信息安全漏洞誰能盡數(shù)埋單？

2014-03-27 15:25:33 新華網(wǎng) 　點擊量：評論 (0)

近日，攜程漏洞門再度將信息安全問題推向風口浪尖。25日，中國酒店科技聯(lián)盟及上海市信息安全行業(yè)協(xié)會聯(lián)合發(fā)起中國酒店信息安全倡議書，呼吁業(yè)界以及社會共同維護信息安全。在業(yè)內(nèi)人士看來，若未引起足夠重視，信

近日，攜程“漏洞門”再度將信息安全問題推向風口浪尖。25日，中國酒店科技聯(lián)盟及上海市信息安全行業(yè)協(xié)會聯(lián)合發(fā)起“中國酒店信息安全倡議書”，呼吁業(yè)界以及社會共同維護信息安全。在業(yè)內(nèi)人士看來，若未引起足夠重視，信息安全漏洞將成為服務業(yè)及消費領域的“三聚氰胺”。而維護信息安全，更需要企業(yè)、行業(yè)、社會的協(xié)同配合。

　　信息安全漏洞代價幾何？

　　近日，攜程網(wǎng)“漏洞門”再度將信息安全問題推向輿論的風口浪尖。烏云（WooYun）漏洞平臺發(fā)布消息稱攜程將用于處理用戶支付的服務接口開啟了調(diào)試功能，使部分向銀行驗證持卡所有者接口傳輸?shù)臄?shù)據(jù)包均直接存在本地服務器，有可能被黑客所讀取。隨后攜程公告，漏洞共涉及93名存在潛在風險的攜程用戶。攜程旅行網(wǎng)給予這93名用戶每人500元任我行禮品卡作為補償。

　　但無論是業(yè)界還是消費者，對此都繃緊了一根弦：信息安全的代價，遠遠不止于這些禮品卡。如果沒有引起足夠的重視，信息安全漏洞很可能成為服務業(yè)及消費領域的“三聚氰胺”。

　　實際上，以旅游、酒店為代表的社會服務行業(yè)已經(jīng)出現(xiàn)不止一次信息安全危機。2013年，國內(nèi)曝出2000萬條用戶開房數(shù)據(jù)遭泄露事件，一時間引起了社會廣泛的關注。

　　“在交易環(huán)節(jié)通過短信驗證等方式，確定消費者支付的自愿性和安全，還是可以避免消費者財產(chǎn)上的損失。”上海恒順國際旅行社有限公司總經(jīng)理丁偉杰表示，但對于個人信息資料，現(xiàn)在還很難說100%的安全。

　　“對于企業(yè)來說，信息安全漏洞的損失是可以量化的。”金陵酒店管理集團副總裁楊永彪介紹，根據(jù)美國計算機安全協(xié)會2012年統(tǒng)計，丟失20MB的市場營銷、財務以及工程數(shù)據(jù)將分別直接造成1.7萬、1.9萬、9.8萬元的經(jīng)濟損失。

　　中國酒店科技聯(lián)盟首席運營官、錦江國際酒店管理有限公司SVP張興國坦言：“盡管消費者的個人信息究竟值多少錢很難量化，但消費者的信心實際上是非常脆弱的，一旦發(fā)現(xiàn)某一個平臺有這樣的漏洞，消費者會擔憂是不是在其他的企業(yè)也會遇到類似的問題。盡管目前信息安全還沒有嚴重到顛覆整個服務業(yè)，但顯然維護信息安全已經(jīng)刻不容緩。”

　　用戶體驗與信息安全孰輕孰重？

　　萬豪國際酒店管理集團亞太區(qū)信息資源副總裁Martin　Bookallil介紹，酒店業(yè)乃至服務業(yè)用于IT的經(jīng)費，實際上非常有限。這往往是因為加強信息安全保障，并不能直觀地兌現(xiàn)企業(yè)營業(yè)收入或者利潤的增加，因此，加大信息安全投入往往都是被動行為。

　　中國酒店科技聯(lián)盟主席朱靜介紹，縱觀國內(nèi)酒店業(yè)乃至服務業(yè)，盡管經(jīng)過多年的發(fā)展不少企業(yè)已經(jīng)開始具備國際化思維，對信息安全更為重視；經(jīng)中國酒店科技聯(lián)盟對100多家會員酒店CIO或IT總監(jiān)的調(diào)查，中國酒店業(yè)信息安全狀態(tài)總體是可以信任的。但實際上，很少有企業(yè)能夠100%保證自己的信息安全維護是完美無缺的。

　　“隨著消費者對旅行服務的多種訴求催生了服務集成商的產(chǎn)生，這些集成商包含預訂、搜索、媒體的開放式平臺，這就造成渠道、資源和流量復雜入口與信息接觸點。”朱靜介紹，這也使得非法的網(wǎng)絡攻擊行為和黑客技術(shù)也趨于頻繁和更具攻擊性和逐利性。

　　上海市經(jīng)濟與信息化委員會信息安全處副處長劉山泉介紹，酒店業(yè)乃至服務業(yè)面臨同業(yè)化競爭嚴重、行業(yè)洗牌加劇等問題，因此，拓展移動互聯(lián)網(wǎng)運用是提升服務的必經(jīng)之路。

　　誰能為信息安全盡數(shù)埋單？

　　安言咨詢總經(jīng)理張耀疆表示：“現(xiàn)在，信息安全更多地涉及數(shù)據(jù)、信息、業(yè)務，影響范圍已經(jīng)可以覆蓋整個社會，要解決的問題也從單純的技術(shù)問題上升到了涉及立法執(zhí)法、經(jīng)濟秩序、國家安全、倫理道德等多個方面。”

　　中國酒店科技聯(lián)盟倡議，酒店行業(yè)應盡快對自己的系統(tǒng)安全進行一次全面的安全審計，并建立起長效的第三方安全審計制度。要按照國家的信息安全標準，排摸出存在的隱患，對信息系統(tǒng)的安全設施和軟件增加投入，也要建立和完善切實可行的內(nèi)部安控流程，既防外部攻擊也要防止內(nèi)部泄露。

　　上海泛洋律師事務所高級合伙人劉春泉表示，我國在個人信息保護方面尚無專門法律，但已有《侵權(quán)責任法》《居民身份證法》等多部法律、法規(guī)涉及其中內(nèi)容。但這些立法存在缺陷，對于侵權(quán)企業(yè)缺乏嚴格約束。

張耀疆指出，實際上現(xiàn)在涉及個人信息安全的維權(quán)，往往都是