2017年2月10日公安部官网发布《旅馆业治安管理条例》(意见稿)。
2017年6月1日《网络安全法》正式实施。
这一系列法律法规的出台,都对酒店入住旅客的信息保护进行了明确的规范,如违反相关法规,轻者警告,重者责令暂停相关业务、停业整顿或吊销营业执照。
为何?
2017年4月19日,知名酒店洲际酒店集团(IHG)超过1000家旗下酒店遭遇支付卡信息泄露。
2017年2月6日,仍是洲际酒店集团(IHG),确认旗下12家酒店的支付系统遭到入侵,成为大规模数据泄露的受害者。
2016年1月,凯越集团的支付卡数据外泄事件波及了全球约50个国家的250家酒店。
2015年11月,希尔顿与喜达屋集团都表示,他们的支付处理系统遭受了不明来历的黑客攻击。除此之外,豪华连锁酒店TrumpSoHo酒店酒店同样也确认了一起数据泄露事件。
2015年2月1日,据漏洞盒子白帽子提交的报告显示,知名连锁酒店桔子、锦江之星、速八、布丁,高端酒店万豪、喜达屋、洲际的房客开房信息大量泄露。
…
无论是国内还是国外,酒店信息安全都是大问题。自2013年到现在,此起彼伏的酒店开房记录泄露、房客信用卡资料信息外泄、酒店网络安全漏洞等酒店信息安全案例被广为报道,这其中,因信息泄露而导致恋人分手、家庭破裂、财产损失的案例报道也不在少数。酒店业成为个人信息泄露的重灾区,主要原因有:
1、酒店行业结构较为散乱,管理机制不完善,一定程度上引发了黑客危机和内部人员泄密风险。虽然酒店使用了信息管理系统,但是对于安全隐患的排除却做得不到位。
2、现阶段一些酒店管理软件存在严重的安全隐患,服务器被黑客攻击,软件供应商管理不规范等,都是造成信息外泄的可能原因。
但究其根本,数据安全管理不到位才是“酒店泄密门”的元凶。只有在现有的安全防护体系中,补充对数据的防护这一环节,部署“术业有专攻”的数据安全管理系统,实现数据安全风险的可视化和可控化,才能从根本上解决酒店行业数据安全问题。
中安威士酒店行业数据库安全管理方案
酒店行业的管理模式已实现高度网络信息化,建有非常完善高效的PMS系统。但行业内的许多酒店同时也受到多样化的信息安全攻击的困扰,也有遵从《网络安全法》等各项法规要求的数据安全管理的需求。酒店的数据库中含有用户的姓名、身份证号、手机号、信用卡号、信用卡有效期、入住时间等敏感信息,需要对数据库实施专业的安全加固措施。
具体的实施方案如下图所示。
该方案的要点如下:
- 对数据库部署数据库审计系统
· 通过旁路镜像的方式,在不改变数据库系统的任何原有设置和在不影响数据库系统自身性能的前提下,实现对数据库的在线监控和保护;
· 使用数据发现功能,自动生成数据库服务器和敏感数据的分布情况,并将所发现的重要服务器、服务和数据进行分类,并生成统计报表。将所有发现和分类结果直接应用到后续模块中的规则中;
· 开启数据库性能监控功能,对数据库运行状态进行实时监控,在状态异常时进行预警,提前防止业务瘫痪,保障业务系统的连续可用性;
· 开启数据库性能风险评估功能,扫描弱口令、系统漏洞、配置等风险,全面评估数据库系统的风险状态;
· 开启学习功能,自动生成基线模型白名单访问规则,实现规则零配置,解决因人力不足无法详细设置审计规则的问题。通过人工添加黑名单规则,实现灵活的细粒度访问规则;
· 开启入侵检测功能,及时发现针对数据库的违规操作行为,并进行记录、报警。一旦发生威胁,可迅速判断是内部人员的越权操作,还是外部人员的入侵行为,事后追责,满足合规审计要求;
· 开启运维审计功能,审计通过SSH/TELNET/FTP等协议对数据库服务器进行的运维操作;
· 开启Web应用审计和三层关联审计,实现完整地溯源能力。
2 )对数据库部署数据库防火墙系统
· 部署双机模式,保证连续服务能力;
· 基于硬件bypass,防止单点失败;
· 开启入侵保护功能,以抵御SQL注入攻击和针对数据库漏洞的攻击,还能防止全表删除等误操作、超级权限滥用等风险;
· 开启学习功能,生成白名单规则,并手工添加黑名单规则,解决详细设置数据库防火墙规则困难的问题。
- 以旁路方式部署数据库加密系统
· 对于尤其重要的数据,部署数据库加密系统,对制定的敏感字段进行加密;
· 通过三权分立的限管控系统来实现对敏感数据访问的权限控制,确保其数据的安全性;
· 开启敏感数据访问审计功能,记录对加密数据的访问;
· 定期轮换密钥,保证加密数据的安全。
中安威士数据安全管理解决方案能带给酒店如下价值:
· 简化业务治理,提高数据安全管理能力;
· 完善纵深防御体系,提升整体安全防护能力;
· 减少核心数据泄露,保障业务连续性;
· 有效维护酒店的公信力和声誉;
· 助力酒店的信息系统完成合规审计。