數(shù)據(jù)泄漏事件連年增長(38%,來源于普華永道PWC)

　　盜版問題嚴峻，大幅增加(56%,來源于普華永道PWC)

　　企業(yè)為數(shù)據(jù)泄漏所付出巨大成本(400萬美元/每起事件，來源于互聯(lián)網(wǎng)數(shù)據(jù)研究中心Ponemon)

　　董事會因為數(shù)據(jù)泄漏事件向CEO和管理層問責(來源于紐約證券交易所調(diào)研報告NYSE survey)

　　而另一方面，隨著越來越多的系統(tǒng)遷移到數(shù)字化環(huán)境以及云環(huán)境，隨之而來的攻擊威脅也越來越大。對于系統(tǒng)的供應商來說，更加需要隨時保持警惕，確保有適當?shù)陌踩�策略，并不斷對網(wǎng)絡環(huán)境進行檢測以防范潛在的安全隱患。我們發(fā)現(xiàn)，近年來除了數(shù)據(jù)泄露之外，通過惡意軟件和其他手段用來勒索錢財?shù)陌讣�也越來越多�?/span>

　　酒店需要在網(wǎng)絡安全方面變得更加靈活，傳統(tǒng)情況下，很多危機處理是基于事后的彌補，在發(fā)生事故后進行調(diào)整，而不是在危機發(fā)生之前提高整個網(wǎng)絡環(huán)境的安全性，加強保護措施�，F(xiàn)如今，我們面臨的潛在安全威脅和隱患每天都在變化和增長，這也要求酒店提升相應能力，并能夠快速了解攻擊者及其使用的攻擊方式和手段，與時俱進。隨著物聯(lián)網(wǎng)的發(fā)展，尤其是當我們把閉路電視和語音控制都轉(zhuǎn)移到云端時，就需要對客戶隱私數(shù)據(jù)更加關注，并隨時用這些問題警醒自己：誰能夠訪問這些數(shù)據(jù)?我們采取了哪些措施來保護數(shù)據(jù)信息，以規(guī)避風險?

　　酒店為什么是數(shù)據(jù)泄露的高發(fā)行業(yè)

　　根據(jù)很多媒體的報告，酒店行業(yè)是數(shù)據(jù)泄露的高發(fā)行業(yè)，這主要是因為酒店行業(yè)存儲了大量的運營數(shù)據(jù)和客戶數(shù)據(jù)，這一點足以引起黑客的興趣和關注，同時也是因為酒店系統(tǒng)安全級別不高，使得黑客攻擊變得很容易。這些安全事故的發(fā)生至少是因為以下一項或者多項原因：

　　遠程訪問

　　遠程訪問安全級別不夠，攻擊者很容易對環(huán)境進行遠程訪問并刪除數(shù)據(jù)。

　　默認密碼或者密碼安全級別不夠

　　多起數(shù)據(jù)泄漏事件已經(jīng)一次又一次表明，事故發(fā)生的原因在于企業(yè)使用的密碼安全級別不夠高或者直接使用了供應商提供的默認密碼。對于企業(yè)來說，必須要定期對密碼做出更改，這包括數(shù)據(jù)庫密碼和供應商在環(huán)境中提前設定的其它類型的密碼。

　　未修補漏洞會造成系統(tǒng)抗風險能力下降

　　應用程序或操作系統(tǒng)中暴露的漏洞，會使得攻擊者輕而易舉獲取數(shù)據(jù)。企業(yè)需要確保網(wǎng)絡環(huán)境始終保持在最新狀態(tài)，并且所有補丁都得到修復。

　　對于酒店來說，需要能夠強化風險防范意識，用更為先進的安全工具武裝自己�，F(xiàn)在有很多安全工具能夠幫助客戶主動對安全威脅進行監(jiān)控，并通過聚合日志來檢測潛在威脅。部分供應商會提供機器學習功能來幫助企業(yè)對工具進行訓練，這樣工具就可以檢測到哪些是正常行為，哪些是非正常行為。

　　以支付為例，根據(jù)Hospitality Technology 2019年發(fā)布的最新住宿業(yè)技術報告，受訪人在支付安全性方面的關注度相比2017年出現(xiàn)大幅提升。其中PCI合規(guī)性的自我評估關注度最高，達到73%，而針對EMV[ii]和芯片支付卡的終端升級漲幅最大，增加了26個百分點。

Hospitality Technology于2019年發(fā)布的住宿業(yè)支付報告(圖片來源于網(wǎng)絡)

　　同時，收集和存儲來自電腦終端的日志數(shù)據(jù)、來自應用程序、防火墻、服務器、VPN、防病毒/惡意軟件工具和網(wǎng)絡訪問的活動日志對于建立基本的酒店安全措施并監(jiān)測改進結果，也至關重要。

　　采用云技術過程中如何強化安全管理

　　云技術在最近幾年的發(fā)展非常快。云解決方案為酒店帶來的好處是顯而易見的，在成本方面帶來了更大的便利性和靈活性(由資本性支出轉(zhuǎn)變?yōu)檫\營性支出)，并擁有彈性資源來適應系統(tǒng)使用的高峰和低谷。這時候，由于酒店更可能用供應商來進行功能性的維護，因此可能會減少相應的人員配置，但是這里減少的人員，最終應該重新投入到對系統(tǒng)的安全性維護中去。

　　讓我們假設您的酒店使用的是云解決方案，這個時候，對電腦終端的安全性維護仍然非常重要，這一點需要我們格外注意。因為電腦終端提供了通往云平臺應用程序的關鍵路徑，一旦這個路徑打通就意味著能夠輕易獲取數(shù)據(jù)。換句話來說，如果用戶的電腦終端感染了能夠捕獲鍵盤輸入的惡意軟件，那就意味著惡意攻擊者已經(jīng)找到了進入酒店云應用程序的方法。因次，對于酒店電腦終端的安全維護和監(jiān)視是至關重要的。

　　在此情況下，云供應商應該制定強有力的安全管理策略，并獲得云環(huán)境運營的相關行業(yè)標準認證，包括ISO,PCI-DSS和CSL認證等。云服務提供商需要能夠充分向酒店展示和說明他們會采取哪些具體措施來確保數(shù)據(jù)的安全性，如何加密和保護這些數(shù)據(jù)免受攻擊，以及一旦受到攻擊時有什么補救措施。

　　建立安全的云環(huán)境需要持續(xù)性的投入。以石基為例，我們采取了一系列完善的措施，來確保環(huán)境的安全，進而確保用戶的數(shù)據(jù)安全。在過去的幾年時間里，石基已經(jīng)先后取得了ISO 27001、PCI-DSS和GDPR等國內(nèi)和國際最嚴苛的且最領先的行業(yè)認證，并投入了大量的資源對運營系統(tǒng)以及應用程序的開源組件進行監(jiān)控，確保補丁的及時修復。除了部署了最先進的安全工具(涉及集中式日志記錄及事件監(jiān)控，用戶訪問的MFA，防病毒/惡意軟件，文件完整性監(jiān)控，網(wǎng)頁應用程序防火墻等的管理和監(jiān)控)之外，應用安全團隊還致力于針對應用程序進行滲透測試、代碼審查和安全部署驗證(“白帽黑客”)。通過不斷嘗試滲透應用程序，我們就能夠在真正的攻擊發(fā)生之前，找到并彌補任何漏洞。在核心系統(tǒng)對支付卡數(shù)據(jù)進行標記化處理，縮小PCI范圍和攻擊風險。

　　酒店可以采取哪些技術措施來加強數(shù)據(jù)的安全性

　　酒店企業(yè)可以采用幾種技術來增強數(shù)據(jù)安全性，并且將攻擊風險降到最低。主要涉及以下幾個方面：

　　基礎設施

　　1.確保所有遠程訪問都通過安全途徑進行，包括使用多因素身份驗證。

　　2.為每一個需要聯(lián)網(wǎng)的系統(tǒng)設置并部署Web應用程序防火墻(WAF)。

　　3.在所有的環(huán)境和電腦終端部署防病毒、反惡意軟件和防火墻。

　　4.部署文件監(jiān)控系統(tǒng)，以監(jiān)控重要文件的更改。

　　5.確保任何基于網(wǎng)絡的通信都使用TLS1.2加密。

　　6.服務器和電腦終端都需要遵循行業(yè)強化標準。

　　7.確保在整個技術體系中對日志進行整合和監(jiān)控。

　　應用程序

　　1.在可能的情況下加密靜態(tài)數(shù)據(jù)，如果攻擊者只能得到加密的數(shù)據(jù)，實際上我們就沒有什么可擔憂。同時，需要確保有加密密鑰定期輪換策略。

　　2.使用標記化技術處理支付卡信息甚至個人敏感信息。如果酒店不存儲這些敏感數(shù)據(jù)，對于攻擊者來說則沒有什么好竊取的內(nèi)容。

　　3.制定強密碼策略，并且針對所有用戶強制執(zhí)行，包括定期密碼更改。

　　總體來說，酒店行業(yè)在安全管理方面需要做到防患于未然。筆者將行業(yè)在數(shù)據(jù)安全管理方面的建議總結為以下幾點：對操作系統(tǒng)和應用程序定期進行補丁修復、確保遠程訪問的安全性、制定有效的安全管理和監(jiān)控政策、在存儲和傳輸過程中對數(shù)據(jù)進行加密、盡可能減少對敏感數(shù)據(jù)的存儲(包括使用標記化技術，對不需要的數(shù)據(jù)進行清除等)。(本文作者系石基信息系統(tǒng)集成與安全高級總監(jiān) James Montague)