數據泄漏事件連年增長(38%,來源于普華永道PWC)

　　盜版問題嚴峻，大幅增加(56%,來源于普華永道PWC)

　　企業為數據泄漏所付出巨大成本(400萬美元/每起事件，來源于互聯網數據研究中心Ponemon)

　　董事會因為數據泄漏事件向CEO和管理層問責(來源于紐約證券交易所調研報告NYSE survey)

　　而另一方面，隨著越來越多的系統遷移到數字化環境以及云環境，隨之而來的攻擊威脅也越來越大。對于系統的供應商來說，更加需要隨時保持警惕，確保有適當的安全策略，并不斷對網絡環境進行檢測以防范潛在的安全隱患。我們發現，近年來除了數據泄露之外，通過惡意軟件和其他手段用來勒索錢財的案件也越來越多。

　　酒店需要在網絡安全方面變得更加靈活，傳統情況下，很多危機處理是基于事后的彌補，在發生事故后進行調整，而不是在危機發生之前提高整個網絡環境的安全性，加強保護措施。現如今，我們面臨的潛在安全威脅和隱患每天都在變化和增長，這也要求酒店提升相應能力，并能夠快速了解攻擊者及其使用的攻擊方式和手段，與時俱進。隨著物聯網的發展，尤其是當我們把閉路電視和語音控制都轉移到云端時，就需要對客戶隱私數據更加關注，并隨時用這些問題警醒自己：誰能夠訪問這些數據?我們采取了哪些措施來保護數據信息，以規避風險?

　　酒店為什么是數據泄露的高發行業

　　根據很多媒體的報告，酒店行業是數據泄露的高發行業，這主要是因為酒店行業存儲了大量的運營數據和客戶數據，這一點足以引起黑客的興趣和關注，同時也是因為酒店系統安全級別不高，使得黑客攻擊變得很容易。這些安全事故的發生至少是因為以下一項或者多項原因：

　　遠程訪問

　　遠程訪問安全級別不夠，攻擊者很容易對環境進行遠程訪問并刪除數據。

　　默認密碼或者密碼安全級別不夠

　　多起數據泄漏事件已經一次又一次表明，事故發生的原因在于企業使用的密碼安全級別不夠高或者直接使用了供應商提供的默認密碼。對于企業來說，必須要定期對密碼做出更改，這包括數據庫密碼和供應商在環境中提前設定的其它類型的密碼。

　　未修補漏洞會造成系統抗風險能力下降

　　應用程序或操作系統中暴露的漏洞，會使得攻擊者輕而易舉獲取數據。企業需要確保網絡環境始終保持在最新狀態，并且所有補丁都得到修復。

　　對于酒店來說，需要能夠強化風險防范意識，用更為先進的安全工具武裝自己。現在有很多安全工具能夠幫助客戶主動對安全威脅進行監控，并通過聚合日志來檢測潛在威脅。部分供應商會提供機器學習功能來幫助企業對工具進行訓練，這樣工具就可以檢測到哪些是正常行為，哪些是非正常行為。

　　以支付為例，根據Hospitality Technology 2019年發布的最新住宿業技術報告，受訪人在支付安全性方面的關注度相比2017年出現大幅提升。其中PCI合規性的自我評估關注度最高，達到73%，而針對EMV[ii]和芯片支付卡的終端升級漲幅最大，增加了26個百分點。

Hospitality Technology于2019年發布的住宿業支付報告(圖片來源于網絡)

　　同時，收集和存儲來自電腦終端的日志數據、來自應用程序、防火墻、服務器、VPN、防病毒/惡意軟件工具和網絡訪問的活動日志對于建立基本的酒店安全措施并監測改進結果，也至關重要。

　　采用云技術過程中如何強化安全管理

　　云技術在最近幾年的發展非常快。云解決方案為酒店帶來的好處是顯而易見的，在成本方面帶來了更大的便利性和靈活性(由資本性支出轉變為運營性支出)，并擁有彈性資源來適應系統使用的高峰和低谷。這時候，由于酒店更可能用供應商來進行功能性的維護，因此可能會減少相應的人員配置，但是這里減少的人員，最終應該重新投入到對系統的安全性維護中去。

　　讓我們假設您的酒店使用的是云解決方案，這個時候，對電腦終端的安全性維護仍然非常重要，這一點需要我們格外注意。因為電腦終端提供了通往云平臺應用程序的關鍵路徑，一旦這個路徑打通就意味著能夠輕易獲取數據。換句話來說，如果用戶的電腦終端感染了能夠捕獲鍵盤輸入的惡意軟件，那就意味著惡意攻擊者已經找到了進入酒店云應用程序的方法。因次，對于酒店電腦終端的安全維護和監視是至關重要的。

　　在此情況下，云供應商應該制定強有力的安全管理策略，并獲得云環境運營的相關行業標準認證，包括ISO,PCI-DSS和CSL認證等。云服務提供商需要能夠充分向酒店展示和說明他們會采取哪些具體措施來確保數據的安全性，如何加密和保護這些數據免受攻擊，以及一旦受到攻擊時有什么補救措施。

　　建立安全的云環境需要持續性的投入。以石基為例，我們采取了一系列完善的措施，來確保環境的安全，進而確保用戶的數據安全。在過去的幾年時間里，石基已經先后取得了ISO 27001、PCI-DSS和GDPR等國內和國際最嚴苛的且最領先的行業認證，并投入了大量的資源對運營系統以及應用程序的開源組件進行監控，確保補丁的及時修復。除了部署了最先進的安全工具(涉及集中式日志記錄及事件監控，用戶訪問的MFA，防病毒/惡意軟件，文件完整性監控，網頁應用程序防火墻等的管理和監控)之外，應用安全團隊還致力于針對應用程序進行滲透測試、代碼審查和安全部署驗證(“白帽黑客”)。通過不斷嘗試滲透應用程序，我們就能夠在真正的攻擊發生之前，找到并彌補任何漏洞。在核心系統對支付卡數據進行標記化處理，縮小PCI范圍和攻擊風險。

　　酒店可以采取哪些技術措施來加強數據的安全性

　　酒店企業可以采用幾種技術來增強數據安全性，并且將攻擊風險降到最低。主要涉及以下幾個方面：

　　基礎設施

　　1.確保所有遠程訪問都通過安全途徑進行，包括使用多因素身份驗證。

　　2.為每一個需要聯網的系統設置并部署Web應用程序防火墻(WAF)。

　　3.在所有的環境和電腦終端部署防病毒、反惡意軟件和防火墻。

　　4.部署文件監控系統，以監控重要文件的更改。

　　5.確保任何基于網絡的通信都使用TLS1.2加密。

　　6.服務器和電腦終端都需要遵循行業強化標準。

　　7.確保在整個技術體系中對日志進行整合和監控。

　　應用程序

　　1.在可能的情況下加密靜態數據，如果攻擊者只能得到加密的數據，實際上我們就沒有什么可擔憂。同時，需要確保有加密密鑰定期輪換策略。

　　2.使用標記化技術處理支付卡信息甚至個人敏感信息。如果酒店不存儲這些敏感數據，對于攻擊者來說則沒有什么好竊取的內容。

　　3.制定強密碼策略，并且針對所有用戶強制執行，包括定期密碼更改。

　　總體來說，酒店行業在安全管理方面需要做到防患于未然。筆者將行業在數據安全管理方面的建議總結為以下幾點：對操作系統和應用程序定期進行補丁修復、確保遠程訪問的安全性、制定有效的安全管理和監控政策、在存儲和傳輸過程中對數據進行加密、盡可能減少對敏感數據的存儲(包括使用標記化技術，對不需要的數據進行清除等)。(本文作者系石基信息系統集成與安全高級總監 James Montague)