2015能否成爲旅遊電商的網絡安全元年?

近兩年來,傳統旅行社受到OTA衝擊,紛紛觸網電商化。電商化過程中,網絡信息安全是極其重要的一項內容。如果沒有網絡信息安全,旅行社在投入了資金、辛苦地轉型,借網絡獲取了大量新用戶和訂單後,因信息安全事故導致的損失會讓之前的努力付諸東流,甚至給企業帶來不可估量的損失。

2014年春、秋各有一起旅遊電商用戶信息被泄露(秋季事件中還有用戶遭遇了電信詐騙)的新聞轟動一時。這兩起事件的社會影響較大,事件所涉企業蒙受了較大的品牌(信譽)損失,都爲此付出了經濟賠償。

就在上述兩起事件的影響消弭之際,12月底12306網站多達13萬的用戶數據信息泄露事件引發更多人的關注。12306網站隨後發表聲明稱:“12306官方網站數據庫所有用戶密碼均爲多次加密的非明文轉換碼,網上泄露的用戶信息系經其他網站或渠道流出。……12306官方網站鄭重提醒廣大旅客,……請您通過12306官方網站購票,不要使用第三方搶票軟件購票,或委託第三方網站購票,以防止您的個人身份信息外泄。”12306網站的聲明把代售火車票的OTA們拉入了信息安全的話題中。

這幾起事件足以警示旅遊電商對網絡安全進行思考,對普遍存在的信息安全隱患加強重視。通過對這幾起事件的分析,發現常見的安全隱患有:

1)不遵守相關規定

根據《銀聯卡收單機構賬戶信息安全管理標準》和PCI-DSS(第三方支付行業數據安全標準),不得保存用戶的支付信息(如持卡人姓名、身份證銀行卡類別、銀行卡號、CVV碼等)。如果保存又不加密,則黑客通過系統漏洞進入,可輕而易舉(不必費時費力解密)獲取這些信息,會給用戶造成巨大損失。此舉嚴重威脅到了企業和用戶的財產安全。

2)系統漏洞修補不及時;

3)不加密直接保存敏感數據(用戶信息)等;

前事不忘後事之師,旅遊企業在爲2015年的發展而謀劃時,需不斷加強網絡安全建設,做好信息安全防範,保證自身業務的平穩發展。具體說來,有如下幾點可供參考。

首先應明確:在網絡安全問題上,最根本和最重要的是管理和制度

技術導致的事故概率並不高,嚴格的管理、完善的制度可以防範技術問題帶來的隱患。從技術角度看,當下通行的硬件防火牆和軟件(數據庫)加密技術可以維護好信息安全,只要做好這兩點,高水平黑客攻擊後破解並讀取到信息的概率極小。通過前述三起事件,我們可以瞭解到:建立健全制度、嚴格進行管理,網絡安全風範可以被成功防範。而疏於管理、不健全的制度最易導致信息泄露。

其次要做到:

1.將網絡安全信息管理提升到一把手工程,CEO親自抓、親自過問。

常見旅遊企業老總以網絡安全是純粹技術問題爲由,歸責於技術負責人(如CTO)。管理層多出身於非技術專業,完全不懂網絡技術和數據加密等專業技術,但不能以此作爲不承擔起管理責任的理由。具體技術問題確實是該由技術人員實施,但CEO作爲企業的最終負責人,對企業的方方面面全責,在信息安全方面,應當配合CTO的工作,再結合公司業務特點建立健全信息安全制度,並以身作則遵守制度。

2.訂立並執行密碼制度:

1)根據權限和業務設置不同賬戶,嚴謹共用賬戶和密碼;

2)密碼的長度和複雜度需符合相關技術規定;

3)定期修改密碼,密碼修改情況或可與KPI掛鉤;通過算法(algorithm)監管。

3.遵守有關法規和行業規定

嚴守相關規定,如根據PCI-DSS(第三方支付行業數據安全標準)和《銀聯卡收單機構賬戶信息安全管理標準》,保存的信息可爲多次加密的非明文轉換碼,但不可在保存信息中含有明文密碼。

4.選擇可靠的系統(數據庫)開發商和交易夥伴,防止信息由此泄露。

5.與各方簽訂保密協議,分清責任,約定泄密後的責任和義務。

6.查漏補缺制度化常態

7.其他(全員普及網絡安全常識,瞭解工作中容易泄密的問題點,結合業務運營特點,時時梳理變革業務操作規範,警惕安全制度的漏洞等)。

上述策略爲筆者一家之言,僅供參考,具體情況還需企業需視各自業務特點而定。(各國的電子商務及通信保密法規要求各不相同,入境遊電商更要仔細研究相關法規。)

願2014年的事故讓國內旅遊企業的CEO們真正繃緊網絡安全這根神經,建立健全相應制度,規範技術及非技術層面的操作,將漏洞壓縮在最小範圍,保證用戶和企業自身的安全,成長爲堅實而強大的企業,爲遊客提供安全而優質的服務。希望2015成爲中國旅遊電商的網絡安全元年!

*本文的技術顧問爲IT老兵張衛東先生,在此表示感謝!