2015年5月27日下午5点半左右，很多用户发现自己的支付宝无法登陆，故障一直持续到晚上7点20分，引发各种恐慌和猜测。支付宝官方回应称：“由于杭州市萧山区某地光纤被挖断，造成目前少部分用户无法使用支付宝”。就在大家松一口气的时候，28日上午又有用户发现携程的网站和APP出了问题。一开始携程方面称：“因携程部分服务器遭到不明攻击，导致官方网站及APP暂时无法正常使用”，事后又称“此次事件是由于员工错误操作导致”。

 

　　随着这几年互联网、移动互联网的发展，我们每个人都实实在在的感受到了互联网服务的方便快捷，但是这两天，支付宝故障和携程宕机，这两件事告诉我们，在方便的背后隐藏着巨大的信息安全风险。但这还不是最糟糕的，在互联网消费金融市场快速发展的今天，由于内外部威胁严重、系统漏洞繁多、风险控制能力差，网络罪犯在获取用户信息后，片刻之间卷走用户的资金也是易如反掌的事。

 

　　据业内人士称，新兴的消费性互联网金融网站将会成为网络罪犯眼中的香饽饽。高智商的网络罪犯通过网络盗取用户的账户信息，并将这些信息用于盗取存款，申请信用卡，或者进行其它形式的犯罪。一个惊人的事实是，地下论坛上售卖的几个数据库已经囊括了超过1亿人的借贷信息，包含了姓名、住址、身份证号、银行卡号、借贷金额、手机号码、亲属关系等大量隐私信息。

 

　　记者虽然对互联网消费金融有所研究，但是和很多朋友一样，仅仅是对漏洞、病毒、木马等等词语耳熟能详，却并非业内信息安全专业人士，对此也只能表示外行看看热闹。为了提升大家在互联网时代的信息安全风险防范意识，记者采访了原形金融的信息安全总监黄荣存，从专业人员的角度了解一下互联网行业信息安全的现状。
 

 

　　互联网公司，没有信息安全谈何商业模式

 

　　“是为了携程的事来的吧？他们出现这个事，不是完全偶然的，是玩火玩大了。”记者有点意外，一见面，戴着无框眼镜，形象内敛的黄荣存先生就如此的直言不讳，“携程这个事故的根源，还是在携程内部。最根本的，是携程对待用户信息的极端错误态度，对用户隐私和信息的安全缺乏最起码的尊重。2014年3月，携程被曝出存储用户的信用卡CVV码，也就是信用卡背面的后3位数字，这是严重的信息安全违规事件。”对有着近十年先后服务于华为、沃尔玛等知名企业担任信息安全核心管理岗位经历的黄荣存来说，携程此次的信息安全事故，用一句话来说，就是“出来混，总是要还的”。在2014年携程存储CVV码丑闻发生之初就有人评论道：“存储了用户信用卡的CVV码，还泄露了，前一个是企业的基本道德问题，后一个是安全问题”，我们很遗憾的看到，一年多过去了，携程并没有深刻的吸取教训，看样子还在坚持走侥幸和冒险的路线。

 

　　“在互联网扩张风潮之下，每一家互联网公司都在大谈商业模式，把业务放在首位。重视业务当然没错，但如果因此而忽略控制信息安全风险，无论对于公众还是互联网公司都是非常危险的，也是对用户、对投资者的极端不负责任。越大的互联网公司越应该注重信息安全，因为影响面太广，一旦发生信息安全事故，影响的不仅仅是公司的业务，更严重的是会影响到广大用户的数据、隐私、财产甚至是人身安全，很可能成为公共安全事件。2013年年10月发生的如家、汉庭、七天等大批酒店开房信息泄露事故，就给很多人的现实生活带来了无尽的烦恼。”

 

　　对于目前国内互联网行业的信息安全现状，黄荣存有着自己深刻的了解。据介绍，事实上目前国内的信息安全技术随处可见，只要是需要用户登录的网站或者应用软件，必然与信息安全系统相关。这么多年下来，国内信息安全水平是一直稳步上升的，特别是业务开展和信息安全直接相关的大型互联网公司，比如BAT(百度、阿里、腾讯)等等。当然，涉及到金融、消费相关的行业网站，则对信息安全这块更为看重。虽然互联网消费金融行业到现在发展的时间不长，但是整体上还是达到了较高的信息安全水平，在信息安全的重视程度上也是有一定高度的。就国内来说，除了BAT和银行系统之外，互联网消费金融行业也是信息安全技术大牛的集中地，这对所有用户来说，算是一个好消息。
 

 

　　技术是基础，规范的信息安全体系建设才是王道

 

　　关于信息安全方面的技术，在记者的采访过程中，黄荣存并不愿谈及太多专业的术语，他认为专业的事情应该交由专业的人来做，而不是将这些艰深晦涩的知识强加给用户。关于互联网行业消费金融的信息安全，有时候技术也只是基础的，“就像一支军队，士兵的军事素质是基础，但是决胜的关键，还是在于军事部署。”

 

　　事实上，企业与网络不法分子的这场较量，越来越像是一场战争。“凡战者，以正合，以奇胜，全面的体系建设是取胜的基础，没有正面规范的信息安全体系建设，反而想靠灵机一动的小聪明，是行不通的。”在携程这次的信息安全事故中，有一个小插曲，传言携程“老总说了，现在解决的，给一百万。” 

 

　　“我都能感觉到携程老总当时慌乱无助的心情”，黄荣存说，“既然携程在美国纳斯达克上市了，我建议他们的高级管理层还是加强学习一下萨班斯法案（注），毕竟世俗的法律制裁来的更快一些。”

 

　　个人军事素质再强的士兵，也打不赢一场战争。现在企业的信息安全建设已经不是靠孤胆英雄单打独斗的时代了，业界有完善的理论体系，成熟的最佳实践，全面的解决方案来保障企业信息的保密性、完整性和可用性。但是这一切的前提，是企业高级管理层对信息安全的重要性要有正确的认识，由于信息安全和业务一般不会有直接的相关性，往往导致口号喊得响，行动不落实。这就需要企业管理层从上到下实实在在的推动信息安全建设，从预算到人员，都必须提升到一定的高度。“兵者，国之大事，死生之地，存亡之道，不可不察也。”

• 共2页:
• 上一页
• 1
• 2
• 下一页