旅游业是信息密集型和信息依托型产业,不论是从旅行线路查询到机票酒店预订,还是从电子地图的浏览到旅游信息的获取,这些都必须有强大、稳定、安全的信息服务平台和信息传输网络来支撑。这一特点决定了信息技术与旅游业之间的深层次互动关系,但信息技术的应用在提高企业效益并给用户带来便利的同时,也给企业和消费者增加了风险隐患。
(一)影响电子商务安全的因素
1.人为因素
是指系统运行中由人的行为造成的不利因素,主要有两类:一类是系统的合法使用者失误造成的损失,如操作失误、管理不善、录入错误、应急措施不足等;另一类是故意制造的损失,即各种类型的计算机犯罪、计算机病毒制造和信息窃取、篡改等。人为的网络入侵和攻击行为使得网络安全面临新的挑战。
人员管理常常是电子商务安全管理上最薄弱的环节。近年来计算机犯罪大都呈现内部犯罪的趋势,其主要原因就是工作人员职业道德修养不高,安全教育和管理松懈。目前现有的电子商务系统绝大多数都缺少安全管理员,缺少安全管理的技术规范,缺少定期的安全测试与检查。
2014年3月22日,乌云(Woo Yun)漏洞平台发布消息称:“携程将用于处理用户支付的服务接口开启了调试功能,使部分向银行验证持卡所有者接口传输的数据包均直接保存在本地服务器,有可能被黑客所读取。”对此,携程立即展开技术排查,并在两小时内修复了这个漏洞。经查,携程的技术开发人员之前是为了排查系统疑问,留下了临时日志,因疏忽未及时删除。
2.自然因素
指各种由自然界、环境等影响造成的对旅游电子商务系统的不利因素,如水灾、火灾、雷电、地震以及环境中存在着的电磁波等。这一类因素的危害主要是针对系统设备、存储介质、通信线路等。
3.技术因素
硬件方面包括服务器系统的可靠与稳定、网络结构的合理与适用、电源及附属设备的正常与安全等;软件方面,指系统软件、应用软件是否有缺陷,运行是否稳定,抗破坏能力如何等;数据方面,主要指系统的数据保护能力,如能否限制、制止数据的恶意或无意的修改、窃取和非法使用,有无数据的安全性、正确性、有效性、相容性检查与控制等。
因遭遇存储故障,在线旅游网站艺龙从2011年7月11日下午两点开始出现中断访问,全部预订服务被迫中断,在线预订平台全面瘫痪。艺龙官方网站在中断运营26小时后恢复访问。据了解,该事件最初是EMC存储设备出现故障,而由于艺龙网的存储结构不完善导致故障不能迅速被排除。
(二)旅游电子商务信息安全隐患
随着互联网的高速发展,旅游企业业务的开放性和国际性在增加应用自由度的同时,也使安全成为一个日益重要的问题。主要表现在,开放性的网络所面临的破坏和攻击也是多方面的,如旅游企业和旅游服务使用者的信息被非法获取、盗用、篡改和破坏。这些都阻碍了旅游企业信息化建设、旅游电子商务和网络营销的发展。
1.信息失窃
如果没有采用加密措施或加密强度不够,攻击者可能通过在互联网、公共电话网、电磁波辐射范围内安装截收装置或在数据包通过的网关和路由器上截获数据等方式,获取传输的机密信息,或通过对信息流量和流向、通信频度和长度等参数的分析,推测出消费者的银行账号、密码以及企业的商业机密等。
例如航班取消的诈骗短信和电话,就是用户的航班信息被窃取,以致收到的短信内容包含准确的个人信息,很容易产生信任心理,而一旦按照短信提示的电话进行回拨,就会被对方早已准备好的诈骗台词一步步引入骗局,钱款就在不知不觉中被不法分子骗取。
2.信息篡改
指攻击者未经授权进入电子商务系统,通过各种技术方法和手段对网络传输的信息进行中途修改,并发往目的地,破坏数据的完整性,损害他人的经济利益,或干扰对方的正确决策,造成电子商务交易中的信息风险。这种破坏手段主要有(1)篡改:改变信息流的次序,更改信息的内容;(2)删除:删除某个消息或消息的某些部分;(3)插入:在消息中插入一些信息,让收方读不懂或接收错误的信息。
2014年7月,受台风、暴雨等极端天气因素与军事演习影响,华东多个机场出现不同程度的航班延误。不少旅客选择在手机里下载一款航班查询App,以便及时了解航班状况。然而,一款名为“劫金者”的手机木马,恶意篡改了航班应用下载量较高的“航班管家”“航班查询”“航班助手”等App,专门坑害手机用户的流量和话费。“劫金者”木马恶意篡改“航班助手”正常的广告插件,并且诱导手机用户下载推广软件。而下载软件不仅消耗手机流量,而且推广软件的安全性也无法得到保证。
3.信息假冒(www.xing528.com)
当攻击者掌握了网络信息数据规律或解密了商务信息以后,可以假冒合法用户或发送假冒信息来欺骗其他用户。主要有两种方式:一是伪造电子邮件,虚开网站和商店,给用户发电子邮件,收订货单;伪造用户,发大量的电子邮件,窃取商家的商品信息和用户信用等信息。另外一种为假冒他人身份,如冒充领导发布命令、调阅密件;冒充他人消费、栽赃;冒充主机欺骗合法主机及合法用户;冒充网络控制程序,套取或修改使用权限、密钥等信息;接管合法用户,欺骗系统,占用合法用户的资源等。
4.交易抵赖
电子商务活动中,买卖双方都有可能会抵赖曾经发生过的交易。交易抵赖包括多个方面,如发信者事后否认曾经发送过某条信息或内容;收信者事后否认曾经收到过某条消息或内容;购买者下了订单不承认;商家因商品价格变动而不履行原有的交易。
(三)旅游电子商务信息安全策略
从系统的角度讲,网络安全包括组成网络系统的硬件、软件及其在网络上传输信息的安全性,要使其不致因偶然的或者恶意的攻击遭到破坏,则在网络安全方面既要解决技术方面的问题,也要解决管理方面的问题,两方面相互补充,缺一不可。
1.硬件设备安全策略
主要是保护计算机网络设备免遭环境事故、设备本身故障、人为操作失误及各种计算机犯罪行为导致的破坏。服务器是旅游企业信息系统的核心,服务器的速度、稳定性、安全性是企业电子商务系统能否正常运行的关键。2010年9月27日上午,30万张免费北京景区电子门票通过北京旅游信息网正式发放,因短时间内登录人群太多,网站服务器无法承受,网站一度陷入瘫痪,数小时内无法正常登录。所以,在服务器配置时,应考虑到机器整体性能和使用时可能出现的特殊情况等多方面的因素,采取双机热备,即一台服务器出现故障,另一台服务器要能迅速接管,以确保信息系统不间断运转。
2.网络运行安全策略
要具备针对突发事件的应急措施,如数据的备份和恢复等。根据系统安全需求,可选择的备份机制有:场地内高速度、大容量的数据自动存储、备份与恢复;场地外的数据存储、备份与恢复;对系统设备的备份。备份不仅在网络系统硬件故障或人为失误时起到保护作用,也在入侵者非授权访问或对网络攻击及破坏数据完整性时起到保护作用,同时亦是系统灾难恢复的前提之一。
尽量减少暴露在互联网上的系统和服务的数量,每多暴露一个都会给网络增加一份危险。企业内部局域网一般含有一些重要机密信息,此类信息如果被攻击或篡改则后果严重。网络安全人员一方面要用防火墙防范外部入侵,另一方面要对企业内部人员管理控制,防止内部员工对企业网络安全造成危害。
3.数据安全策略
为保障数据传输的安全,需采用数据传输加密技术、数据完整性鉴别技术。为保证信息存储的安全,需保障数据库安全和终端安全。
重要数据应建立数据恢复与容灾系统。容灾就是能够恢复数据灾难发生前的系统状态的方法。远程容灾系统是指在相隔较远的异地,建立两套或多套功能相同的系统,互相之间可以进行健康状态监视和功能切换。典型的容灾系统一般包括两个主要的功能部分:数据复制和应用切换。数据恢复与网络容灾是信息安全策略中不可或缺的一个环节。
4.制度安全策略
要对计算机网络设备、设施的使用和管理制定严格的规章制度,以杜绝各类安全隐患。
(1)建立保密制度。涉及信息保密、口令或密码保密、通信地址保密、日常管理和系统运行状况保密、工作日记保密等各个方面。对各类保密工作都需要慎重考虑,根据轻重程度划分好不同的保密级别,并制定出相应的保密措施。
(2)建立系统维护制度。该制度是电子商务网络系统能否保持长期安全、稳定运行的基本保证,应由专职网络管理技术人员承担,主要做好硬件系统和软件系统日常管理维护两方面的工作。
(3)建立病毒防范制度。病毒在网络环境下具有极大的传染性和危害性,除了安装防病毒软件之外,还要及时升级防病毒软件版本、及时通报病毒入侵信息。此外,还可将网络系统中易感染病毒的文件属性、权限加以限制,断绝病毒入侵的渠道,从而达到预防的目的。
免责声明:以上内容源自网络,版权归原作者所有,如有侵犯您的原创版权请告知,我们将尽快删除相关内容。
