虽然聊天机器人安全对每家公司都很重要,但对医疗保健、金融和政府部门尤为重要。如果我们考虑一下对这些行业重要的安全问题,至少可以涵盖与所有公司相关的问题。
聊天机器人的安全影响以及创建安全环境应考虑的因素。
说到聊天机器人的安全性,有很多要点需要考虑。这些问题大致可以通过以下问题来解决:
- 使用什么环境构建聊天机器人?
- 聊天机器人在哪里托管?
- 聊天机器人所依赖的技术有哪些安全特性?
- 我将逐一回答这些问题。
1.环境
开发人员(包括员工和承包商)开发聊天机器人所用环境的访问权限需要得到保护和许可。这意味着不仅要确保代码安全和源代码控制,还要确保通信安全,并确保环境没有病毒和其他威胁。
需要制定防病毒安装、加密、访问控制、强制信息安全培训和活动记录的标准。还需要制定程序和政策来管理聊天机器人安全功能测试和变更控制,规定开发人员未经高级工程师明确批准不得更改源代码。
2.托管
如今,托管chatbots 有很多选择,从公共cloud ,到私有cloud ,再到 on-prem(办公场所/内部)。
需要高度信息安全的公司会根据聊天机器人用例的性质,选择私人cloud 或内部安装。
重要的是要明白,托管不仅仅是托管机器人本身。如果聊天机器人使用 NLP 引擎等第三方服务,则需要考虑与这些服务相关的类似托管和信息聊天机器人安全风险。例如,这些服务是 SAAS 还是本地提供?它们是隔离客户数据,还是以某种形式汇集所有数据?
当然,聊天机器人的前端也是另一个考虑因素。如果机器人在 FacebookMessenger 等聊天平台上使用,客户的信息就会暴露在该平台上并被记录。这可能是也可能不是聊天机器人的安全问题,但显然需要考虑。
担心通过 FacebookMessenger 和Slack 等聊天平台传输对话数据的企业,可以通过 Mattermost 或 WebChat 等内部或专用cloud 解决方案,使用其他方式与客户交流。
3.安全功能
无论机器人是托管在cloud 还是企业内部,都有许多与机器人相关的安全功能需要考虑。
需要通过内置的基于角色的安全性和多用户管理严格控制管理人员对聊天机器人管理系统的访问。如果需要,这种访问控制可以与企业内部的内部身份和访问管理解决方案(如活动目录和 LDAP)集成。
系统应包括全面而详细的日志,显示用户(包括管理员用户)和系统的活动。应设置警报,以便在发生特定活动时通知管理员和其他人。
除正常警报外,还应设置特殊警报,以通知管理员和其他人特定的可疑活动、事件和异常情况。
存储在服务器上的数据和记录(如客户记录/交互、验证数据)需要使用某种行业标准加密(如 AES-256)。
终端用户和服务器之间的信息传输,以及前端(如Webchat 、网页或聊天平台)和后端系统之间的连接,都需要使用 TLS 等行业标准进行加密。
4.政策和程序
当然,对于上述所有情况来说,关键是要制定相关的政策和程序,以规范信息安全的标准。信息安全不是一次性的设置,而是一项持续的活动。
这些政策和程序不仅将规定如何设置相关软件,还将规定何时以及如何进行定期培训和安全测试。
确保聊天机器人的安全与确保任何其他软件的安全没有区别。在流程开始时需要评估基础数据的机密程度,这将决定组织需要采取哪些措施来确保数据安全。
希望本文能让您对创建安全聊天机器人所涉及的一些安全风险和漏洞有一个高层次的了解。
.svg)
