攜程事件反思:互聯(lián)網(wǎng)企業(yè)漠視信息安全的結(jié)果
2015-05-28 18:02:515月28日,攜程旅行網(wǎng)除首頁外全部癱瘓,網(wǎng)上立刻曝出本次事件是攜程數(shù)據(jù)庫被物理刪除所致,該消息一出震驚全國。眾所周知,攜程是一個旅行網(wǎng)站巨頭,它的網(wǎng)站應(yīng)是安全穩(wěn)定的,何至出現(xiàn)如此駭人聽聞的事情?瑞星安全研究院院長劉思宇指出:一個企業(yè)接二連三發(fā)生該類信息安全事故,就是國內(nèi)互聯(lián)網(wǎng)企業(yè)極度漠視信息安全管理的表現(xiàn)。
事件回放
5月28日,攜程旅行網(wǎng)突然陷入癱瘓,打開主頁后點擊任意鏈接顯示“Service Unavailable”,而百度搜索上的攜程官方頁面也顯示404錯誤。稍后,攜程官方發(fā)出回應(yīng),稱因攜程部分服務(wù)器遭到不明攻擊,導(dǎo)致官方網(wǎng)站及APP暫時無法正常使用。不過業(yè)內(nèi)人士傳聞,本次事件是數(shù)據(jù)庫被物理刪除所致。
圖:通過百度推廣打開攜程網(wǎng)顯示404
圖:攜程網(wǎng)所有功能陷入癱瘓
圖:攜程旅行網(wǎng)官方微博發(fā)布公告
圖:業(yè)內(nèi)人士稱攜程數(shù)據(jù)庫遭物理刪除
十大企業(yè)信息安全事件盤點
近年來,諸如此類的信息安全事故層出不窮,以下是去年到今年影響最為廣泛的十大企業(yè)信息安全事件:
瑞星觀點
瑞星安全研究院院長劉思宇表示,企業(yè)數(shù)據(jù)遺失、信息泄露或無法提供正常服務(wù)等情況的發(fā)生,存在以下幾種可能性:黑客攻擊、斷電、硬件損耗、物理刪除等。而這些現(xiàn)象暴露出的最終問題是,企業(yè)對于網(wǎng)絡(luò)信息安全未能做到防患于未然,并且對于信息安全問題極度漠視,這不僅是無知的表現(xiàn),也表明企業(yè)管理層能力的缺失。
就此次攜程事件來說,網(wǎng)傳的說法是數(shù)據(jù)庫被物理刪除,截至發(fā)稿時分,攜程網(wǎng)站仍未恢復(fù),因此該說法成立的可能性極高。由此看來,攜程在網(wǎng)絡(luò)安全管理上嚴(yán)重失職,犯有重大的錯誤。以攜程這種超大規(guī)模的行業(yè)巨頭來說,從去年至今年接二連三曝出網(wǎng)絡(luò)安全問題,就是重體驗輕安全的“最好”例子,這完全是管理層的玩忽職守,對企業(yè)信息安全管理不作為,對企業(yè)員工與廣大用戶的不負(fù)責(zé)任。不幸的是,攜程并不是唯一一家漠視信息安全的互聯(lián)網(wǎng)企業(yè),這是國內(nèi)所有該類企業(yè)普遍存在的問題。
企業(yè)信息安全的建設(shè)過程中,最重要的就是管理,比例要占到7成。而如何進(jìn)行管理,首先應(yīng)根據(jù)不同企業(yè)的網(wǎng)絡(luò)環(huán)境、內(nèi)部情況、具體需求建立一套完整完善的信息安全保障體系。在這個體系之下,應(yīng)設(shè)立人員管理制度、設(shè)備管理制度、網(wǎng)絡(luò)準(zhǔn)入制度、服務(wù)設(shè)備等級、應(yīng)用安全級別等,當(dāng)有了這樣的一個體系,同時持續(xù)不斷的發(fā)現(xiàn)問題解決問題,才能將網(wǎng)絡(luò)信息安全在相應(yīng)階段內(nèi)保持一個較高的安全水平。
劉思宇強調(diào),廣大企業(yè)應(yīng)重視網(wǎng)絡(luò)信息安全問題,并為企業(yè)定制一套信息安全整體解決方案。尤其是互聯(lián)網(wǎng)企業(yè),不僅要建立一個完善的網(wǎng)絡(luò)安全體系,定期檢測、評估、模擬攻防,還要加強企業(yè)內(nèi)部人員的信息安全防范意識,進(jìn)行網(wǎng)絡(luò)安全知識和應(yīng)急響應(yīng)培訓(xùn)等。
瑞星作為國內(nèi)知名的信息安全廠商,曾一再強調(diào)信息安全制度建立的重要性,并為此研發(fā)了一系列企業(yè)信息安全產(chǎn)品,打造出國內(nèi)首款“互聯(lián)網(wǎng)+”企業(yè)信息安全解決方案——瑞星“企業(yè)信息安全+”。該方案以云計算安全、大數(shù)據(jù)安全、移動安全、桌面安全、邊界安全、管理安全及審計安全7大模塊組成,配合瑞星的“安全+”服務(wù),不但能幫助企業(yè)打造一整套軟硬件結(jié)合的信息安全管理體系,同時能夠提供安全檢測評估、安全預(yù)警、應(yīng)急響應(yīng)、安全培訓(xùn)等服務(wù),讓企業(yè)能夠徹底擺脫由信息安全管理認(rèn)知不到位、經(jīng)驗技術(shù)不足等原因造成的高額風(fēng)險。
