數(shù)據(jù)泄漏事件連年增長(zhǎng)(38%,來(lái)源于普華永道PWC)

　　盜版問(wèn)題嚴(yán)峻，大幅增加(56%,來(lái)源于普華永道PWC)

　　企業(yè)為數(shù)據(jù)泄漏所付出巨大成本(400萬(wàn)美元/每起事件，來(lái)源于互聯(lián)網(wǎng)數(shù)據(jù)研究中心Ponemon)

　　董事會(huì)因?yàn)閿?shù)據(jù)泄漏事件向CEO和管理層問(wèn)責(zé)(來(lái)源于紐約證券交易所調(diào)研報(bào)告NYSE survey)

　　而另一方面，隨著越來(lái)越多的系統(tǒng)遷移到數(shù)字化環(huán)境以及云環(huán)境，隨之而來(lái)的攻擊威脅也越來(lái)越大。對(duì)于系統(tǒng)的供應(yīng)商來(lái)說(shuō)，更加需要隨時(shí)保持警惕，確保有適當(dāng)?shù)陌踩�策��，并不斷�?duì)網(wǎng)絡(luò)環(huán)境進(jìn)行檢測(cè)以防范潛在的安全隱患。我們發(fā)現(xiàn)，近年來(lái)除了數(shù)據(jù)泄露之外，通過(guò)惡意軟件和其他手段用來(lái)勒索錢(qián)財(cái)?shù)陌讣�也越�?lái)越多。

　　酒店需要在網(wǎng)絡(luò)安全方面變得更加靈活，傳統(tǒng)情況下，很多危機(jī)處理是基于事后的彌補(bǔ)，在發(fā)生事故后進(jìn)行調(diào)整，而不是在危機(jī)發(fā)生之前提高整個(gè)網(wǎng)絡(luò)環(huán)境的安全性，加強(qiáng)保護(hù)措施�，F(xiàn)如今，我們面臨的潛在安全威脅和隱患每天都在變化和增長(zhǎng)，這也要求酒店提升相應(yīng)能力，并能夠快速了解攻擊者及其使用的攻擊方式和手段，與時(shí)俱進(jìn)。隨著物聯(lián)網(wǎng)的發(fā)展，尤其是當(dāng)我們把閉路電視和語(yǔ)音控制都轉(zhuǎn)移到云端時(shí)，就需要對(duì)客戶(hù)隱私數(shù)據(jù)更加關(guān)注，并隨時(shí)用這些問(wèn)題警醒自己：誰(shuí)能夠訪(fǎng)問(wèn)這些數(shù)據(jù)?我們采取了哪些措施來(lái)保護(hù)數(shù)據(jù)信息，以規(guī)避風(fēng)險(xiǎn)?

　　酒店為什么是數(shù)據(jù)泄露的高發(fā)行業(yè)

　　根據(jù)很多媒體的報(bào)告，酒店行業(yè)是數(shù)據(jù)泄露的高發(fā)行業(yè)，這主要是因?yàn)榫频晷袠I(yè)存儲(chǔ)了大量的運(yùn)營(yíng)數(shù)據(jù)和客戶(hù)數(shù)據(jù)，這一點(diǎn)足以引起黑客的興趣和關(guān)注，同時(shí)也是因?yàn)榫频晗到y(tǒng)安全級(jí)別不高，使得黑客攻擊變得很容易。這些安全事故的發(fā)生至少是因?yàn)橐韵乱豁?xiàng)或者多項(xiàng)原因：

　　遠(yuǎn)程訪(fǎng)問(wèn)

　　遠(yuǎn)程訪(fǎng)問(wèn)安全級(jí)別不夠，攻擊者很容易對(duì)環(huán)境進(jìn)行遠(yuǎn)程訪(fǎng)問(wèn)并刪除數(shù)據(jù)。

　　默認(rèn)密碼或者密碼安全級(jí)別不夠

　　多起數(shù)據(jù)泄漏事件已經(jīng)一次又一次表明，事故發(fā)生的原因在于企業(yè)使用的密碼安全級(jí)別不夠高或者直接使用了供應(yīng)商提供的默認(rèn)密碼。對(duì)于企業(yè)來(lái)說(shuō)，必須要定期對(duì)密碼做出更改，這包括數(shù)據(jù)庫(kù)密碼和供應(yīng)商在環(huán)境中提前設(shè)定的其它類(lèi)型的密碼。

　　未修補(bǔ)漏洞會(huì)造成系統(tǒng)抗風(fēng)險(xiǎn)能力下降

　　應(yīng)用程序或操作系統(tǒng)中暴露的漏洞，會(huì)使得攻擊者輕而易舉獲取數(shù)據(jù)。企業(yè)需要確保網(wǎng)絡(luò)環(huán)境始終保持在最新?tīng)顟B(tài)，并且所有補(bǔ)丁都得到修復(fù)。

　　對(duì)于酒店來(lái)說(shuō)，需要能夠強(qiáng)化風(fēng)險(xiǎn)防范意識(shí)，用更為先進(jìn)的安全工具武裝自己�，F(xiàn)在有很多安全工具能夠幫助客戶(hù)主動(dòng)對(duì)安全威脅進(jìn)行監(jiān)控，并通過(guò)聚合日志來(lái)檢測(cè)潛在威脅。部分供應(yīng)商會(huì)提供機(jī)器學(xué)習(xí)功能來(lái)幫助企業(yè)對(duì)工具進(jìn)行訓(xùn)練，這樣工具就可以檢測(cè)到哪些是正常行為，哪些是非正常行為。

　　以支付為例，根據(jù)Hospitality Technology 2019年發(fā)布的最新住宿業(yè)技術(shù)報(bào)告，受訪(fǎng)人在支付安全性方面的關(guān)注度相比2017年出現(xiàn)大幅提升。其中PCI合規(guī)性的自我評(píng)估關(guān)注度最高，達(dá)到73%，而針對(duì)EMV[ii]和芯片支付卡的終端升級(jí)漲幅最大，增加了26個(gè)百分點(diǎn)。

Hospitality Technology于2019年發(fā)布的住宿業(yè)支付報(bào)告(圖片來(lái)源于網(wǎng)絡(luò))

　　同時(shí)，收集和存儲(chǔ)來(lái)自電腦終端的日志數(shù)據(jù)、來(lái)自應(yīng)用程序、防火墻、服務(wù)器、VPN、防病毒/惡意軟件工具和網(wǎng)絡(luò)訪(fǎng)問(wèn)的活動(dòng)日志對(duì)于建立基本的酒店安全措施并監(jiān)測(cè)改進(jìn)結(jié)果，也至關(guān)重要。

　　采用云技術(shù)過(guò)程中如何強(qiáng)化安全管理

　　云技術(shù)在最近幾年的發(fā)展非�？臁Ｔ平鉀Q方案為酒店帶來(lái)的好處是顯而易見(jiàn)的，在成本方面帶來(lái)了更大的便利性和靈活性(由資本性支出轉(zhuǎn)變?yōu)檫\(yùn)營(yíng)性支出)，并擁有彈性資源來(lái)適應(yīng)系統(tǒng)使用的高峰和低谷。這時(shí)候，由于酒店更可能用供應(yīng)商來(lái)進(jìn)行功能性的維護(hù)，因此可能會(huì)減少相應(yīng)的人員配置，但是這里減少的人員，最終應(yīng)該重新投入到對(duì)系統(tǒng)的安全性維護(hù)中去。

　　讓我們假設(shè)您的酒店使用的是云解決方案，這個(gè)時(shí)候，對(duì)電腦終端的安全性維護(hù)仍然非常重要，這一點(diǎn)需要我們格外注意。因?yàn)殡娔X終端提供了通往云平臺(tái)應(yīng)用程序的關(guān)鍵路徑，一旦這個(gè)路徑打通就意味著能夠輕易獲取數(shù)據(jù)。換句話(huà)來(lái)說(shuō)，如果用戶(hù)的電腦終端感染了能夠捕獲鍵盤(pán)輸入的惡意軟件，那就意味著惡意攻擊者已經(jīng)找到了進(jìn)入酒店云應(yīng)用程序的方法。因次，對(duì)于酒店電腦終端的安全維護(hù)和監(jiān)視是至關(guān)重要的。

　　在此情況下，云供應(yīng)商應(yīng)該制定強(qiáng)有力的安全管理策略，并獲得云環(huán)境運(yùn)營(yíng)的相關(guān)行業(yè)標(biāo)準(zhǔn)認(rèn)證，包括ISO,PCI-DSS和CSL認(rèn)證等。云服務(wù)提供商需要能夠充分向酒店展示和說(shuō)明他們會(huì)采取哪些具體措施來(lái)確保數(shù)據(jù)的安全性，如何加密和保護(hù)這些數(shù)據(jù)免受攻擊，以及一旦受到攻擊時(shí)有什么補(bǔ)救措施。

　　建立安全的云環(huán)境需要持續(xù)性的投入。以石基為例，我們采取了一系列完善的措施，來(lái)確保環(huán)境的安全，進(jìn)而確保用戶(hù)的數(shù)據(jù)安全。在過(guò)去的幾年時(shí)間里，石基已經(jīng)先后取得了ISO 27001、PCI-DSS和GDPR等國(guó)內(nèi)和國(guó)際最嚴(yán)苛的且最領(lǐng)先的行業(yè)認(rèn)證，并投入了大量的資源對(duì)運(yùn)營(yíng)系統(tǒng)以及應(yīng)用程序的開(kāi)源組件進(jìn)行監(jiān)控，確保補(bǔ)丁的及時(shí)修復(fù)。除了部署了最先進(jìn)的安全工具(涉及集中式日志記錄及事件監(jiān)控，用戶(hù)訪(fǎng)問(wèn)的MFA，防病毒/惡意軟件，文件完整性監(jiān)控，網(wǎng)頁(yè)應(yīng)用程序防火墻等的管理和監(jiān)控)之外，應(yīng)用安全團(tuán)隊(duì)還致力于針對(duì)應(yīng)用程序進(jìn)行滲透測(cè)試、代碼審查和安全部署驗(yàn)證(“白帽黑客”)。通過(guò)不斷嘗試滲透應(yīng)用程序，我們就能夠在真正的攻擊發(fā)生之前，找到并彌補(bǔ)任何漏洞。在核心系統(tǒng)對(duì)支付卡數(shù)據(jù)進(jìn)行標(biāo)記化處理，縮小PCI范圍和攻擊風(fēng)險(xiǎn)。

　　酒店可以采取哪些技術(shù)措施來(lái)加強(qiáng)數(shù)據(jù)的安全性

　　酒店企業(yè)可以采用幾種技術(shù)來(lái)增強(qiáng)數(shù)據(jù)安全性，并且將攻擊風(fēng)險(xiǎn)降到最低。主要涉及以下幾個(gè)方面：

　　基礎(chǔ)設(shè)施

　　1.確保所有遠(yuǎn)程訪(fǎng)問(wèn)都通過(guò)安全途徑進(jìn)行，包括使用多因素身份驗(yàn)證。

　　2.為每一個(gè)需要聯(lián)網(wǎng)的系統(tǒng)設(shè)置并部署Web應(yīng)用程序防火墻(WAF)。

　　3.在所有的環(huán)境和電腦終端部署防病毒、反惡意軟件和防火墻。

　　4.部署文件監(jiān)控系統(tǒng)，以監(jiān)控重要文件的更改。

　　5.確保任何基于網(wǎng)絡(luò)的通信都使用TLS1.2加密。

　　6.服務(wù)器和電腦終端都需要遵循行業(yè)強(qiáng)化標(biāo)準(zhǔn)。

　　7.確保在整個(gè)技術(shù)體系中對(duì)日志進(jìn)行整合和監(jiān)控。

　　應(yīng)用程序

　　1.在可能的情況下加密靜態(tài)數(shù)據(jù)，如果攻擊者只能得到加密的數(shù)據(jù)，實(shí)際上我們就沒(méi)有什么可擔(dān)憂(yōu)。同時(shí)，需要確保有加密密鑰定期輪換策略。

　　2.使用標(biāo)記化技術(shù)處理支付卡信息甚至個(gè)人敏感信息。如果酒店不存儲(chǔ)這些敏感數(shù)據(jù)，對(duì)于攻擊者來(lái)說(shuō)則沒(méi)有什么好竊取的內(nèi)容。

　　3.制定強(qiáng)密碼策略，并且針對(duì)所有用戶(hù)強(qiáng)制執(zhí)行，包括定期密碼更改。

　　總體來(lái)說(shuō)，酒店行業(yè)在安全管理方面需要做到防患于未然。筆者將行業(yè)在數(shù)據(jù)安全管理方面的建議總結(jié)為以下幾點(diǎn)：對(duì)操作系統(tǒng)和應(yīng)用程序定期進(jìn)行補(bǔ)丁修復(fù)、確保遠(yuǎn)程訪(fǎng)問(wèn)的安全性、制定有效的安全管理和監(jiān)控政策、在存儲(chǔ)和傳輸過(guò)程中對(duì)數(shù)據(jù)進(jìn)行加密、盡可能減少對(duì)敏感數(shù)據(jù)的存儲(chǔ)(包括使用標(biāo)記化技術(shù)，對(duì)不需要的數(shù)據(jù)進(jìn)行清除等)。(本文作者系石基信息系統(tǒng)集成與安全高級(jí)總監(jiān) James Montague)