联系我们
  • 联系人: 侯女士 

    电 话: 025-58630787 

    邮 箱: 81561919@qq.com 

    手 机: 18052008777

    公司地址:南京市雨花台区雨花大道2号邦宁科技园1-4层


王云辉:信息安全的“恐怖袭击”
2014-3-31
来源:http://jstw.xjz1.80data.net/manager/index.asp#
点击数: 6095          作者:江苏天网
  • 上周爆发的安全事件,经过了一周的时间,似乎已经不再是热点新闻;但是安全事件就像恐怖袭击,引爆了人们对于信息安全问题的担忧和顾虑。

    首先,乌云发布报告称:携程安全支付服务器接口以及服务器安全配置漏洞,存在信息泄露风险,包括持卡人姓名身份证、银行卡号、卡CVV码、6位卡Bin等信息。

    从纯技术的视角说,这个安全事件并不是很严重,携程发布声明说,漏洞修补工作已经在22号晚上完成,只是3月21号和22号这两天的用户有信息泄露的风险。

    但是作为客户,我们仍要追问:为什么携程会保存CVV信息?

    2008年发布的《银联卡收单机构账户信息安全管理标准》中,明确提出了关于信用卡个人信息储存的要求:“收单机构系统只能存储用于交易清分、差错处理所必须的最基本的账户信息,不能存储银行卡磁道信息、卡片验证码、个人标识代码(PIN)及卡片有效期”。

    CVV******是客户的敏感信息,是不能在支付过程中被携程的系统中留存的;而乌云的报告中显示可能泄露的信息中有CVV,这就说明:携程在运营中存在违规行为。

    客户数据和信息可以为商家带来价值,那为什么行业规范不允许在系统里保存?就是因为这些敏感可能成为风险,一旦商家的安全防护手段被攻破,用户的隐私被泄露,后果不堪设想。

    那么我们就有理由怀疑:曾经注册过的电商网站,曾经用信用卡支付的交易中,是不是还有很多客户敏感、关键信息被存了下来?这些都合规么,还安全么?

    另一起安全事件,是源自《纽约时报》的报道,声称斯诺登提供的2010年文件显示:美国安局曾实施了“攻击巨人”(Shot Giant)的计划,其内容包括侵入华为的巨型服务器和精密的数字交换器,一方面是监控华为管理层的通信,了解华为是否与中国政府存在联系;另一方面则是为寻找华为设备中的漏洞,尝试入侵采用华为设备的网络。

    这个事件的性质就更恶劣了!涉及国家信息安全问题,不便多说。相信所有人都明白:我们并不希望把谁视为假想敌;但事实上,别人已经在入侵了。

    而在本周,巴西下议院通过了一条新的法律草案《网络民法》,旨在反对网络间谍,以及保障平等接入互联网,保护巴西网民的言论自由,以及设置网络信息的复制权和使用权。其中不仅规定应遵守巴西法律防止信息被窃取,还有防止通讯公司利用用户的通讯内容获得利益等内容。

    曾经听到不少对安全管理的抱怨。诚然,安全导致的操作复杂、认证延迟等,在一定程度上给用户和使用者带来了“麻烦”。很多企业的创新,就是想办法平衡安全和便利的矛盾,把麻烦留给自己,给客户带来方便。

    客观来说,很多互联网企业在安全方面做得不错,这些创新推动了支付环节的开放与进步,更推动了电子商务等一系列产业的发展。

    911之后,美国人看到穆斯林就躲;最近的恐怖袭击,国内也有人看到新疆同胞产生了心里阴影。这次安全事件,会在多大程度上影响业务的普及甚至产业的发展?用户在使用电子商务进行支付的时候,在告知对方CVV的时候,会不会有一丝犹豫?

    目前互联网金融对传统体系的冲击正处于关键时刻,安全事件的爆发,可能是推进互联网环境下的安全监管,加大对安全的关注度和投入;也可能以此为案例,以安全的名义放慢发展的脚步。

    911之后,很多企业意识到了信息安全的重要意义和价值,纷纷加大了这方面的投入,信息安全和数据备份的企业大发其财。这一轮次的信息安全恐怖袭击之后,谁又会成为赢家?

    这些,拭目以待,好戏刚刚开始。

版权所有 Copyright(C)2009-2013 江苏天网计算机技术有限公司 苏ICP备16029720号