定管理資訊安全標準的相關政策和程序至關重要。資訊安全不是一次性的設置,而是一項持續的活動。
這些政策和程式不僅將管理相關軟體的設置方式,還將指定何時以及如何進行定期培訓課程和安全測試。
保護聊天機器人與保護任何其他軟體沒有什麼不同。在流程開始時需要對基礎數據的機密性進行評估,這將確定組織需要採取的措施,以確保數據的安全。
希望本文能為您提供有關創建安全聊天機器人所涉及的一些安全風險和漏洞的高級概述。
.svg)
.webp)
