信息安全行業(yè)好戲剛剛開(kāi)始

責(zé)任編輯:editor004

2014-03-31 10:51:42

摘自:互聯(lián)網(wǎng)

烏云發(fā)布報(bào)告稱:攜程安全支付服務(wù)器接口以及服務(wù)器安全配置漏洞,存在信息泄露風(fēng)險(xiǎn),包括持卡人姓名身份證、銀行卡號(hào)、卡CVV碼、6位卡Bin等信息??陀^來(lái)說(shuō),很多互聯(lián)網(wǎng)企業(yè)在安全方面做得不錯(cuò),這些創(chuàng)新推動(dòng)了支付環(huán)節(jié)的開(kāi)放與進(jìn)步,更推動(dòng)了電子商務(wù)等一系列產(chǎn)業(yè)的發(fā)展

上周爆發(fā)的安全事件,經(jīng)過(guò)了一周的時(shí)間,似乎已經(jīng)不再是熱點(diǎn)新聞;但是安全事件就像恐怖襲擊,引爆了人們對(duì)于信息安全問(wèn)題的擔(dān)憂和顧慮。

首先,烏云發(fā)布報(bào)告稱:攜程安全支付服務(wù)器接口以及服務(wù)器安全配置漏洞,存在信息泄露風(fēng)險(xiǎn),包括持卡人姓名身份證、銀行卡號(hào)、卡CVV碼、6位卡Bin等信息。

從純技術(shù)的視角說(shuō),這個(gè)安全事件并不是很?chē)?yán)重,攜程發(fā)布聲明說(shuō),漏洞修補(bǔ)工作已經(jīng)在22號(hào)晚上完成,只是3月21號(hào)和22號(hào)這兩天的用戶有信息泄露的風(fēng)險(xiǎn)。

但是作為客戶,我們?nèi)砸穯?wèn):為什么攜程會(huì)保存CVV信息?

2008年發(fā)布的《銀聯(lián)卡收單機(jī)構(gòu)賬戶信息安全管理標(biāo)準(zhǔn)》中,明確提出了關(guān)于信用卡個(gè)人信息儲(chǔ)存的要求:“收單機(jī)構(gòu)系統(tǒng)只能存儲(chǔ)用于交易清分、差錯(cuò)處理所必須的最基本的賬戶信息,不能存儲(chǔ)銀行卡磁道信息、卡片驗(yàn)證碼、個(gè)人標(biāo)識(shí)代碼(PIN)及卡片有效期”。

CVV絕對(duì)是客戶的敏感信息,是不能在支付過(guò)程中被攜程的系統(tǒng)中留存的;而烏云的報(bào)告中顯示可能泄露的信息中有CVV,這就說(shuō)明:攜程在運(yùn)營(yíng)中存在違規(guī)行為。

客戶數(shù)據(jù)和信息可以為商家?guī)?lái)價(jià)值,那為什么行業(yè)規(guī)范不允許在系統(tǒng)里保存?就是因?yàn)檫@些敏感可能成為風(fēng)險(xiǎn),一旦商家的安全防護(hù)手段被攻破,用戶的隱私被泄露,后果不堪設(shè)想。

那么我們就有理由懷疑:曾經(jīng)注冊(cè)過(guò)的電商網(wǎng)站,曾經(jīng)用信用卡支付的交易中,是不是還有很多客戶敏感、關(guān)鍵信息被存了下來(lái)?這些都合規(guī)么,還安全么?

另一起安全事件,是源自《紐約時(shí)報(bào)》的報(bào)道,聲稱斯諾登提供的2010年文件顯示:美國(guó)安局曾實(shí)施了“攻擊巨人”(Shot Giant)的計(jì)劃,其內(nèi)容包括侵入華為的巨型服務(wù)器和精密的數(shù)字交換器,一方面是監(jiān)控華為管理層的通信,了解華為是否與中國(guó)政府存在聯(lián)系;另一方面則是為尋找華為設(shè)備中的漏洞,嘗試入侵采用華為設(shè)備的網(wǎng)絡(luò)。

這個(gè)事件的性質(zhì)就更惡劣了!涉及國(guó)家信息安全問(wèn)題,不便多說(shuō)。相信所有人都明白:我們并不希望把誰(shuí)視為假想敵;但事實(shí)上,別人已經(jīng)在入侵了。

而在本周,巴西下議院通過(guò)了一條新的法律草案《網(wǎng)絡(luò)民法》,旨在反對(duì)網(wǎng)絡(luò)間諜,以及保障平等接入互聯(lián)網(wǎng),保護(hù)巴西網(wǎng)民的言論自由,以及設(shè)置網(wǎng)絡(luò)信息的復(fù)制權(quán)和使用權(quán)。其中不僅規(guī)定應(yīng)遵守巴西法律防止信息被竊取,還有防止通訊公司利用用戶的通訊內(nèi)容獲得利益等內(nèi)容。

曾經(jīng)聽(tīng)到不少對(duì)安全管理的抱怨。誠(chéng)然,安全導(dǎo)致的操作復(fù)雜、認(rèn)證延遲等,在一定程度上給用戶和使用者帶來(lái)了“麻煩”。很多企業(yè)的創(chuàng)新,就是想辦法平衡安全和便利的矛盾,把麻煩留給自己,給客戶帶來(lái)方便。

客觀來(lái)說(shuō),很多互聯(lián)網(wǎng)企業(yè)在安全方面做得不錯(cuò),這些創(chuàng)新推動(dòng)了支付環(huán)節(jié)的開(kāi)放與進(jìn)步,更推動(dòng)了電子商務(wù)等一系列產(chǎn)業(yè)的發(fā)展。

911之后,美國(guó)人看到穆斯林就躲;最近的恐怖襲擊,國(guó)內(nèi)也有人看到新疆同胞產(chǎn)生了心里陰影。這次安全事件,會(huì)在多大程度上影響業(yè)務(wù)的普及甚至產(chǎn)業(yè)的發(fā)展?用戶在使用電子商務(wù)進(jìn)行支付的時(shí)候,在告知對(duì)方CVV的時(shí)候,會(huì)不會(huì)有一絲猶豫?

目前互聯(lián)網(wǎng)金融對(duì)傳統(tǒng)體系的沖擊正處于關(guān)鍵時(shí)刻,安全事件的爆發(fā),可能是推進(jìn)互聯(lián)網(wǎng)環(huán)境下的安全監(jiān)管,加大對(duì)安全的關(guān)注度和投入;也可能以此為案例,以安全的名義放慢發(fā)展的腳步。

911之后,很多企業(yè)意識(shí)到了信息安全的重要意義和價(jià)值,紛紛加大了這方面的投入,信息安全和數(shù)據(jù)備份的企業(yè)大發(fā)其財(cái)。這一輪次的信息安全恐怖襲擊之后,誰(shuí)又會(huì)成為贏家?

這些,拭目以待,好戲剛剛開(kāi)始。

鏈接已復(fù)制,快去分享吧

企業(yè)網(wǎng)版權(quán)所有?2010-2024 京ICP備09108050號(hào)-6京公網(wǎng)安備 11010502049343號(hào)