网络安全检测|网络安全服务|网络安全扫描-香港墨客投资移动版

　　李滨认为，外部威胁包括来自互联网和企业外部的黑客攻击等行为。在这个攻击途径上，黑客对数据系统的攻击主要是利用开发运维人员因为一时疏忽而暴露在互联网上的数据访问接口和访问凭据对数据进行违规访问；或者利用应用系统编程的漏洞，例如SQL注入或XSS脚本绕过数据库的认证机制越权访问信息。

　　内部威胁主要来源于企业内部员工的无意或蓄意的违规访问数据造成的信息泄露，根据IBM2018年威胁情报指数的报道，2017年内发生的数据泄露事件，60%和内部原因有关。来源于企业内部的数据安全攻击又分为两类情况，一类是内部恶意员工利用合法的权限或非法获取他人的权限，进行数据访问和窃取。当前的经济环境中对于高价值的企业数据来说，商业间谍和“内鬼”造成的数据失窃事件频率越来越高，加强内部安全管控值得注意。

　　另一类情况是由于企业内部人员的一时疏忽，在日常IT使用过程中，业务终端被导入木马，或企业的内部业务系统因为应用漏洞被黑客通过近场进行内部攻击，然后进一步用这些设备作为跳板，来获取系统内的访问权限。现在随着移动办公、无线网络等新技术的广泛应用，原来传统企业概念中的物理安全边界并不可靠，来源于内部的访问也不一定就安全可靠，内网系统和用户终端的安全防护需要考虑，用户和关键数据的访问行为也需要持续监控。

　　同时，值得注意的途径还有企业与第三方的数据交换和外包。现在很多企业会进行数据处理的外包，或因业务连接而进行数据的交换。在与第三方进行数据交换和处理的过程中安全保护措施的疏忽也会是一个重要的直接或间接泄露途径，2018年初Facebook5000万用户数据泄露事件就是第三方数据处理因素造成的典型案例。

　　对于酒店业数据库保护，李滨认为，从企业层面来说，要做好数据安全的防范至少要做到识别关键数据，做好数据分类分级，清晰地了解企业内的关键数据和价值，知晓数据的位置、边界和关系，并制定针对性的保护策略，以及持续监控，主动发现，对网络边界、业务终端和数据库的异常访问行为进行持续性监控，及时分析和处理。此外，还要做到对外和对内的安全防控，做到关键数据保护等。

　　3 客人信息泄露是否追究酒店责任？

　　国内酒店信息泄露问责力度欠缺

　　Q：有律师认为，如果酒店泄露客人信息，应该追究酒店的责任。但专家认为，目前的法律条款尚不足以提高酒店管理者对信息安全保护问题的重视。需要增加立法和加强监管。

　　律师杨继先认为，如果酒店泄露客人的信息，应该追究酒店的责任，因为酒店有保障客人信息安全的义务。

　　杨继先说，《消费者权益保护法》规定：在入住并且提供个人信息时客户就已经与酒店形成了合同关系，表面上看两者之间只是住客支付费用，酒店提供住处，但实际上还有一些基于这个合同而产生的附加条件，其中就包括住客提供的个人隐私信息应该得到酒店的保护。假如因为信息泄露而给消费者带来损失，酒店则应承担民事赔偿责任。

　　公安部发布的《旅馆业治安管理条例》也对酒店住客入住、监控、信息安全等做出了详细规定。其中明确指出，旅馆及其工作人员，不得向任何单位和个人提供住宿人员相关信息和视频监控资料。若向有关部门、单位或个人提供住宿人员相关的情况应当进行登记。

　　但在任方看来，目前的法律条款尚不足以提高酒店管理者对信息安全保护问题的重视。

　　“目前，国内法律法规对酒店泄露客人信息的惩罚力度并不大，我没有听说哪一家酒店或者服务性公司因为这类事受到过很大的处罚。”任方说，“信息安全问题这几年突然集中式爆发，各方面都没有做好准备，服务行业从业者都应该提高安全服务意识，但他们往往做不到。”

　　任方认为，如果要求酒店提高安全性，则需要专业的技术，会造成管理系统的复杂化，还需要专业的技术和管理人员，这将提高酒店的成本，这肯定是大多数商家不愿意看到的。对此，将来需要增加这一方面的立法，以及加强监管。