從攜程用戶數(shù)據(jù)泄露再看互聯(lián)網(wǎng)影響下的信息安全，企業(yè)與用戶之間已形成多渠道全接觸點(diǎn)，移動客戶端讓用戶手機(jī)成為信息系統(tǒng)的一部分，再加上社會信息化環(huán)境的影響，信息安全成為前所未有的復(fù)雜問題。

周應(yīng)/文

3月22日，第三方漏洞報(bào)告平臺烏云網(wǎng)在其官網(wǎng)上公布了一條網(wǎng)絡(luò)安全信息，指出攜程安全支付日志可直接下載，可能導(dǎo)致大量用戶銀行卡信息泄露，包含持卡人姓名、身份證、銀行卡號、卡CVV碼、6位卡Bin等。烏云方面解釋，該漏洞之所以存在，由于攜程用于處理用戶支付的安全支付服務(wù)器接口存在調(diào)試功能，將用戶支付的記錄用文本保存了下來，同時因?yàn)楸４嬷Ц度罩镜姆?wù)器未做較嚴(yán)格的基線安全配置，存在目錄遍歷漏洞，導(dǎo)致所有支付過程中的調(diào)試信息可被任意黑客讀取。
這一安全事件為3月25日由中國酒店科技聯(lián)盟發(fā)起舉辦的中國酒店信息安全論壇又增添了一個討論熱點(diǎn)。這一論壇的起因原本是去年10月酒店業(yè)2000萬客戶數(shù)據(jù)泄露事件，發(fā)布方也是烏云網(wǎng)。
烏云網(wǎng)創(chuàng)始人方小頓也出現(xiàn)在會議現(xiàn)場，他稱烏云網(wǎng)是一個自由平等的漏洞報(bào)告平臺，其創(chuàng)立初衷之一是在廠商和被稱為白帽子的黑客之間建立一個溝通平臺，為計(jì)算機(jī)廠商和安全研究者提供各種參考以及漏洞BUG的修復(fù)。
不可否認(rèn)的是，除此次公布的攜程泄露事件之外，烏云網(wǎng)上公布的一系列知名企業(yè)的信息泄露歷史數(shù)據(jù)已經(jīng)使其聲名大燥，也使信息安全問題在社會信息化高度發(fā)達(dá)的大環(huán)境下被企業(yè)提升到前所未有的重視態(tài)度。



安全事件or隱私事件？

會議主持人，錦江國際酒店管理有限公司高級副總裁張興國稱：信息安全管理有三個重要因素：技術(shù)、管理、人。在現(xiàn)有條件下，信息安全上技術(shù)問題是相對次要的，管理和人的因素更為突出。
現(xiàn)場討論中，與會CIO與安全專家多數(shù)認(rèn)為，攜程事件更多是一個隱私事件而非安全事件，其關(guān)鍵在于攜程擅自存儲客戶個人信息。而國家對于相關(guān)隱私保護(hù)條款非常含糊。酒店行業(yè)應(yīng)該吸取這個教訓(xùn)，在客戶服務(wù)體驗(yàn)和信息安全之間尋找平衡。
事件驅(qū)動型是信息安全發(fā)展的第一階段，緊隨其后的則是合規(guī)驅(qū)動。以保護(hù)客人隱私為已任的酒店行業(yè)，面對科技發(fā)展帶來的機(jī)遇與風(fēng)險，在此次論壇上提出了相關(guān)的信息安全公約。

大數(shù)據(jù)時代讓個人信息數(shù)據(jù)成利益源頭

金陵酒店管理集團(tuán)副總裁/首席信息官楊永彪認(rèn)為，現(xiàn)在的硬件、軟件、服務(wù)可靠性都非常高，但信息安全問題仍然存在，互聯(lián)網(wǎng)大環(huán)境對信息安全的影響更為重大。2013年國內(nèi)外主要數(shù)據(jù)泄漏事件，其共性都是個人信息的泄漏。大數(shù)據(jù)時代提出精準(zhǔn)營銷，精準(zhǔn)營銷的根源就在于對個人信息的記錄。數(shù)據(jù)安全問題背后是利益問題，大數(shù)據(jù)時代，個人信息數(shù)據(jù)就是資產(chǎn)。
我們在享有信息化帶來的便利的同時，忽略了關(guān)鍵的個人隱私安全問題。個人隱私保護(hù)、企業(yè)職業(yè)操守、安全管理流程與規(guī)范和法律規(guī)范等方面中國還有重大的缺失。由于反腐的要求，政府要求提供住店客人的信息，這個高尚目的背后卻忽視了過程中應(yīng)體現(xiàn)的社會責(zé)任。如果沒有人相信在互聯(lián)網(wǎng)上操作安全性的時候，這會是對社會以及每一個人的損失。相關(guān)數(shù)據(jù)表明從2012到2013年數(shù)據(jù)泄密事件相對減少，但其影響范圍和泄密方式卻不斷升級。

互聯(lián)網(wǎng)帶來的復(fù)雜安全問題
互聯(lián)網(wǎng)正在改變一切。它改變信息不對稱格局，竭盡所能透明一切信息，對產(chǎn)生的大數(shù)據(jù)進(jìn)行整合，使資源利用最大化，同時降低信息擁有成本，打破信息壟斷，與客戶形成多渠道全接觸點(diǎn)的接觸。在這種環(huán)境下，攜程的平臺上整合了吃住行購?qiáng)噬痰母鞣N第三方專業(yè)資源，消費(fèi)者對于旅行服務(wù)的各種訴求形成的服務(wù)集成商，形成了復(fù)雜的用戶入口和信息接觸點(diǎn)。信息安全風(fēng)險呈指數(shù)級增長。
信息技術(shù)是引爆互聯(lián)網(wǎng)的導(dǎo)火索，如手機(jī)成為酒店業(yè)一個重要的客戶入口，中國已有5億智能手機(jī)用戶，這帶來了巨大的移動互聯(lián)網(wǎng)發(fā)展機(jī)會，但也使客戶直接介入企業(yè)系統(tǒng)，形成安全隱患。通過互聯(lián)網(wǎng)支付已經(jīng)成為習(xí)慣，攜程事件也有可能對第三方支付市場帶來深遠(yuǎn)影響。
在社會信息化環(huán)境下，信息安全發(fā)展經(jīng)歷了點(diǎn)、線、系統(tǒng)、空間幾個階段，在這個基礎(chǔ)上，信息安全的定義延伸出新的問題：如安全目標(biāo)的保密性、完整性、可用性。現(xiàn)在的信息安全管理已經(jīng)發(fā)展到多接觸點(diǎn)、多流程、多平臺的空間管理階段。
從這個角度看，烏云網(wǎng)實(shí)際上做了一件對社會有利的事情，他們應(yīng)扮演對漏洞的發(fā)現(xiàn)、尋獲、彌補(bǔ)的角色，成為信息安全產(chǎn)業(yè)鏈的一部分。
而信息安全對于企業(yè)來說也不再只是IT部門的事，信息部門應(yīng)與市場和公關(guān)部門共同建立信息安全預(yù)案，了解問題、確定方案、快速實(shí)施、及時反饋。攜程目前只公布了技術(shù)問題，但并沒有對相應(yīng)的危機(jī)事情形成及時反饋和處理。呼吁建立新的行業(yè)準(zhǔn)則，在保護(hù)客戶隱私、提升客戶體驗(yàn)的基礎(chǔ)上建立信息安全管理規(guī)范。

對話攜程漏洞發(fā)布平臺烏云網(wǎng)

主持人：張興國 錦江酒店管理有限公司高級副總裁、中國酒店科技聯(lián)盟首席運(yùn)營官
對話嘉賓：方小頓 烏云網(wǎng)創(chuàng)始人

張興國：現(xiàn)在“烏云”在圈內(nèi)圈外已經(jīng)名氣很響了，當(dāng)初是出于怎樣的考慮，取名為“烏云”？
方小頓：因?yàn)椤盀踉啤北澈笥星缣臁Ｎ覀儺?dāng)初覺得安全行業(yè)環(huán)境不夠好，與互聯(lián)網(wǎng)提倡的開放和分享走得很遠(yuǎn)，不利于整個社區(qū)的成長和行業(yè)的發(fā)展，所以就想讓整個的行業(yè)變得更開放一些，這有利于我們的工作和成長，所以就選擇了個安全問題報(bào)告作為一個突破點(diǎn)。
因?yàn)橹袊厣默F(xiàn)狀，安全領(lǐng)域做得很小心，信息化發(fā)展到現(xiàn)在，國外的那一套依舊不適應(yīng)中國。如果說“烏云”現(xiàn)在略有點(diǎn)名氣，只是因?yàn)槲覀冊趯Φ臅r間做了一件相對來說比較對的事情。
我們試圖做一個公益的社區(qū)。當(dāng)然，在國家層面也有類似的報(bào)告平臺。而我們是從民間的角度出發(fā)，幫國家的基礎(chǔ)設(shè)施解決了一些問題。官方給與我們一定的支持。但目前沒有很多純商業(yè)化的因素。
張興國：民間對于“烏云”有著截然不同的兩種看法，反對的聲音認(rèn)為，“烏云”其實(shí)就是最大的黑客聚集場所。那么，“烏云”的盈利模式是怎樣的？“烏云”的將來會以怎樣的方式擴(kuò)大？如何將對網(wǎng)絡(luò)的隨機(jī)偵測轉(zhuǎn)化為有序的行動？
方小頓：在我們的平臺上，有4000多個注冊白帽子，5000多家廠商。如果發(fā)現(xiàn)一個漏洞，就去找廠家談判，從中獲取利潤，這是一種很容易的操作模式，但至今為止，我們沒有以這樣的模式賺過1分錢。我們之間，是一種信任，是很難建立的信任。為什么沒有采取這樣的盈利模式，是因?yàn)楦杏X中國市場還有一段空檔期，很多企業(yè)拒絕考慮用戶體驗(yàn)，因?yàn)槔锩嫔婕暗酵度搿５呛芨吲d的是，目前已經(jīng)有更多的行業(yè)已經(jīng)走在前面，主動幫用戶考慮到“安全感”。
烏云核心的運(yùn)營思路就是開放和分享的原則，信息的流動能夠帶來社區(qū)的活躍，在積累了大量的安全問題基礎(chǔ)數(shù)據(jù)之后，我們希望能夠與白帽子一起除發(fā)現(xiàn)問題之后還能給大家?guī)砀嗟臇|西，譬如如何解決和規(guī)避安全問題。
張興國：如何評價酒店行業(yè)的安全問題？
方小頓：IT化時代，安全問題存在于所有行業(yè)中，正視，是最重要的一步。一旦正視，風(fēng)險就已經(jīng)降低了很多。