數(shù)據(jù)泄漏事件連年增長(38%,來源于普華永道PWC)

　　盜版問題嚴(yán)峻，大幅增加(56%,來源于普華永道PWC)

　　企業(yè)為數(shù)據(jù)泄漏所付出巨大成本(400萬美元/每起事件，來源于互聯(lián)網(wǎng)數(shù)據(jù)研究中心Ponemon)

　　董事會因為數(shù)據(jù)泄漏事件向CEO和管理層問責(zé)(來源于紐約證券交易所調(diào)研報告NYSE survey)

　　而另一方面，隨著越來越多的系統(tǒng)遷移到數(shù)字化環(huán)境以及云環(huán)境，隨之而來的攻擊威脅也越來越大。對于系統(tǒng)的供應(yīng)商來說，更加需要隨時保持警惕，確保有適當(dāng)?shù)陌踩�策略，并不斷對網(wǎng)絡(luò)環(huán)境進(jìn)行檢測以防范潛在的安全隱患。我們發(fā)現(xiàn)，近年來除了數(shù)據(jù)泄露之外，通過惡意軟件和其他手段用來勒索錢財?shù)陌讣�也越來越多�?/span>

　　酒店需要在網(wǎng)絡(luò)安全方面變得更加靈活，傳統(tǒng)情況下，很多危機(jī)處理是基于事后的彌補(bǔ)，在發(fā)生事故后進(jìn)行調(diào)整，而不是在危機(jī)發(fā)生之前提高整個網(wǎng)絡(luò)環(huán)境的安全性，加強(qiáng)保護(hù)措施。現(xiàn)如今，我們面臨的潛在安全威脅和隱患每天都在變化和增長，這也要求酒店提升相應(yīng)能力，并能夠快速了解攻擊者及其使用的攻擊方式和手段，與時俱進(jìn)。隨著物聯(lián)網(wǎng)的發(fā)展，尤其是當(dāng)我們把閉路電視和語音控制都轉(zhuǎn)移到云端時，就需要對客戶隱私數(shù)據(jù)更加關(guān)注，并隨時用這些問題警醒自己：誰能夠訪問這些數(shù)據(jù)?我們采取了哪些措施來保護(hù)數(shù)據(jù)信息，以規(guī)避風(fēng)險?

　　酒店為什么是數(shù)據(jù)泄露的高發(fā)行業(yè)

　　根據(jù)很多媒體的報告，酒店行業(yè)是數(shù)據(jù)泄露的高發(fā)行業(yè)，這主要是因為酒店行業(yè)存儲了大量的運(yùn)營數(shù)據(jù)和客戶數(shù)據(jù)，這一點(diǎn)足以引起黑客的興趣和關(guān)注，同時也是因為酒店系統(tǒng)安全級別不高，使得黑客攻擊變得很容易。這些安全事故的發(fā)生至少是因為以下一項或者多項原因：

　　遠(yuǎn)程訪問

　　遠(yuǎn)程訪問安全級別不夠，攻擊者很容易對環(huán)境進(jìn)行遠(yuǎn)程訪問并刪除數(shù)據(jù)。

　　默認(rèn)密碼或者密碼安全級別不夠

　　多起數(shù)據(jù)泄漏事件已經(jīng)一次又一次表明，事故發(fā)生的原因在于企業(yè)使用的密碼安全級別不夠高或者直接使用了供應(yīng)商提供的默認(rèn)密碼。對于企業(yè)來說，必須要定期對密碼做出更改，這包括數(shù)據(jù)庫密碼和供應(yīng)商在環(huán)境中提前設(shè)定的其它類型的密碼。

　　未修補(bǔ)漏洞會造成系統(tǒng)抗風(fēng)險能力下降

　　應(yīng)用程序或操作系統(tǒng)中暴露的漏洞，會使得攻擊者輕而易舉獲取數(shù)據(jù)。企業(yè)需要確保網(wǎng)絡(luò)環(huán)境始終保持在最新狀態(tài)，并且所有補(bǔ)丁都得到修復(fù)。

　　對于酒店來說，需要能夠強(qiáng)化風(fēng)險防范意識，用更為先進(jìn)的安全工具武裝自己。現(xiàn)在有很多安全工具能夠幫助客戶主動對安全威脅進(jìn)行監(jiān)控，并通過聚合日志來檢測潛在威脅。部分供應(yīng)商會提供機(jī)器學(xué)習(xí)功能來幫助企業(yè)對工具進(jìn)行訓(xùn)練，這樣工具就可以檢測到哪些是正常行為，哪些是非正常行為。

　　以支付為例，根據(jù)Hospitality Technology 2019年發(fā)布的最新住宿業(yè)技術(shù)報告，受訪人在支付安全性方面的關(guān)注度相比2017年出現(xiàn)大幅提升。其中PCI合規(guī)性的自我評估關(guān)注度最高，達(dá)到73%，而針對EMV[ii]和芯片支付卡的終端升級漲幅最大，增加了26個百分點(diǎn)。

Hospitality Technology于2019年發(fā)布的住宿業(yè)支付報告(圖片來源于網(wǎng)絡(luò))

　　同時，收集和存儲來自電腦終端的日志數(shù)據(jù)、來自應(yīng)用程序、防火墻、服務(wù)器、VPN、防病毒/惡意軟件工具和網(wǎng)絡(luò)訪問的活動日志對于建立基本的酒店安全措施并監(jiān)測改進(jìn)結(jié)果，也至關(guān)重要。

　　采用云技術(shù)過程中如何強(qiáng)化安全管理

　　云技術(shù)在最近幾年的發(fā)展非常快。云解決方案為酒店帶來的好處是顯而易見的，在成本方面帶來了更大的便利性和靈活性(由資本性支出轉(zhuǎn)變?yōu)檫\(yùn)營性支出)，并擁有彈性資源來適應(yīng)系統(tǒng)使用的高峰和低谷。這時候，由于酒店更可能用供應(yīng)商來進(jìn)行功能性的維護(hù)，因此可能會減少相應(yīng)的人員配置，但是這里減少的人員，最終應(yīng)該重新投入到對系統(tǒng)的安全性維護(hù)中去。

　　讓我們假設(shè)您的酒店使用的是云解決方案，這個時候，對電腦終端的安全性維護(hù)仍然非常重要，這一點(diǎn)需要我們格外注意。因為電腦終端提供了通往云平臺應(yīng)用程序的關(guān)鍵路徑，一旦這個路徑打通就意味著能夠輕易獲取數(shù)據(jù)。換句話來說，如果用戶的電腦終端感染了能夠捕獲鍵盤輸入的惡意軟件，那就意味著惡意攻擊者已經(jīng)找到了進(jìn)入酒店云應(yīng)用程序的方法。因次，對于酒店電腦終端的安全維護(hù)和監(jiān)視是至關(guān)重要的。

　　在此情況下，云供應(yīng)商應(yīng)該制定強(qiáng)有力的安全管理策略，并獲得云環(huán)境運(yùn)營的相關(guān)行業(yè)標(biāo)準(zhǔn)認(rèn)證，包括ISO,PCI-DSS和CSL認(rèn)證等。云服務(wù)提供商需要能夠充分向酒店展示和說明他們會采取哪些具體措施來確保數(shù)據(jù)的安全性，如何加密和保護(hù)這些數(shù)據(jù)免受攻擊，以及一旦受到攻擊時有什么補(bǔ)救措施。

　　建立安全的云環(huán)境需要持續(xù)性的投入。以石基為例，我們采取了一系列完善的措施，來確保環(huán)境的安全，進(jìn)而確保用戶的數(shù)據(jù)安全。在過去的幾年時間里，石基已經(jīng)先后取得了ISO 27001、PCI-DSS和GDPR等國內(nèi)和國際最嚴(yán)苛的且最領(lǐng)先的行業(yè)認(rèn)證，并投入了大量的資源對運(yùn)營系統(tǒng)以及應(yīng)用程序的開源組件進(jìn)行監(jiān)控，確保補(bǔ)丁的及時修復(fù)。除了部署了最先進(jìn)的安全工具(涉及集中式日志記錄及事件監(jiān)控，用戶訪問的MFA，防病毒/惡意軟件，文件完整性監(jiān)控，網(wǎng)頁應(yīng)用程序防火墻等的管理和監(jiān)控)之外，應(yīng)用安全團(tuán)隊還致力于針對應(yīng)用程序進(jìn)行滲透測試、代碼審查和安全部署驗證(“白帽黑客”)。通過不斷嘗試滲透應(yīng)用程序，我們就能夠在真正的攻擊發(fā)生之前，找到并彌補(bǔ)任何漏洞。在核心系統(tǒng)對支付卡數(shù)據(jù)進(jìn)行標(biāo)記化處理，縮小PCI范圍和攻擊風(fēng)險。

　　酒店可以采取哪些技術(shù)措施來加強(qiáng)數(shù)據(jù)的安全性

　　酒店企業(yè)可以采用幾種技術(shù)來增強(qiáng)數(shù)據(jù)安全性，并且將攻擊風(fēng)險降到最低。主要涉及以下幾個方面：

　　基礎(chǔ)設(shè)施

　　1.確保所有遠(yuǎn)程訪問都通過安全途徑進(jìn)行，包括使用多因素身份驗證。

　　2.為每一個需要聯(lián)網(wǎng)的系統(tǒng)設(shè)置并部署Web應(yīng)用程序防火墻(WAF)。

　　3.在所有的環(huán)境和電腦終端部署防病毒、反惡意軟件和防火墻。

　　4.部署文件監(jiān)控系統(tǒng)，以監(jiān)控重要文件的更改。

　　5.確保任何基于網(wǎng)絡(luò)的通信都使用TLS1.2加密。

　　6.服務(wù)器和電腦終端都需要遵循行業(yè)強(qiáng)化標(biāo)準(zhǔn)。

　　7.確保在整個技術(shù)體系中對日志進(jìn)行整合和監(jiān)控。

　　應(yīng)用程序

　　1.在可能的情況下加密靜態(tài)數(shù)據(jù)，如果攻擊者只能得到加密的數(shù)據(jù)，實(shí)際上我們就沒有什么可擔(dān)憂。同時，需要確保有加密密鑰定期輪換策略。

　　2.使用標(biāo)記化技術(shù)處理支付卡信息甚至個人敏感信息。如果酒店不存儲這些敏感數(shù)據(jù)，對于攻擊者來說則沒有什么好竊取的內(nèi)容。

　　3.制定強(qiáng)密碼策略，并且針對所有用戶強(qiáng)制執(zhí)行，包括定期密碼更改。

　　總體來說，酒店行業(yè)在安全管理方面需要做到防患于未然。筆者將行業(yè)在數(shù)據(jù)安全管理方面的建議總結(jié)為以下幾點(diǎn)：對操作系統(tǒng)和應(yīng)用程序定期進(jìn)行補(bǔ)丁修復(fù)、確保遠(yuǎn)程訪問的安全性、制定有效的安全管理和監(jiān)控政策、在存儲和傳輸過程中對數(shù)據(jù)進(jìn)行加密、盡可能減少對敏感數(shù)據(jù)的存儲(包括使用標(biāo)記化技術(shù)，對不需要的數(shù)據(jù)進(jìn)行清除等)。(本文作者系石基信息系統(tǒng)集成與安全高級總監(jiān) James Montague)