從攜程用戶數據泄露再看互聯網影響下的信息安全，企業與用戶之間已形成多渠道全接觸點，移動客戶端讓用戶手機成為信息系統的一部分，再加上社會信息化環境的影響，信息安全成為前所未有的復雜問題。

周應/文

3月22日，第三方漏洞報告平臺烏云網在其官網上公布了一條網絡安全信息，指出攜程安全支付日志可直接下載，可能導致大量用戶銀行卡信息泄露，包含持卡人姓名、身份證、銀行卡號、卡CVV碼、6位卡Bin等。烏云方面解釋，該漏洞之所以存在，由于攜程用于處理用戶支付的安全支付服務器接口存在調試功能，將用戶支付的記錄用文本保存了下來，同時因為保存支付日志的服務器未做較嚴格的基線安全配置，存在目錄遍歷漏洞，導致所有支付過程中的調試信息可被任意黑客讀取。
這一安全事件為3月25日由中國酒店科技聯盟發起舉辦的中國酒店信息安全論壇又增添了一個討論熱點。這一論壇的起因原本是去年10月酒店業2000萬客戶數據泄露事件，發布方也是烏云網。
烏云網創始人方小頓也出現在會議現場，他稱烏云網是一個自由平等的漏洞報告平臺，其創立初衷之一是在廠商和被稱為白帽子的黑客之間建立一個溝通平臺，為計算機廠商和安全研究者提供各種參考以及漏洞BUG的修復。
不可否認的是，除此次公布的攜程泄露事件之外，烏云網上公布的一系列知名企業的信息泄露歷史數據已經使其聲名大燥，也使信息安全問題在社會信息化高度發達的大環境下被企業提升到前所未有的重視態度。



安全事件or隱私事件？

會議主持人，錦江國際酒店管理有限公司高級副總裁張興國稱：信息安全管理有三個重要因素：技術、管理、人。在現有條件下，信息安全上技術問題是相對次要的，管理和人的因素更為突出。
現場討論中，與會CIO與安全專家多數認為，攜程事件更多是一個隱私事件而非安全事件，其關鍵在于攜程擅自存儲客戶個人信息。而國家對于相關隱私保護條款非常含糊。酒店行業應該吸取這個教訓，在客戶服務體驗和信息安全之間尋找平衡。
事件驅動型是信息安全發展的第一階段，緊隨其后的則是合規驅動。以保護客人隱私為已任的酒店行業，面對科技發展帶來的機遇與風險，在此次論壇上提出了相關的信息安全公約。

大數據時代讓個人信息數據成利益源頭

金陵酒店管理集團副總裁/首席信息官楊永彪認為，現在的硬件、軟件、服務可靠性都非常高，但信息安全問題仍然存在，互聯網大環境對信息安全的影響更為重大。2013年國內外主要數據泄漏事件，其共性都是個人信息的泄漏。大數據時代提出精準營銷，精準營銷的根源就在于對個人信息的記錄。數據安全問題背后是利益問題，大數據時代，個人信息數據就是資產。
我們在享有信息化帶來的便利的同時，忽略了關鍵的個人隱私安全問題。個人隱私保護、企業職業操守、安全管理流程與規范和法律規范等方面中國還有重大的缺失。由于反腐的要求，政府要求提供住店客人的信息，這個高尚目的背后卻忽視了過程中應體現的社會責任。如果沒有人相信在互聯網上操作安全性的時候，這會是對社會以及每一個人的損失。相關數據表明從2012到2013年數據泄密事件相對減少，但其影響范圍和泄密方式卻不斷升級。

互聯網帶來的復雜安全問題
互聯網正在改變一切。它改變信息不對稱格局，竭盡所能透明一切信息，對產生的大數據進行整合，使資源利用最大化，同時降低信息擁有成本，打破信息壟斷，與客戶形成多渠道全接觸點的接觸。在這種環境下，攜程的平臺上整合了吃住行購娛商的各種第三方專業資源，消費者對于旅行服務的各種訴求形成的服務集成商，形成了復雜的用戶入口和信息接觸點。信息安全風險呈指數級增長。
信息技術是引爆互聯網的導火索，如手機成為酒店業一個重要的客戶入口，中國已有5億智能手機用戶，這帶來了巨大的移動互聯網發展機會，但也使客戶直接介入企業系統，形成安全隱患。通過互聯網支付已經成為習慣，攜程事件也有可能對第三方支付市場帶來深遠影響。
在社會信息化環境下，信息安全發展經歷了點、線、系統、空間幾個階段，在這個基礎上，信息安全的定義延伸出新的問題：如安全目標的保密性、完整性、可用性。現在的信息安全管理已經發展到多接觸點、多流程、多平臺的空間管理階段。
從這個角度看，烏云網實際上做了一件對社會有利的事情，他們應扮演對漏洞的發現、尋獲、彌補的角色，成為信息安全產業鏈的一部分。
而信息安全對于企業來說也不再只是IT部門的事，信息部門應與市場和公關部門共同建立信息安全預案，了解問題、確定方案、快速實施、及時反饋。攜程目前只公布了技術問題，但并沒有對相應的危機事情形成及時反饋和處理。呼吁建立新的行業準則，在保護客戶隱私、提升客戶體驗的基礎上建立信息安全管理規范。

對話攜程漏洞發布平臺烏云網

主持人：張興國 錦江酒店管理有限公司高級副總裁、中國酒店科技聯盟首席運營官
對話嘉賓：方小頓 烏云網創始人

張興國：現在“烏云”在圈內圈外已經名氣很響了，當初是出于怎樣的考慮，取名為“烏云”？
方小頓：因為“烏云”背后有晴天。我們當初覺得安全行業環境不夠好，與互聯網提倡的開放和分享走得很遠，不利于整個社區的成長和行業的發展，所以就想讓整個的行業變得更開放一些，這有利于我們的工作和成長，所以就選擇了個安全問題報告作為一個突破點。
因為中國特色的現狀，安全領域做得很小心，信息化發展到現在，國外的那一套依舊不適應中國。如果說“烏云”現在略有點名氣，只是因為我們在對的時間做了一件相對來說比較對的事情。
我們試圖做一個公益的社區。當然，在國家層面也有類似的報告平臺。而我們是從民間的角度出發，幫國家的基礎設施解決了一些問題。官方給與我們一定的支持。但目前沒有很多純商業化的因素。
張興國：民間對于“烏云”有著截然不同的兩種看法，反對的聲音認為，“烏云”其實就是最大的黑客聚集場所。那么，“烏云”的盈利模式是怎樣的？“烏云”的將來會以怎樣的方式擴大？如何將對網絡的隨機偵測轉化為有序的行動？
方小頓：在我們的平臺上，有4000多個注冊白帽子，5000多家廠商。如果發現一個漏洞，就去找廠家談判，從中獲取利潤，這是一種很容易的操作模式，但至今為止，我們沒有以這樣的模式賺過1分錢。我們之間，是一種信任，是很難建立的信任。為什么沒有采取這樣的盈利模式，是因為感覺中國市場還有一段空檔期，很多企業拒絕考慮用戶體驗，因為里面涉及到投入。但是很高興的是，目前已經有更多的行業已經走在前面，主動幫用戶考慮到“安全感”。
烏云核心的運營思路就是開放和分享的原則，信息的流動能夠帶來社區的活躍，在積累了大量的安全問題基礎數據之后，我們希望能夠與白帽子一起除發現問題之后還能給大家帶來更多的東西，譬如如何解決和規避安全問題。
張興國：如何評價酒店行業的安全問題？
方小頓：IT化時代，安全問題存在于所有行業中，正視，是最重要的一步。一旦正視，風險就已經降低了很多。