写点什么

航空公司和酒店如何保障网络安全?这有 6 种方法

  • 2019-09-25
  • 本文字数:2590 字

    阅读完需:约 8 分钟

航空公司和酒店如何保障网络安全?这有6种方法

最近,很多新闻报道显示,旅游和酒店行业的相关公司已经成为网络犯罪的首要目标。本文列举了六个隐私和安全的相关建议,可以帮助这些公司保护用户隐私和保障网络安全。



对旅游和酒店行业的公司来说,最近坏消息可谓是层出不穷。


在过去一年里,众多的数据泄露事件被媒体广泛报道。在酒店方面,万豪/喜达屋(Marriott/Starwood)丽笙(Radisson)以及最近的Choice Hotels(Choice Hotels breach)都“榜上有名”。而在航空公司方面,英国航空公司(British Airways)加拿大航空公司(Air Canada)国泰航空(Cathay Pacific)等公司遭受的网络攻击都备受世人瞩目。


Webroot 负责工程的副总裁 David Dufour 说,航空公司和酒店现在已经成为网络攻击的首要目标,主要是因为这些行业的一个典型特征:员工遍布各地,并不限制在一个单一的公司办公地点。


David Dufour 表示:“航空公司和酒店的员工常常会经手大量客户私人信息,然而,这些行业的雇员流动率却居高不下。比如,人们通常不会在酒店的前台工作很长时间。”


David Dufour 还补充,航空公司和酒店往往在全球数百个城市都设有分支机构,如此庞大的业务量同时也带来了很高的曝光率。


他说:“作为一个经常旅行的人,当我走进机场的休息室时,为了自己的方便,我当然希望他们手头有我所有的信息。但从安全的角度来看,全面掌握我的个人信息,实在是让别人太有机可乘。作为一名客户,虽然我期待服务的便利,但现实是,如今每一个信息开放的领域都可能存在漏洞。”



对旅游和酒店行业的相关公司来说,在客户方便和安全之间取得平衡的努力仍在继续。以下是这些企业可以遵循的六个建议,以帮助保护隐私和保障网络安全。

一、更仔细地对第三方进行审查

Webroot 公司的 David Dufour 建议,旅游和酒店行业相关的公司需要认真地询问他们的第三方供应商打算如何保护他们的敏感数据。


如果这些第三方公司根本都拿不出一个计划来证明他们如何做这件事情,那就需要其他方式来证明他们确实能提出这样的计划。


McAfee 公司的首席技术策略师 Sumit Sehgal 补充说,


不仅需要关注第三方公司,公司还需要审视整个组织协作过程产生的数据流。然后,结合由认证机构提供的对第三方供应商的风险分析,公司主体可以得到自身关于网络安全的更准确的全貌。

二、航空公司和酒店要对自己的数据负责

安全研究员 Bob Diachenko 表示,企业需要对自己的数据负责。Bob Diachenko 负责 Security Discovery 网站的网络威胁情报工作,正是他发现了最近针对 Choice Hotels 连锁酒店的黑客攻击。


他表示:“即使一家公司使用第三方供应商,同样需要对自己的数据负起责任。” 他还补充说,公司应该使用分析工具来验证他们的网络上具体发生了什么,这样他们才能做出重要的相关决定。


Webroot 公司的 David Dufour 还补充说,公司还需要清晰地知道自己正在与第三方、用户或社交媒体共享哪些数据。他们需要明确地知道他们数据共享会持续多久,数据将要存储的位置,以及储存多久。


除此之外,公司应该只对外共享那些必须共享的数据。例如,如果共享用户的邮政编码就可以完成一个功能,那么就完全没有必要再共享用户的姓名数据。

三、更好地管理数据库

Security Discovery 的 Bob Diachenko 说,航空公司和酒店的安全专家需要深入理解他们的数据库是如何工作的。这包括:总是使用最新版本的数据库软件,启用所有安全选项,并确保没有发生任何错误的配置。



Webroot 公司的 David Dufour 指出,应该规定只有经过授权的管理人员才能访问公司的数据库。


此外,个人电脑和手机上的所有软件都必须及时打补丁,以减少被攻击的风险。他解释道:“利用软件漏洞只是入侵软件的一种方式,黑客可以利用单一漏洞进行恶意的大肆破坏。”


David Dufour 还补充说,尽管及时打软件补丁是网络安全方面最基本的预防和处理措施,但却常常被很多企业所忽视。

四、利用公开的威胁情报网站

Choice Hotels 连锁酒店的入侵事件,是 Security Discovery 的 Bob Diachenko 在用搜索引擎 BinaryEdge 进行扫描时发现的,他喜欢把这个搜索引擎称为“新谷歌”。


BinaryEdge 扫描互联网,收集可以转化为威胁情报或安全报告的数据。还有一些其他网站,比如 Shodan,它为互联网上的物联网(IoT)设备提供所有 IP 地址的索引;另外还有 Censys,为了科研社区能更准确地研究互联网而对互联网进行扫描;以及 IVRE,一个用于网络侦察的开源框架。


这些站点是有其价值的,Webroot 公司的 David Dufour 对这点表示赞同,并指出这些工具可以识别公司是否正在与恶意 IP 地址进行通信。

五、无线网络隔离

Webroot 公司的 David Dufour 还建议航空公司和酒店在公共 Wi-Fi 和企业内部网络之间设置一个隔离屏障。因为公共 Wi-Fi 太脆弱了,所以让公司员工通过单独隔离的互联网连接上网是非常有必要的。


而且,航空公司和酒店也应当向消费者用户传达一些基本的安全建议。例如,他们可以劝阻消费者在公共 Wi-Fi 上进行任何金融交易,这样的公共 Wi-Fi 更适合只用于查询电影时刻表或餐馆位置。如果消费者在这样的环境下需要进行任何带商业目的的操作,此时应该建议消费者在智能手机上使用移动热点而不是公共 Wi-Fi。

六、制定有效的培训计划

来自 McAfee 公司的 Sumit Sehgal 说,现在几乎每家公司都有一个由遵从性所驱动的培训计划。有效的培训计划会充分利用全员遵从这个基础,在此之上打造基于真实环境中与用户操作相关的针对实际情况的培训。


Webroot 公司的 David Dufour 补充说,航空公司和酒店雇员的高流动率也意味着,这些公司真的需要花费大量时间来培训员工如何处理敏感信息。他认为这是第一要务。


David Dufour 还说,对公司而言,制定清晰的流程并确保员工在工作中遵循流程也很重要。他举了一个他自己的例子,他最近弄丢了酒店的收据,就让他的助理联系酒店,请求酒店给他发送一份收据副本。但酒店拒绝了这个要求,并称他们必须与 David Dufour 本人直接对话。他说,很明显,这家酒店制定了一项政策,除非他们确保自己正在与真正付款的人对话,否则不得与他人分享信用卡或其他个人信息。


David Dufour 对此的感慨是:“虽然这些政策不是那么方便,但从消费者的角度来看,酒店拥有这些政策、流程和章程对我而言是有益的。”


作者介绍:


Steve Zurier,在马里兰州哥伦比亚市工作,有超过 30 年的新闻和出版经验,过去 24 年中的大部分时间从事网络和安全相关技术。


英文原文:


6 Ways Airlines and Hotels Can Keep Their Networks Secure


2019-09-25 09:501485
用户头像

发布了 63 篇内容, 共 42.1 次阅读, 收获喜欢 119 次。

关注

评论

发布
暂无评论
发现更多内容

架构师训练营模块一作业

CheneyWang

架构实战营

现成存币生息钱包软件系统开发模板

MyBatis原生批量插入的坑与解决方案!

王磊

mybatis springboot

第1周作业

危险游戏

架构实战营

自定义 View:三维旋转

Changing Lin

10月月更

网络安全等保:Oracle数据库测评

网络安全学海

网络安全 信息安全 渗透测试 WEB安全 安全漏洞

制造业中的云计算:从不可能到不可或缺

云计算

音视频:H.264与H.265编码

程序员架构进阶

视频编解码 视频流 H.265 10月月更

崎岖的矿山路:无人矿卡的那些难题与智变

脑极体

持币生息钱包软件系统开发资料(源码)

Java 面试八股文之数据库篇(二)

Dobbykim

未来云原生 | CIF 论坛精彩看点

CODING DevOps

DevOps 云原生 数字化 标准化 腾讯云 CIF 峰会

在体制内做事的八个建议

石云升

学习笔记 职场经验 10月月更

2021年南通市正规等保测评机构有几家?叫什么名称?

行云管家

网络安全 等级保护 等保测评

AI产业化加速时代,中国大学生何以勇攀时代高峰?

脑极体

HTTPS 协议到底比 HTTP 协议多些什么?

JackTian

https 网络协议 网络 HTTP 网络工程师

官方线索|第十三届中国开源黑客松

轻口味

1024我在现场

分析型CRM软件能帮到你什么?

低代码小观

企业 企业管理 CRM 管理工具 系统管理

PP-OCR

春秋易简

MySQL 数据存储/索引/事务隔离级别/主从复制/分库分表

赖猫

c++ MySQL 数据库 后台开发 后端

科技热点周刊|GitLab 上市、LinkedIn 中国停止运营、Visual Studio 2022 正式版将发布

青云技术社区

云计算 云原生 云安全

行云创新即将出席2021云栖大会,共话云原生

行云创新

云原生 阿里 开发 行云 云栖大会

一个人如何又快又好的管理多台windows server服务器?

行云管家

服务器 运维监控 运维管理

官方线索|1024 51CTO 程序员嘉年华

穿过生命散发芬芳

1024我在现场

Bazel构建Android项目

轻口味

android 10月月更

BFE Ingress Controller正式发布!

百度开发者中心

负载均衡 云原生 开源技术 kurbernetes ingress

协作型CRM软件能帮到你什么?

低代码小观

企业 企业管理 CRM 管理系统 管理工具

音视频学习 -- 弱网对抗技术相关实践

声网

音视频 网络 实时视频

JavaScript 中优雅处理对象的6个方法

devpoint

JavaScript Object 10月月更

模块一作业

bob

「架构实战营」

听说,99% 的 Go 程序员都被 defer 坑过

AlwaysBeta

golang defer panic recover Go 语言

航空公司和酒店如何保障网络安全?这有6种方法_安全_Steve Zurier_InfoQ精选文章