2015能否成为旅游电商的网络安全元年?

近两年来,传统旅行社受到OTA冲击,纷纷触网电商化。电商化过程中,网络信息安全是极其重要的一项内容。如果没有网络信息安全,旅行社在投入了资金、辛苦地转型,借网络获取了大量新用户和订单后,因信息安全事故导致的损失会让之前的努力付诸东流,甚至给企业带来不可估量的损失。

2014年春、秋各有一起旅游电商用户信息被泄露(秋季事件中还有用户遭遇了电信诈骗)的新闻轰动一时。这两起事件的社会影响较大,事件所涉企业蒙受了较大的品牌(信誉)损失,都为此付出了经济赔偿。

就在上述两起事件的影响消弭之际,12月底12306网站多达13万的用户数据信息泄露事件引发更多人的关注。12306网站随后发表声明称:“12306官方网站数据库所有用户密码均为多次加密的非明文转换码,网上泄露的用户信息系经其他网站或渠道流出。……12306官方网站郑重提醒广大旅客,……请您通过12306官方网站购票,不要使用第三方抢票软件购票,或委托第三方网站购票,以防止您的个人身份信息外泄。”12306网站的声明把代售火车票的OTA们拉入了信息安全的话题中。

这几起事件足以警示旅游电商对网络安全进行思考,对普遍存在的信息安全隐患加强重视。通过对这几起事件的分析,发现常见的安全隐患有:

1)不遵守相关规定

根据《银联卡收单机构账户信息安全管理标准》和PCI-DSS(第三方支付行业数据安全标准),不得保存用户的支付信息(如持卡人姓名、身份证银行卡类别、银行卡号、CVV码等)。如果保存又不加密,则黑客通过系统漏洞进入,可轻而易举(不必费时费力解密)获取这些信息,会给用户造成巨大损失。此举严重威胁到了企业和用户的财产安全。

2)系统漏洞修补不及时;

3)不加密直接保存敏感数据(用户信息)等;

前事不忘后事之师,旅游企业在为2015年的发展而谋划时,需不断加强网络安全建设,做好信息安全防范,保证自身业务的平稳发展。具体说来,有如下几点可供参考。

首先应明确:在网络安全问题上,最根本和最重要的是管理和制度

技术导致的事故概率并不高,严格的管理、完善的制度可以防范技术问题带来的隐患。从技术角度看,当下通行的硬件防火墙和软件(数据库)加密技术可以维护好信息安全,只要做好这两点,高水平黑客攻击后破解并读取到信息的概率极小。通过前述三起事件,我们可以了解到:建立健全制度、严格进行管理,网络安全风范可以被成功防范。而疏于管理、不健全的制度最易导致信息泄露。

其次要做到:

1.将网络安全信息管理提升到一把手工程,CEO亲自抓、亲自过问。

常见旅游企业老总以网络安全是纯粹技术问题为由,归责于技术负责人(如CTO)。管理层多出身于非技术专业,完全不懂网络技术和数据加密等专业技术,但不能以此作为不承担起管理责任的理由。具体技术问题确实是该由技术人员实施,但CEO作为企业的最终负责人,对企业的方方面面全责,在信息安全方面,应当配合CTO的工作,再结合公司业务特点建立健全信息安全制度,并以身作则遵守制度。

2.订立并执行密码制度:

1)根据权限和业务设置不同账户,严谨共用账户和密码;

2)密码的长度和复杂度需符合相关技术规定;

3)定期修改密码,密码修改情况或可与KPI挂钩;通过算法(algorithm)监管。

3.遵守有关法规和行业规定

严守相关规定,如根据PCI-DSS(第三方支付行业数据安全标准)和《银联卡收单机构账户信息安全管理标准》,保存的信息可为多次加密的非明文转换码,但不可在保存信息中含有明文密码。

4.选择可靠的系统(数据库)开发商和交易伙伴,防止信息由此泄露。

5.与各方签订保密协议,分清责任,约定泄密后的责任和义务。

6.查漏补缺制度化常态

7.其他(全员普及网络安全常识,了解工作中容易泄密的问题点,结合业务运营特点,时时梳理变革业务操作规范,警惕安全制度的漏洞等)。

上述策略为笔者一家之言,仅供参考,具体情况还需企业需视各自业务特点而定。(各国的电子商务及通信保密法规要求各不相同,入境游电商更要仔细研究相关法规。)

愿2014年的事故让国内旅游企业的CEO们真正绷紧网络安全这根神经,建立健全相应制度,规范技术及非技术层面的操作,将漏洞压缩在最小范围,保证用户和企业自身的安全,成长为坚实而强大的企业,为游客提供安全而优质的服务。希望2015成为中国旅游电商的网络安全元年!

*本文的技术顾问为IT老兵张卫东先生,在此表示感谢!