当前位置:首页>巅峰研究>旅游企业信息化建设中的信息安全问题
  • 使命

巅峰在您身边

咨询热线
400-8130-588
24小时专家热线
138-0119-5460
扫描二维码关注巅峰
微信
微 信
微博
微 博

旅游企业信息化建设中的信息安全问题

作者: 叶铁伟更新: 2008年11月20日标签: 信息化,智慧旅游点击量:

旅游业是信息密集型和信息依托型产业,这一特点决定了信息技术与旅游业之间的深层次互动关系,同时,也就决定了信息技术与旅游业的结合是必然趋势。近年来,我国旅游业迅速发展,旅游者的消费需求越来越个性化、多样化,旅游企业也需要越来越多的提供一站式、综合化的旅游产品。而且,由于互联网对传统旅游业功能的替代以及网民基础的夯实,旅游电子商务的发展如火如荼。

旅游业是信息密集型和信息依托型产业,这一特点决定了信息技术与旅游业之间的深层次互动关系,同时,也就决定了信息技术与旅游业的结合是必然趋势。近年来,我国旅游业迅速发展,旅游者的消费需求越来越个性化、多样化,旅游企业也需要越来越多的提供一站式、综合化的旅游产品。而且,由于互联网对传统旅游业功能的替代以及网民基础的夯实,旅游电子商务的发展如火如荼。

伴随着信息技术的发展,当今旅游企业大都开始广泛使用信息技术,特别是网络技术,以不断提高企业的竞争力。企业信息设施在提高企业效益给用户带来便利的同时,也给企业和消费者增加了风险隐患。各个行业都同样面临着信息安全问题的困扰,尤其是像旅游企业这样通过网络平台和信息系统直接面对消费者的服务型行业,信息安全问题的矛盾就显得尤为突出。

一、当前我国旅游业信息化的发展趋势

当前,信息技术的迅猛发展已经给传统的旅游产业带来了巨大变革,旅游业的信息化进程主要在如下三个方面对旅游业产生了革命性影响。

1、信息技术使传统的接待模式发生变化,人们旅游出行正在从传统的抱团似的出行方式,向个性化的旅游和多极化的旅游模式转变,散客比例将明显增大,信息革命使得传统旅游业的这种密集劳动形式发生颠覆性的变化。

2、信息技术的发展开始淡化旅行社职能,旅行社作为中间服务商,主要职能是提供咨询服务、票务处理、设计和推销旅游产品。但随着信息技术的普及,旅行社受到冲击**,如果它不重新构筑生存的基石,那么它将可能消失。旅行社的咨询服务功能将被Internet的网络的自动查询所替代。旅行社旅游产品的推销模式和手段将被网上营销所替代。代理票务的收入将会随着旅游预订系统(CRS)和银行付款系统(BSP)的完善和推广而下降。

3、信息技术使得旅游电子商务得到飞速发展,随着互联网在全球范围内的飞速发展和普及,信息技术的成果正逐步渗透到人们社会生活和生产的各个方面,电子商务作为一种新的交易手段和商务模式,也正以空前的速度进入包括旅游业在内的传统商务的各个领域。

二、旅游业信息安全的重要性

国家计算机网络应急技术处理协调中心(CNCERT/CC)2007年上半年网络安全工作报告数据显示,目前中国的互联网安全实际状况仍不容乐观。各种网络安全事件与去年同期相比都有明显增加。半年时间内,CNCERT/CC接收的网络仿冒事件和网页恶意代码事件,已分别超出去年全年总数的14.6%和12.5%。我国大陆地区被植入木马的主机IP 远远超过去年全年,增幅达21倍。我国大陆被篡改网站数量比去年同期增加了4 倍,比去年全年增加了近16.9%。

从CNCERT/CC掌握的半年情况来看,攻击者的攻击目标明确,针对不同网站和用户采用不同的攻击手段,且攻击行为趋利化特点表现明显。对旅游企业,尤其是以网络为核心业务的旅游企业,采用有组织的分布式拒绝服务攻击(DDoS)等手段进行勒索,从而迫使企业接受相应条件,影响企业正常业务的开展。对于个人用户,攻击者更多的是通过用户身份窃取等手段,偷取该用户账号、银行账号、密码等,窃取用户的私有财产。如利用网络钓鱼(Phishing)和网址嫁接(Pharming)等对金融机构、网上交易等站点进行网络仿冒,在线盗用用户身份和密码。通过恶意网页、社交工程、电子邮件和信息系统漏洞等方式传播恶意代码,利用间谍软件(spyware)和木马程序窃取用户的私有信息,严重的导致财产损失。

不论是从旅行线路查询到机票酒店预订,还是从电子地图的浏览到旅游资讯的获取,这些都必须有强大、稳定、安全的信息资讯服务平台和信息传输网络来支撑。随着Internet的高速发展,旅游企业业务的开放性和国际性在增加应用自由度的同时,也使安全成为一个日益重要的问题。这主要表现在:开放性的网络,导致网络的技术是全开放的,因而网络所面临的破坏和攻击也是多方面的,如何保护旅游企业和旅游服务使用者的信息不被非法获取、盗用、篡改和破坏,已成为旅游信息化从业人员的重要研究课题。随着电子商务在Internet上全球性的推广,信息安全的重要性更加凸现,企业与消费者对电子交易安全的担忧已严重阻碍了旅游企业信息化建设、旅游电子商务和网络营销的发展。

三、旅游企业如何建立一个信息安全的防护体系

信息安全理论与技术主要包括:黑客防范、信息伪装理论与技术、信息分析与监控、入侵检测原理与技术、反击方法、应急响应系统、计算机病毒、人工免疫系统在反病毒和抗入侵系统中的应用等。

随着旅游企业信息化建设和旅游电子商务在Internet上全球性的推广,安全的重要性更加凸现,旅游企业与消费者对电子交易安全的担忧已严重阻碍了我国旅游电子商务和网络营销的发展。按照安全策略的要求及风险分析的结果,整个网络应建立的安全控制系统由物理安全、网络安全、信息安全和制度安全等四个方面组成的:

物理安全

物理安全是保护计算机网络设备、设施以及其它媒体免遭地震、水灾、火灾等环境事故以及人为操作失误或错误及各种计算机犯罪行为导致的破坏过程。应对计算机网络设备、设施的使用和管理制定严格的规章制度,以杜绝此类安全隐患。

信息系统服务器是中小企业信息系统的核心,服务器的速度、稳定性、安全性是企业信息系统能否正常运行的关键。在购买微机服务器时,应考虑到机器性价比、整体性能和售后服务等方面的因素,并应考虑双机热备,即一台服务器出现故障,另一台服务器迅速接管,以确保信息系统不间断运转。

重要数据应建立数据恢复与容灾系统,容灾就是能够恢复数据灾难发生前的系统状态的方法。远程容灾系统是指在相隔较远的异地,建立两套或多套功能相同的系统,互相之间可以进行健康状态监视和功能切换。典型的容灾系统一般包括两个主要的功能部分:数据复制和应用切换。数据恢复与网络容灾是信息安全战略中不可或缺的一个环节。

网络安全

网络安全可以分成三类:

1、软件系统安全,指主机和服务器的安全,主要包括反病毒、系统安全检测、入侵检测(监控)和审计分析。其中包括对系统的登录数据和网络信息流向的实时监控,对各种黑客攻击的防范,如:BackOrifice、冰河等特洛伊木马黑客软件、口令入侵、监听(Sniffing)技术、邮件炸弹攻击、拒绝服务式攻击(Denial ofService,DOS)、分布式拒绝服务攻击(Distribute Denial of Service,DDOS)等。

2、网络运行安全,指要具备必须的针对突发事件的应急措施,如数据的备份和恢复等;网站的备份系统是为了尽可能快地全盘恢复运行计算机系统所需的数据和系统信息。根据系统安全需求可选择的备份机制有:场地内高速度、大容量自动的数据存储、备份与恢复;场地外的数据存储、备份与恢复;对系统设备的备份。备份不仅在网络系统硬件故障或人为失误时起到保护作用,也在入侵者非授权访问或对网络攻击及破坏数据完整性时起到保护作用,同时亦是系统灾难恢复的前提之一。

3、局域网或子网的安全主要是访问控制和网络安全检测的问题。尽量减少暴露在互联网上的系统和服务的数量,每暴露一个都会给网络增加一份危险。企业内部局域网一般含有一些重要机密信息,此类信息如果被攻击或篡改则后果严重。网络安全人员一方面要用防火墙防范外部入侵,也要对企业内部人员管理控制,防止内部员工对企业网络安全造成的危害。

信息安全

信息安全涉及到信息传输的安全、信息存储的安全以及对网络传输信息内容的审计三方面,当然也包括对用户的鉴别和授权。在信息安全涉及到的几个方面中,为保障数据传输的安全,需采用数据传输加密技术、数据完整性鉴别技术。为保证信息存储的安全,须保障数据库安全和终端安全;信息内容审计,则是实时对进出内部网络的信息进行内容审计,以防止或追查可能的泄密行为。对用户的鉴别是对网络中的主体进行验证的过程,通常有三种方法验证主体身份。一是只有该主体了解的秘密,如口令、密钥;二是主体携带的物品,如智能卡和令牌卡;三是只有该主体具有的独一无二的特征或能力,如指纹、声音、视网膜或签字等。以下介绍几种比较成熟的信息安全技术:

1、密码技术:当今计算机业界的公司及各种机构所提供的技术服务,包括令牌、安全传输数据协议、电子证书及可信任网站安全标准等,都要涉及到加密技术,其重要性显而易见。目前被广泛采用的算法有以下几种:美国著名的算法公司RSA提供的公钥密码算法RSA和美国IBM公司提供的分组密码算法DES。

2、数字证书与CA中心:在数字化社会中,要实现上面所述的身份认证的安全需求,必须建立一种信任及信任验证机制,即每个网络上的实体(例如个人、企业等)必须有一个可以被验证的数字标识,这就是“数字证书(Certificate)”。同时,这就意味着应有一个网上各方都信任的机构,专门负责对各个实体的身份进行审核,并签发和管理数字证书,这个机构就是证书中心(CertificationAuthority,简称CA)。对于参加电子商务的各方来说,都必须拥有合法的身份,即由CA签发的数字证书,在交易的各个环节,交易的各方都检验对方数字证书的有效性,从而解决了用户信任和身份认证的问题。

目前在互联网上存在着很多CA,适用于不同的国家或地区,应用于不同的情况,实现不同的目的,其中最有全球影响力的是美国的VeriSign。在中国,目前的CA架构以银行体系为主,基本上各大银行都有自己的CA中心,另外还有一些地区性的CA中心,一些企业和网站也设立了自己的CA中心,但规模和影响目前都还比较有限。不同的CA之间可以遵循一个开放性的标准,PKI(Public Key Infrastructure,公钥基础设施) 规范,以使各个CA之间能够互联、互相认证。

3、安全协议:这些安全功能的实现必须基于一整套的安全协议。目前世界上公认的标准有:SSL、SET和NetBill协议。SSL(Secure SocketLayer,安全套接层)协议是TCP/IP协议族中目前**的安全协议,可以实现通信过程的安全保密,目前SSL被众多厂家和用户广泛采用,已经成为通信底层协议的实际标准。SET(SecureElectronicTransaction,安全电子交易)规范是由两大信用卡商Visa和MasterCard联合制定的实现网上信用卡交易的模型和规范。从概念上,它是通用信用卡的自然延拓,保留了信用卡交易的一切特点,同时针对网上交易,制定了确保安全的一系列规范和协议。SET能够保证较好的安全性,但是也有处理速度慢,协议复杂,安装麻烦等缺点,而且只适用于信用卡的应用。

制度安全

首先,应建立健全企业信息系统安全管理制度。在信息系统运行过程中,企业信息系统管理部门应制定严格的服务器日常维护、巡视和记录制度、客户机维护和操作制度、用户管理制度、人员培训制度等,并严格按照制度进行奖惩。

其次,重视CIO的培养与使用。企业信息化是一项复杂的系统工程,除了“一把手”要高度重视外,有一个既懂信息系统、又懂业务流程的复合型CIO也是非常关键的。在国外,大学、大企业的CIO直接参与企业重大问题的决策。一个合格的CIO既能充分调动网络技术人员的工作积极性,又能把握企业信息化发展全局,并能随时为领导提供参考意见。

第三,注重网络管理人员的地位与作用。在实施信息化的企业中,网络管理人员掌管着网络技术的核心,系统能否正常运行,全依赖于他们。在国外,企业每20台微机就配备1名维护人员,且他们的薪水是相当可观的。而国内目前却做不到,满负荷的工作和较低的薪水确实不能吸引高层次的网管人员。不过,有些企业已开始致力于改善这方面的工作。

小贴士:

全球病毒爆发大事记(截止至2004年5月)

1988年11月:**因特网病毒“莫里斯的蠕虫”(Morris’s Worm)出现,感染了25万台电脑,造成的损失达9600万美元。

1998年4月,CIH病毒爆发,全球6000万台电脑被破坏,造成的损失为10亿美元。

1999年,“美丽杀手”爆发,经济损失超过12亿美元。

2000年5月,“爱虫”(I Love Y ou)病毒在全球造成的损失达100亿美元。

2001年9月,“尼姆达”病毒被发现,在3天内造成了6亿美元的损失。

2001年12月,“求职信”病毒发作,病毒邮件阻塞服务器,损失达数90亿美元。

2003年1月,“2003蠕虫王”病毒在全球爆发,感染了100万台计算机。北美、欧洲和亚洲的2.2万个网络服务器遭到攻击,数万台自动取款机瘫痪,票务预订、网上购物、电子邮件、网络电话等网络服务遭受重大损失,直接经济损失达12亿美元。

2003年8月,“冲击波”病毒爆发,感染了100万台计算机,损失为数十亿美元,

2004年1月,“SCO炸弹”病毒全球爆发,经济损失达261亿美元。

2004年5月,“震荡波”病毒迅速在全球传播,全球三分之一的电脑受到感染。

2007年我国网络安全大事记

01月——“熊猫烧香”病毒作者被逮捕

02月——互联网遭受五年以来**规模黑客袭击

03月——灰鸽子病毒 又一轮“熊猫烧香”来袭

04月——取代美国 中国成“恶意软件”头号基地

05月——温柔地“杀”死你 诺顿误杀事件

05月——半年22次重大误杀 瑞星称卡巴斯基蔑视中国用户

06月——落网时只有19岁 少年黑客狂攫千万

07月——北京警方破获首例DDoS黑客攻击案

08月——黑客入侵中国游戏中心系统 盗22亿游戏币

09月——中国女解码高手十年破译五部**密码

10月——国庆期间近百万台电脑感染两万余种病毒

11月——Leopard遭破解 苹果干不过“黑客”帝国

11月——Google大清洗 4万恶意网站被删除

12月——MSN蠕虫病毒借助“圣诞照片传播”

扫描(长按)图片选择『识别图中二维码』关注我们公众号!