酒店业之后是旅游业？信息安全危机席卷而来

       在酒店门和浏览器安全门问题还未平息的时刻，一个更大范畴的行业居然也深陷信息安全事件之中，而这次的主角居然是旅游业中近期“大红大紫”的携程。从整个行业链来说，在酒店业遭遇信息安全危机之后，更大范畴的旅游业也开始陷入了这信息安全的漩涡，信息安全危机正呈扩大化的趋势，同时由于网络化、信息化等因素，由于信息产业本身带来的安全问题也多种多样。如何在这个内外交困的局面下找寻到信息安全的“终极之路”，就让信息安全领域的专家山丽网安来告诉您吧。

       “携程问题“虽然较为复杂 但信息泄露的实质却没有改变

       继“酒店开房信息遭泄露”、“浏览器泄露用户隐私”等事件之后，“携程”又被爆有泄露用户银行卡信息风险。对此，携程方面称是公司在技术调试过程中出现短时漏洞。不过，业内专家则表示，并非低级技术错误这么简单，“存储了用户信用卡的CVV码，还泄露了，前一个是企业的基本道德问题，后一个是安全问题”。

       漏洞报告平台乌云网22日公告指出携程安全支付日志可下载，导致大量用户银行卡信息泄露(包含持卡人姓名身份证、银行卡号、卡CVV码等)，有可能被黑客所读取。昨日携程方面承认是公司在技术调试过程中出现短时漏洞，目前没有出现恶意下载有关数据和用户信用卡被盗刷的情况，承诺未来倘若发生安全漏洞并引起用户损失，携程将给予全额赔付。

       事件爆发引发三大质疑 信息安全底线在哪

       【质疑一：并非低级技术 错误这么简单】对携程的解释，原Google技术总监胡宁认为，用户信用卡信息泄露并非犯低级技术错误这么简单，敏感信息需加密存储、线上开调试功能需慎重、系统日志要及时清理，这都是常识。

       乌云方面透露称，携程将用于处理用户支付的服务接口开启了调试功能，使所有向银行验证持卡所有者接口传输的数据包均直接保存在本地服务器，同时因为保存支付日志的服务器未做严格的基线安全配置，存在目录遍历漏洞，导致所有支付过程中的调试信息可被任意骇客读取。

       有业内人士表示，问题是出在他们想把银行发出的验证信息都直接保存到本地。胡宁认为，根据事故报告,携程可能并未故意存储CVV信息，但其数据传输为明文，且线上竟长时间打开调试功能，导致系统日志中亦为明文，又未及时清理，所存储的服务器还有安全漏洞，一步错，步步错。

       【质疑二：超范围保留用户信用卡信息】有业内人士爆料称，在该漏洞爆出前携程系统里就已经能看到用户信息，虽然屏蔽了卡号却显示有效期和CVN2，“银联相关标准严格要求商户系统不得以任何方式存储这些银联卡片敏感信息，有了这些数据，可以轻易伪造在线支付交易，客户敏感信息和交易安全从何保证”。

       对此，昨日携程方面回应称，公司对CVV的处理符合行规，与国内外主流电商网站相符，所留存的用户支付信息是经用户授权后保存的，利于用户日后的支付便捷，如果用户没有授权，携程将不予保存。

       根据中国银联风险管理委员会发布的《银联卡收单机构账户信息安全管理标准》，各收单机构系统只能存储用于交易清分、差错处理所必需的最基本的账户信息，不得存储银行卡磁道信息、卡片验证码、个人标识代码(PIN)及卡片有效期。由此可见，携程日志中存储的信息明显超过该标准的允许范围。汽车之家创始人李想则表示，“存储了用户信用卡的CVV，还泄露了，前一个是企业的基本道德问题，后一个是安全问题”。

       【质疑三：以“常用卡”的名义存储用户信息】昨日，一家在线旅游网站人士表示，不少网站都会让用户勾选保留常用卡信息，消费者初次使用的时候需提供信用卡卡种、卡号、有效期、CVV2码(即信用卡验证码)等一系列完整信息，然后提交支付，但第二次使用这张信用卡时，只需提供卡号后四位及CVV2码就会完成这次支付操作，这也变相证明了是在本地存储了用户的相关信用卡的信息。

       记者登录携程也发现，在用户选择银行卡支付后，会提示用户是否保存至常用信用卡以便下次方便支付，但携程并未提示会记录信用卡的相关信息。

       有业内人士表示，知道了CVV码和信用卡卡号就差不多能进行离线支付，泄露后风险很大，而且这种操作也会被银行视作是持卡人本人操作，部分盗取信息的人也可以用来注册购买其他产品服务。

       法律保护为主、技术保护为辅 加密技术守卫信息安全底线

       从上述三大质疑来看，虽然牵涉很多技术问题，但不管是泄露企业还是受害者，法律和法规层面的监管和防护必须成为主力，因为信息泄露一旦造成实际的损失，法规和法律是企业和用户最终的保障。而就更客观的技术层面而言，想要守护信息安全的线，采用加密技术进行数据本源防护则是最好的选择。

       加密直接作用于数据本身，通过改变数据原本内容的形式来达到安全防护的效果，而这种防护最大的特点就是即使数据和文档最终还是泄漏了，加密的防护依然存在，只要算法不被破译，数据仍旧是安全的。而随着现代加密算法和技术的发展，破译这件事也越来越变得“得不偿失”了。同时，为了适应现代多样的加密需求和安全环境，采用国际先进的多模加密技术则是其中最好的选择。

       多模加密技术采用对称算法和非对称算法相结合的技术，在确保加密质量的同时，其多模的特性能让用户自主地选择加密模式从而更灵活地应对各种防护需求和安全环境。同时作为这项技术使用的典型代表山丽防水墙的多模加密模块还采用了基于系统内核的透明加密技术，从而进一步确保了加密防护的便利性和完整性（加密与格式无关）。

       不管是酒店门、浏览器泄密门还是“携程”的泄密事件，信息安全问题正不断扩大是不争的事实。面对如此复杂而且混乱的国内甚至是国际信息安全形势，加快立法，完善法规是遏制这种问题急速扩大的最佳方法。同时对于更本源、更深层的数据本身来说，采用灵活且具有针对性的加密软件进行防护则是守护信息安全“底线”的绝佳策略。