从携程用户数据泄露再看互联网影响下的信息安全，企业与用户之间已形成多渠道全接触点，移动客户端让用户手机成为信息系统的一部分，再加上社会信息化环境的影响，信息安全成为前所未有的复杂问题。

周应/文

3月22日，第三方漏洞报告平台乌云网在其官网上公布了一条网络安全信息，指出携程安全支付日志可直接下载，可能导致大量用户银行卡信息泄露，包含持卡人姓名、身份证、银行卡号、卡CVV码、6位卡Bin等。乌云方面解释，该漏洞之所以存在，由于携程用于处理用户支付的安全支付服务器接口存在调试功能，将用户支付的记录用文本保存了下来，同时因为保存支付日志的服务器未做较严格的基线安全配置，存在目录遍历漏洞，导致所有支付过程中的调试信息可被任意黑客读取。
这一安全事件为3月25日由中国酒店科技联盟发起举办的中国酒店信息安全论坛又增添了一个讨论热点。这一论坛的起因原本是去年10月酒店业2000万客户数据泄露事件，发布方也是乌云网。
乌云网创始人方小顿也出现在会议现场，他称乌云网是一个自由平等的漏洞报告平台，其创立初衷之一是在厂商和被称为白帽子的黑客之间建立一个沟通平台，为计算机厂商和安全研究者提供各种参考以及漏洞BUG的修复。
不可否认的是，除此次公布的携程泄露事件之外，乌云网上公布的一系列知名企业的信息泄露历史数据已经使其声名大燥，也使信息安全问题在社会信息化高度发达的大环境下被企业提升到前所未有的重视态度。



安全事件or隐私事件？

会议主持人，锦江国际酒店管理有限公司高级副总裁张兴国称：信息安全管理有三个重要因素：技术、管理、人。在现有条件下，信息安全上技术问题是相对次要的，管理和人的因素更为突出。
现场讨论中，与会CIO与安全专家多数认为，携程事件更多是一个隐私事件而非安全事件，其关键在于携程擅自存储客户个人信息。而国家对于相关隐私保护条款非常含糊。酒店行业应该吸取这个教训，在客户服务体验和信息安全之间寻找平衡。
事件驱动型是信息安全发展的第一阶段，紧随其后的则是合规驱动。以保护客人隐私为已任的酒店行业，面对科技发展带来的机遇与风险，在此次论坛上提出了相关的信息安全公约。

大数据时代让个人信息数据成利益源头

金陵酒店管理集团副总裁/首席信息官杨永彪认为，现在的硬件、软件、服务可靠性都非常高，但信息安全问题仍然存在，互联网大环境对信息安全的影响更为重大。2013年国内外主要数据泄漏事件，其共性都是个人信息的泄漏。大数据时代提出精准营销，精准营销的根源就在于对个人信息的记录。数据安全问题背后是利益问题，大数据时代，个人信息数据就是资产。
我们在享有信息化带来的便利的同时，忽略了关键的个人隐私安全问题。个人隐私保护、企业职业操守、安全管理流程与规范和法律规范等方面中国还有重大的缺失。由于反腐的要求，政府要求提供住店客人的信息，这个高尚目的背后却忽视了过程中应体现的社会责任。如果没有人相信在互联网上操作安全性的时候，这会是对社会以及每一个人的损失。相关数据表明从2012到2013年数据泄密事件相对减少，但其影响范围和泄密方式却不断升级。

互联网带来的复杂安全问题
互联网正在改变一切。它改变信息不对称格局，竭尽所能透明一切信息，对产生的大数据进行整合，使资源利用最大化，同时降低信息拥有成本，打破信息垄断，与客户形成多渠道全接触点的接触。在这种环境下，携程的平台上整合了吃住行购娱商的各种第三方专业资源，消费者对于旅行服务的各种诉求形成的服务集成商，形成了复杂的用户入口和信息接触点。信息安全风险呈指数级增长。
信息技术是引爆互联网的导火索，如手机成为酒店业一个重要的客户入口，中国已有5亿智能手机用户，这带来了巨大的移动互联网发展机会，但也使客户直接介入企业系统，形成安全隐患。通过互联网支付已经成为习惯，携程事件也有可能对第三方支付市场带来深远影响。
在社会信息化环境下，信息安全发展经历了点、线、系统、空间几个阶段，在这个基础上，信息安全的定义延伸出新的问题：如安全目标的保密性、完整性、可用性。现在的信息安全管理已经发展到多接触点、多流程、多平台的空间管理阶段。
从这个角度看，乌云网实际上做了一件对社会有利的事情，他们应扮演对漏洞的发现、寻获、弥补的角色，成为信息安全产业链的一部分。
而信息安全对于企业来说也不再只是IT部门的事，信息部门应与市场和公关部门共同建立信息安全预案，了解问题、确定方案、快速实施、及时反馈。携程目前只公布了技术问题，但并没有对相应的危机事情形成及时反馈和处理。呼吁建立新的行业准则，在保护客户隐私、提升客户体验的基础上建立信息安全管理规范。

对话携程漏洞发布平台乌云网

主持人：张兴国 锦江酒店管理有限公司高级副总裁、中国酒店科技联盟首席运营官
对话嘉宾：方小顿 乌云网创始人

张兴国：现在“乌云”在圈内圈外已经名气很响了，当初是出于怎样的考虑，取名为“乌云”？
方小顿：因为“乌云”背后有晴天。我们当初觉得安全行业环境不够好，与互联网提倡的开放和分享走得很远，不利于整个社区的成长和行业的发展，所以就想让整个的行业变得更开放一些，这有利于我们的工作和成长，所以就选择了个安全问题报告作为一个突破点。
因为中国特色的现状，安全领域做得很小心，信息化发展到现在，国外的那一套依旧不适应中国。如果说“乌云”现在略有点名气，只是因为我们在对的时间做了一件相对来说比较对的事情。
我们试图做一个公益的社区。当然，在国家层面也有类似的报告平台。而我们是从民间的角度出发，帮国家的基础设施解决了一些问题。官方给与我们一定的支持。但目前没有很多纯商业化的因素。
张兴国：民间对于“乌云”有着截然不同的两种看法，反对的声音认为，“乌云”其实就是最大的黑客聚集场所。那么，“乌云”的盈利模式是怎样的？“乌云”的将来会以怎样的方式扩大？如何将对网络的随机侦测转化为有序的行动？
方小顿：在我们的平台上，有4000多个注册白帽子，5000多家厂商。如果发现一个漏洞，就去找厂家谈判，从中获取利润，这是一种很容易的操作模式，但至今为止，我们没有以这样的模式赚过1分钱。我们之间，是一种信任，是很难建立的信任。为什么没有采取这样的盈利模式，是因为感觉中国市场还有一段空档期，很多企业拒绝考虑用户体验，因为里面涉及到投入。但是很高兴的是，目前已经有更多的行业已经走在前面，主动帮用户考虑到“安全感”。
乌云核心的运营思路就是开放和分享的原则，信息的流动能够带来社区的活跃，在积累了大量的安全问题基础数据之后，我们希望能够与白帽子一起除发现问题之后还能给大家带来更多的东西，譬如如何解决和规避安全问题。
张兴国：如何评价酒店行业的安全问题？
方小顿：IT化时代，安全问题存在于所有行业中，正视，是最重要的一步。一旦正视，风险就已经降低了很多。