關(guān)于本次華住酒店數(shù)據(jù)泄露事件��,犯了什么法��,惹了什么怒���,帶來什么果����,應(yīng)該擔(dān)啥責(zé)�����,今后怎么做���,這篇文章都有����。整理此文�����,不為蹭熱度��,只為在這個(gè)竊個(gè)人隱私如入無人之境的時(shí)代�,不曾沉默過。誠(chéng)如網(wǎng)友所言:沒有隱私的國(guó)度���,無論是官方還是民間�����,都在作惡����。是為記,2018年8月30日�。
一、事件回顧
華住的庫(kù)被拖了�����,1.3億人開房數(shù)據(jù)正在暗網(wǎng)售賣��,數(shù)據(jù)包含我們所熟知的漢庭����、桔子、全季以及美爵�、禧玥、漫心��、諾富特��、美居���、CitiGO���、星程、宜必思尚品����、宜必思、怡萊和海友����,共計(jì)14家酒店。酒店開房記錄包括了內(nèi)部ID號(hào)�����、同房間關(guān)聯(lián)號(hào)��、姓名���、卡號(hào)��、手機(jī)號(hào)��、郵箱���、入住時(shí)間����、離開時(shí)間��、酒店ID號(hào)��、房間號(hào)����、消費(fèi)金額等,共計(jì)約2.4億條信息���?�?赡苁墙?年內(nèi)國(guó)內(nèi)最大最嚴(yán)重的個(gè)人信息泄露事件����。
網(wǎng)傳泄露截圖
在暗網(wǎng)論壇中�����,發(fā)帖人表明如果已購(gòu)買數(shù)據(jù)包之后���,如果權(quán)限不丟失���,后續(xù)數(shù)據(jù)還可以免費(fèi)提供給已購(gòu)買的用戶。這就意味著酒店系統(tǒng)或服務(wù)器中或許已經(jīng)出現(xiàn)漏洞���。
28日下午�,華住集團(tuán)酒店官方微博回應(yīng)此事�,稱“引起極其惡劣的輿論影響。我集團(tuán)非常重視����,已在內(nèi)部迅速開展核查,確?���?腿诵畔踩晃壹瘓F(tuán)已經(jīng)第一時(shí)間報(bào)警��,公安機(jī)關(guān)正在開展調(diào)查��;我們也聘請(qǐng)了專業(yè)技術(shù)公司對(duì)網(wǎng)上兜售的“相關(guān)個(gè)人信息”是否來源于華住集團(tuán)進(jìn)行核實(shí)���?!?/p>
此外,上海市長(zhǎng)寧公安分局官方微博8月28日晚間也發(fā)布消息�,稱警方已介入調(diào)查。
二�、大家來找“茬”
網(wǎng)絡(luò)安全專家說:
多位網(wǎng)絡(luò)安全專業(yè)人士指出,此次泄露事件的影響恐較難彌補(bǔ)�����。一位不愿具名的網(wǎng)絡(luò)安全專家說���,此次泄露的信息包括服務(wù)器的IP地址�����、相應(yīng)的路徑���、用戶名和密碼以及網(wǎng)站程序秘要等關(guān)鍵信息,黑客可以不費(fèi)吹灰之力直接訪問便能下載這些數(shù)據(jù)�����。華住在企業(yè)代碼的審核中可能有一些失誤���,這些代碼很可能包含公司的機(jī)密信息�����,但也上傳到了公共平臺(tái)��,表明企業(yè)在信息建設(shè)時(shí)�,可能使用的是非常簡(jiǎn)便的安全措施����,在平臺(tái)正式上線后又沒有彌補(bǔ)缺陷。該專家還表示�,暗網(wǎng)里都是匿名的,不知道在誰(shuí)手里�,數(shù)據(jù)進(jìn)入網(wǎng)絡(luò)黑產(chǎn)鏈條的可能性比較大,對(duì)公眾來講���,遇到這種事情是束手無策的���。
另有網(wǎng)絡(luò)安全專家表示,當(dāng)前隱私信息泄露呈高發(fā)態(tài)勢(shì)����,這些個(gè)人信息可被不法分子用以實(shí)施精準(zhǔn)詐騙,而諸如開房記錄等敏感信息外泄��,則有可能誘發(fā)針對(duì)個(gè)人的敲詐勒索等犯罪行為。
發(fā)現(xiàn)者說:
此次信息泄露最早的發(fā)現(xiàn)者——“網(wǎng)絡(luò)尖刀”團(tuán)隊(duì)創(chuàng)始人曲子龍建議對(duì)賬戶啟用應(yīng)急預(yù)案���,對(duì)所有用戶登錄動(dòng)作進(jìn)行風(fēng)控���,不在常用設(shè)備或不在常在城市的用戶,登錄后開啟手機(jī)驗(yàn)證碼二級(jí)驗(yàn)證���,驗(yàn)證通過后更改密碼�����,避免用戶賬戶被惡意使用�,產(chǎn)生更大損失�;并建議華住通過審計(jì)日志及犯罪分子放出的測(cè)試賬戶做審計(jì),先內(nèi)部排查及核實(shí)是否存在泄漏���,同時(shí)啟動(dòng)安全應(yīng)急響應(yīng)預(yù)案���,對(duì)賬戶啟用上述保護(hù)機(jī)制。
曲子龍認(rèn)為�����,媒體報(bào)道信息泄露一事,公眾高度關(guān)注�,公安機(jī)關(guān)介入后,目前犯罪分子不敢過度的對(duì)數(shù)據(jù)進(jìn)行大規(guī)模銷售�,心懷鬼胎的黑產(chǎn)也怕因此攤上事不敢輕易購(gòu)買,間接的算是保護(hù)了數(shù)據(jù)�����,對(duì)數(shù)據(jù)惡性傳播起到了一定的抑制作用���。
業(yè)內(nèi)人士說:
專家解讀:出現(xiàn)這種問題大多是企業(yè)內(nèi)部的安全管理、員工整體安全意識(shí)不強(qiáng)�����,安全風(fēng)險(xiǎn)發(fā)現(xiàn)不及時(shí)���,應(yīng)該全面的嚴(yán)格把控安全管理和監(jiān)控�����,及早發(fā)現(xiàn)問題并且解決����,同時(shí)在內(nèi)部進(jìn)行安全整頓,避免員工主動(dòng)泄漏企業(yè)內(nèi)部敏感信息行為的產(chǎn)生�。
媒體說:
有媒體發(fā)布文章稱:依照華住目前的體量,渡過此次事件的危機(jī)或許并不難�,難的是其在事后如何表現(xiàn)——在完善自身信息安全系統(tǒng)的基礎(chǔ)上,帶動(dòng)整個(gè)行業(yè)對(duì)于信息安全系統(tǒng)的建設(shè)和完善��。經(jīng)過此次事件��,最該成長(zhǎng)的可能不是“華住們”�,而是消費(fèi)者自己。對(duì)于企業(yè)而言��,如果愿意并且認(rèn)真去做���,加大投入�����、完善信息安全系統(tǒng)并不難實(shí)現(xiàn);但如果消費(fèi)者自己都不夠重視個(gè)人信息保護(hù)�,企業(yè)又怎么會(huì)有動(dòng)力去推動(dòng)并完成這一切呢?
是什么讓機(jī)構(gòu)數(shù)據(jù)庫(kù)如此不堪一擊����?30日,新華社發(fā)布的文章對(duì)出了大致分析����,稱:
在愈發(fā)頻繁的數(shù)據(jù)泄露事件中�����,機(jī)構(gòu)數(shù)據(jù)庫(kù)安防力量薄弱�、責(zé)任意識(shí)淡薄以及數(shù)據(jù)市場(chǎng)需求旺盛等因素為大規(guī)模數(shù)據(jù)泄露埋下伏筆�。
安防力量薄弱,防范意識(shí)不強(qiáng)�����。360互聯(lián)網(wǎng)安全中心發(fā)布的《WannaCry一周年勒索軟件威脅形勢(shì)分析報(bào)告》顯示�,去年勒索病毒爆發(fā)前夕�����,各機(jī)構(gòu)有58天的時(shí)間可以進(jìn)行補(bǔ)丁升級(jí)等安全布防工作�����,但一些機(jī)構(gòu)錯(cuò)誤認(rèn)為自身隔離措施足夠安全�����、打補(bǔ)丁太麻煩,致使其最終遭受勒索病毒攻擊����。
用戶數(shù)據(jù)市場(chǎng)需求旺盛。如今��,越來越多的人開始習(xí)慣刷微博�、網(wǎng)購(gòu)、線上理財(cái)?shù)壬罘绞?,在此背景下,根?jù)用戶畫像進(jìn)行精準(zhǔn)信息推送就顯得尤為重要�����?����!昂萌擞媚愕臄?shù)據(jù)來給你推廣告���,壞人用你的數(shù)據(jù)來對(duì)你詐騙勒索����。”用戶數(shù)據(jù)倒賣在我國(guó)已形成相對(duì)成熟的黑灰產(chǎn)�����,打包出售用戶數(shù)據(jù)的情況在黑市中隨處可見�。
數(shù)據(jù)流轉(zhuǎn)程序較多,部分企業(yè)責(zé)任意識(shí)淡薄�。上海信息安全行業(yè)協(xié)會(huì)專委會(huì)副主任張威認(rèn)為,用戶數(shù)據(jù)在外賣����、快遞等行業(yè)隨著商品同時(shí)流動(dòng),流轉(zhuǎn)過程較為復(fù)雜����,中間環(huán)節(jié)出現(xiàn)泄露的可能性也同時(shí)增加。張威表示�����,一些企業(yè)認(rèn)為自己并非互聯(lián)網(wǎng)行業(yè)主要參與者����,不會(huì)成為被攻擊對(duì)象���,因此在用戶數(shù)據(jù)保管上沒有做好安全措施�,最終導(dǎo)致大批量用戶數(shù)據(jù)泄露。
外部監(jiān)管尚未有效落實(shí)���。記者在梳理近來發(fā)生的用戶數(shù)據(jù)泄露事件后發(fā)現(xiàn)���,除今年年初部分金融機(jī)構(gòu)因違規(guī)出售用戶數(shù)據(jù)或瞞報(bào)虛報(bào)數(shù)據(jù)被處罰外,鮮見其他處罰案例���。大部分機(jī)構(gòu)在涉嫌數(shù)據(jù)泄露后以“一紙聲明”的形式撇清關(guān)系���,后續(xù)調(diào)查結(jié)果也未向公眾披露,間接導(dǎo)致行業(yè)內(nèi)對(duì)用戶數(shù)據(jù)保護(hù)氛圍惡化�。
法律說:
律師
對(duì)照我國(guó)法律關(guān)于公民個(gè)人信息的定義,用戶在華住公司旗下酒店官網(wǎng)注冊(cè)的個(gè)人信息�����、登記的開房記錄等屬于我國(guó)法律保護(hù)的公民個(gè)人信息的范圍��。根據(jù)《網(wǎng)絡(luò)安全法》��、《消費(fèi)者權(quán)益保護(hù)法》的規(guī)定��,網(wǎng)絡(luò)運(yùn)營(yíng)者不得泄露收集的個(gè)人信息,應(yīng)當(dāng)采取技術(shù)措施和其他必要措施�����,確保其收集的個(gè)人信息安全�,防止信息泄露、毀損���、丟失��。在發(fā)生或者可能發(fā)生個(gè)人信息泄露�����、毀損�、丟失的情況時(shí)����,應(yīng)當(dāng)立即采取補(bǔ)救措施,按照規(guī)定及時(shí)告知用戶并向有關(guān)主管部門報(bào)告�����。
此�,律師認(rèn)為,如果這一事件屬實(shí)����,無論是華住公司的員工上傳數(shù)據(jù)過程中造成信息泄露的,還是黑客主動(dòng)攻擊華住公司的網(wǎng)站竊取信息的�����,華住公司都因沒有履行好對(duì)消費(fèi)者的信息安全保護(hù)義務(wù)而難辭其咎�,依法應(yīng)承擔(dān)相應(yīng)的行政責(zé)任和民事責(zé)任。
《網(wǎng)絡(luò)安全法》
《網(wǎng)絡(luò)安全法》規(guī)定��,任何個(gè)人和組織不得竊取或者以其他非法方式獲取個(gè)人信息����,不得非法出售或者非法向他人提供個(gè)人信息。如果黑客采取技術(shù)手段非法竊取�、截獲和販賣用戶信息,情節(jié)嚴(yán)重的�����,將涉嫌觸犯《刑法》規(guī)定的侵犯公民個(gè)人信息罪���,最高可以判處7年有期徒刑并處罰金���。
根據(jù)相關(guān)司法解釋規(guī)定����,非法獲取���、出售或者提供行蹤軌跡信息��、通信內(nèi)容����、征信信息����、財(cái)產(chǎn)信息五十條以上的;或者非法獲取����、出售或者提供住宿信息、通信記錄���、健康生理信息��、交易信息等其他可能影響人身���、財(cái)產(chǎn)安全的公民個(gè)人信息五百條以上的;或者非法獲取���、出售或者提供前兩項(xiàng)以外的公民個(gè)人信息五千條以上的�;或者違法所得五千元以上的��,即到達(dá)刑事立案追訴的標(biāo)準(zhǔn)�。
刑法修正案九》
針對(duì)有的網(wǎng)絡(luò)運(yùn)營(yíng)商懈怠履行信息安全保護(hù)義務(wù)的現(xiàn)象,《刑法修正案九》及相關(guān)司法解釋特別規(guī)定����,如果網(wǎng)絡(luò)服務(wù)提供者拒不履行法律、行政法規(guī)規(guī)定的信息網(wǎng)絡(luò)安全管理義務(wù)��,經(jīng)監(jiān)管部門責(zé)令采取改正措施而拒不改正�����,致使用戶的公民個(gè)人信息泄露���,造成嚴(yán)重后果的����,應(yīng)當(dāng)依照刑法的規(guī)定以拒不履行信息網(wǎng)絡(luò)安全管理義務(wù)罪追究法律責(zé)任。該規(guī)定正是為了促使網(wǎng)絡(luò)服務(wù)提供者保護(hù)用戶信息安全����,采取有效的技術(shù)手段和安全措施確保用戶信息不會(huì)被泄露。對(duì)此���,網(wǎng)絡(luò)運(yùn)營(yíng)商都應(yīng)高度重視相應(yīng)的法律風(fēng)險(xiǎn)和法律責(zé)任�。
GDPR
另外��,據(jù)有文章稱:“華住酒店集團(tuán)股價(jià)暴跌����,在很大程度上是因?yàn)橥顿Y者擔(dān)心其會(huì)因此受到嚴(yán)厲處罰。伴隨著歐盟《通用數(shù)據(jù)保護(hù)條例》(GDPR)的實(shí)施�����,各個(gè)國(guó)家都在加強(qiáng)企業(yè)數(shù)據(jù)保護(hù)方面的合規(guī)監(jiān)管�����。如果查實(shí)該數(shù)據(jù)屬實(shí)���,華住恐怕罪責(zé)難逃�;若歐盟介入,處罰可能會(huì)更加嚴(yán)厲�����。以GDPR為代表的數(shù)據(jù)隱私法規(guī)�,即是中國(guó)企業(yè)當(dāng)下面臨的重大合規(guī)經(jīng)營(yíng)挑戰(zhàn)���。一旦出現(xiàn)問題���,很可能會(huì)給相關(guān)企業(yè)帶來滅頂之災(zāi),但卻至今沒有引起大家的重視���。而在上個(gè)月�,美國(guó)加州也緊接著推出《消費(fèi)者隱私法案》�����,加大消費(fèi)者對(duì)個(gè)人數(shù)據(jù)的處置權(quán)���。這一法案將于2020年1月起生效�����?����!?/p>
(或義憤填膺或見怪不怪累覺不愛的)網(wǎng)友說:
三��、行業(yè)狀況揭秘
近年來��,酒店行業(yè)信息泄露的事件屢見不鮮��,凱悅�、洲際、漢庭����、7天等國(guó)內(nèi)外酒店均未能幸免?��?杉幢闳绱?���,該現(xiàn)象并未得到有效的遏制�����。
酒店從業(yè)者說:
對(duì)此,酒店行業(yè)資深業(yè)者表示����,再?gòu)?qiáng)大的系統(tǒng)也會(huì)存在可被破解的漏洞——信息泄露事件雖在情理之中,但其如何泄露才是關(guān)鍵所在���。在其看來���,在信息社會(huì)�,數(shù)據(jù)安全是任何企業(yè)都應(yīng)該做好的底層工作;而國(guó)內(nèi)的酒店集團(tuán)普遍在技術(shù)安全保障和管理流程機(jī)制方面有所欠缺,且整體落后于國(guó)外。據(jù)其介紹�,國(guó)外酒店集團(tuán)的信息化標(biāo)準(zhǔn)十分嚴(yán)苛,細(xì)致到每個(gè)系統(tǒng)的補(bǔ)丁�����、版本升級(jí)標(biāo)準(zhǔn)����、崗位權(quán)限設(shè)置等等,均有詳盡的規(guī)定���?����?杉幢闳绱?�,國(guó)外酒店也依舊難以避免信息泄露的問題��。如此看來���,國(guó)內(nèi)酒店對(duì)信息安全的不夠重視�����,實(shí)則埋下了巨大的隱患����。
另一位酒店從業(yè)者還感概:大多數(shù)國(guó)內(nèi)酒店并沒有完全繃緊信息安全這根弦���,“還是沒有足夠痛的領(lǐng)悟”;另外�,大部分中國(guó)消費(fèi)者對(duì)于個(gè)人隱私保護(hù)的意識(shí)不足��,并沒有充分認(rèn)識(shí)到信息泄露的嚴(yán)重性��,這就導(dǎo)致酒店集團(tuán)犯錯(cuò)的成本很低。同時(shí)����,酒店信息安全體系的建設(shè)及維護(hù)是一筆非常大的投入;對(duì)于意圖迅速搶占市場(chǎng)份額的酒店集團(tuán)來說,也是最容易忽視的一個(gè)版塊����。而這種現(xiàn)狀已經(jīng)持續(xù)了一段時(shí)間,如果借此事可以引起整個(gè)行業(yè)的重視�,酒店業(yè)的信息安全也會(huì)向前邁出一大步。
安全媒體說:
2018年2月�,國(guó)內(nèi)知名網(wǎng)絡(luò)安全媒體freebuf就在其發(fā)布的《酒店行業(yè)信息安全現(xiàn)狀很糟糕》文章中提到了值得注意的幾點(diǎn):
高度依賴信息化作業(yè):如果說開房住店使用WIFI等可能泄露個(gè)人信息,那酒店里的安全問題可多了�����。先談一談酒店與信息數(shù)據(jù)的關(guān)系����,現(xiàn)在智能酒店很依賴信息化��,特別是大型的高檔酒店���,信息系統(tǒng)出現(xiàn)嚴(yán)重故障會(huì)讓酒店罷工��。根據(jù)酒店管理系統(tǒng)模塊使用量的不同�����,可能會(huì)讓住客辦不了入住手續(xù)��、上不了樓�、進(jìn)不了房間、出不了門���、結(jié)不了帳���、退不了房……
不重視IT,待遇差��,留不住高手
酒店管理系統(tǒng)比你想像中的更脆弱��,像搖搖欲墜的墻�����,只差人去推一把���。酒店行業(yè)IT待遇太差���,所以高手一般都不愿呆在那兒�����,入門人員和混日子的IT人也沒有水平和心思琢磨這些��。他們寧愿讓廠商來維護(hù)�����,而廠商的人員無非就是做做系統(tǒng)支持�����,弄臺(tái)服務(wù)器����,安裝個(gè)服務(wù)器端軟件��,搞個(gè)培訓(xùn)�!產(chǎn)品中設(shè)置一個(gè)授權(quán)時(shí)間�,到時(shí)報(bào)警或停用不就得了,用得了下邏輯炸彈�����?
安全監(jiān)控系統(tǒng)功能單一化
除了酒店管理系統(tǒng)的前臺(tái)和客房模塊,會(huì)員�����、預(yù)訂�、收銀、門禁等模塊也往往在前臺(tái)操作��,安全監(jiān)控系統(tǒng)往往和消防等等是獨(dú)立給安全部門的����,較少有整合。國(guó)內(nèi)多數(shù)酒店的業(yè)務(wù)工作流和信息數(shù)據(jù)流還不夠完全無紙化����,所以在信息架構(gòu)上也還不科學(xué)。
一般來說���,酒店至少要有兩套隔離的網(wǎng)絡(luò)���,一套自家用,一套給客人連接到互聯(lián)網(wǎng)�。通常�����,客人不會(huì)接觸到酒店自家使用的網(wǎng)絡(luò)信息系統(tǒng)����,但實(shí)際上勇敢地去嘗試一下并不難找到突破點(diǎn)���。找到酒店自用網(wǎng)絡(luò)的接入點(diǎn)�,金礦就來了���。披著“滲透測(cè)試”的外衣�����,輕輕松松拖幾個(gè)數(shù)據(jù)庫(kù)和復(fù)制一批住客的信息�����。
安全問題被刻意忽視
究其原因���,軟件公司和程序員不遵守軟件開發(fā)的基本準(zhǔn)則�,在功能上急于爭(zhēng)先����,在安全上刻意忽視���,造成后期問題爆多�、維護(hù)工作量巨大��、安全隱患日益突顯�。想要快刀斬亂麻,規(guī)范化的IT管理很重要�,酒店IT管理人員應(yīng)該注意短痛不如長(zhǎng)痛,評(píng)估和選用經(jīng)過科學(xué)認(rèn)證的管理系統(tǒng)��,替代高危的軟件��,并且加強(qiáng)員工們的信息安全意識(shí)教育�����,保障終端安全�,防范黑客入侵和竊密。
四�、酒店行業(yè)數(shù)據(jù)安全解決思路
數(shù)據(jù)正在引領(lǐng)新的商業(yè)模式的變革,但顯然,當(dāng)前整體數(shù)據(jù)安全思路是缺乏的�����,數(shù)據(jù)的管理與安全使用未成體系���,數(shù)據(jù)安全市場(chǎng)現(xiàn)狀不容樂觀:
數(shù)據(jù)庫(kù)“安全底子”不統(tǒng)一
尤其非關(guān)系型數(shù)據(jù)庫(kù)存在安全問題����,大數(shù)據(jù)安全的基礎(chǔ)保障體系尚未建立�����。
互聯(lián)網(wǎng)業(yè)務(wù)創(chuàng)新帶來前所未有新風(fēng)險(xiǎn)
在萬物互聯(lián)����,數(shù)據(jù)共享的互聯(lián)網(wǎng)時(shí)代,各個(gè)行業(yè)的系統(tǒng)之間實(shí)現(xiàn)了緊密聯(lián)結(jié)�,業(yè)務(wù)的訪問直達(dá)數(shù)據(jù)庫(kù),與此同時(shí)����,安全防護(hù)體系的搭建卻落后不止一步,一旦前端出現(xiàn)安全問題���,后端數(shù)據(jù)將面臨巨大風(fēng)險(xiǎn)�����。
共享交換時(shí)代數(shù)據(jù)去隱私化處理
在數(shù)據(jù)共享趨勢(shì)下�,數(shù)據(jù)安全問題凸顯��,數(shù)據(jù)的去隱私化成為焦點(diǎn)��,因此�����,網(wǎng)安法對(duì)于網(wǎng)絡(luò)運(yùn)營(yíng)者個(gè)人信息隱私的保護(hù)提出了明確要求����。
上云后數(shù)據(jù)主管權(quán)問題
云計(jì)算時(shí)代,企業(yè)上云最擔(dān)憂的莫過于云上數(shù)據(jù)的安全���,云上數(shù)據(jù)的主管權(quán)一刻沒有厘清��,這種擔(dān)憂就一刻不會(huì)離開���。
如何進(jìn)行數(shù)據(jù)資產(chǎn)管理而確保數(shù)據(jù)的高效、安全使用被提上日程。凡事就怕“認(rèn)真”二字�,酒店行業(yè)一旦敬畏法律、尊重客戶的個(gè)人信息隱私�����,重視起數(shù)據(jù)安全問題��,健全數(shù)據(jù)安全管理制度����,就完成了至關(guān)重要的第一步。
接下來��,我們簡(jiǎn)單分析會(huì)發(fā)現(xiàn)����,當(dāng)前酒店行業(yè)數(shù)據(jù)泄露無非源于兩大類安全威脅:1、外部黑客攻擊����;2、內(nèi)部人員(包含外包IT團(tuán)隊(duì))作案�����。
酒店管理系統(tǒng)是酒店信息化的載體,既有對(duì)外開放的業(yè)務(wù)系統(tǒng)���,供客戶��、攜程等第三方合作預(yù)定�、查詢等����,也有對(duì)內(nèi)開放的運(yùn)營(yíng)系統(tǒng)��,包含前臺(tái)接待�、前臺(tái)收銀、客房管家�、銷售POS、餐飲管理 ���、娛樂管理��、 公關(guān)銷售�、財(cái)務(wù)查詢���、電話計(jì)費(fèi)����、系統(tǒng)維護(hù)、經(jīng)理查詢��、工程維修等功能模塊�。
盡管酒店行業(yè)信息化程度高,但是信息安全建設(shè)卻相對(duì)薄弱����,因此,很容易遭受來自外部的入侵����。
數(shù)據(jù)庫(kù)防火墻可以通過虛擬補(bǔ)丁、SQL注入特征庫(kù)����、影響行數(shù)限定、黑白名單策略等技術(shù)手段重點(diǎn)針對(duì)漏洞攻擊����、非授權(quán)人員訪問等外部及應(yīng)用側(cè)的威脅行為進(jìn)行訪問控制,防止數(shù)據(jù)泄露及篡改�。
而從數(shù)據(jù)本源出發(fā),利用數(shù)據(jù)庫(kù)加密技術(shù)進(jìn)行防護(hù)或是最好的選擇���。加密技術(shù)直接作用于數(shù)據(jù)本身���,使得數(shù)據(jù)即使遭遇了泄漏危機(jī)��,被竊取或者丟失的數(shù)據(jù)其核心內(nèi)容還是受到加密技術(shù)的防護(hù)����。選擇成熟的數(shù)據(jù)庫(kù)加密系統(tǒng)可以從以下幾點(diǎn)進(jìn)行衡量:
1)確保自主可控安全���。加密產(chǎn)品需要具備獨(dú)立于數(shù)據(jù)庫(kù)的密鑰管理體系����,保證密鑰不出設(shè)備����,確保數(shù)據(jù)即使被拖庫(kù)���,依然安全���。
三權(quán)分立機(jī)制。加密產(chǎn)品要具備三權(quán)分立機(jī)制�����,確保實(shí)現(xiàn)DBA、安全管理員和審計(jì)管理員權(quán)責(zé)分離����,做到相互監(jiān)督、相互制約�。
3)具備獨(dú)立的權(quán)限體系。產(chǎn)品可實(shí)現(xiàn)基于密文的增強(qiáng)訪問權(quán)限控制�,防止DBA及高權(quán)限用戶對(duì)敏感數(shù)據(jù)進(jìn)行訪問。所有數(shù)據(jù)庫(kù)用戶想要訪問密文數(shù)據(jù)����,必須經(jīng)過授權(quán)。
4)應(yīng)用身份鑒別��。實(shí)現(xiàn)應(yīng)用系統(tǒng)�、應(yīng)用用戶和數(shù)據(jù)庫(kù)用戶的綁定,只有受信的應(yīng)用通過授權(quán)的應(yīng)用賬戶才具有密文訪問權(quán)限��,防止數(shù)據(jù)庫(kù)用戶口令泄露后�����,繞開合法業(yè)務(wù)系統(tǒng)�,對(duì)數(shù)據(jù)庫(kù)直接訪問����。
我們知道酒店的業(yè)務(wù)相關(guān)系統(tǒng)主要采用業(yè)務(wù)外包形式由第三方公司代為開發(fā)��,且后期系統(tǒng)及數(shù)據(jù)維護(hù)可能由不同部門相關(guān)管理人員和第三方開發(fā)商共同完成��,在開發(fā)過程中存在以下風(fēng)險(xiǎn):
數(shù)據(jù)庫(kù)管理員對(duì)數(shù)據(jù)庫(kù)有最高訪問權(quán)限����,并且風(fēng)險(xiǎn)操作及高危操作無法管控;
運(yùn)維人員存在對(duì)生產(chǎn)數(shù)據(jù)庫(kù)批量導(dǎo)出操作漏洞��;
數(shù)據(jù)分析員對(duì)數(shù)據(jù)庫(kù)存在越權(quán)訪問及操作��;
第三方運(yùn)維�����、測(cè)試����、開發(fā)��、數(shù)據(jù)分析人員對(duì)核心數(shù)據(jù)庫(kù)的運(yùn)維操作無法監(jiān)控�;
酒店行業(yè)的開發(fā)���、運(yùn)維工作多交給了第三方外包人員,這就讓安全管理難度加大�����。由于缺乏細(xì)粒度的管控手段��,數(shù)據(jù)庫(kù)運(yùn)維工作普遍存在內(nèi)部人員���、甚至第三方外包人員間的賬號(hào)共享��、主機(jī)共享�、高權(quán)限賬戶濫用等情況����,加之人工操作無法保證100%的準(zhǔn)確度,數(shù)據(jù)庫(kù)日常運(yùn)維操作面臨:操作身份不明確��、操作過程不透明����、操作內(nèi)容不可知、操作行為不可控、操作事故不可溯等一系列安全風(fēng)險(xiǎn)����。
因此,實(shí)現(xiàn)數(shù)據(jù)庫(kù)運(yùn)維側(cè)的安全管控��,就需要在審批環(huán)節(jié)中滿足兩方面能力:其一����,能夠整合審批流程,為內(nèi)部運(yùn)維人員�、第三方外包人員、業(yè)務(wù)主管等多角色提供細(xì)致統(tǒng)一的審批平臺(tái)����,能夠提供對(duì)操作人、操作對(duì)象��、操作內(nèi)容���、操作時(shí)間�����、相關(guān)審批人等等細(xì)粒度的申請(qǐng)條件,使審批過程清晰、透明��。其二��,能夠提供對(duì)申請(qǐng)內(nèi)容的智能分析能力����,能夠?qū)Σ僮魃暾?qǐng)進(jìn)行風(fēng)險(xiǎn)預(yù)估和異常行為評(píng)測(cè),為審批者提供決策依據(jù)�����,在操作前最大可能的降低運(yùn)維事故概率��。
安華金和長(zhǎng)期專注數(shù)據(jù)庫(kù)安全建設(shè)�����,致力于讓數(shù)據(jù)自由而安全的使用��,幫助用戶建立公眾信任���,守護(hù)個(gè)人隱私����,提升全社會(huì)安全感。
當(dāng)安全事件發(fā)生�����,愿每一個(gè)身處其中的人��,不要站在陰影里����,不要再沉默。
產(chǎn)品咨詢:4000 258 365 
