【AICon】探索RAG 技术在实际应用中遇到的挑战及应对策略!AICon精华内容已上线73%>>> 了解详情
写点什么

航空公司和酒店如何保障网络安全?这有 6 种方法

  • 2019-09-25
  • 本文字数:2590 字

    阅读完需:约 8 分钟

航空公司和酒店如何保障网络安全?这有6种方法

最近,很多新闻报道显示,旅游和酒店行业的相关公司已经成为网络犯罪的首要目标。本文列举了六个隐私和安全的相关建议,可以帮助这些公司保护用户隐私和保障网络安全。



对旅游和酒店行业的公司来说,最近坏消息可谓是层出不穷。


在过去一年里,众多的数据泄露事件被媒体广泛报道。在酒店方面,万豪/喜达屋(Marriott/Starwood)丽笙(Radisson)以及最近的Choice Hotels(Choice Hotels breach)都“榜上有名”。而在航空公司方面,英国航空公司(British Airways)加拿大航空公司(Air Canada)国泰航空(Cathay Pacific)等公司遭受的网络攻击都备受世人瞩目。


Webroot 负责工程的副总裁 David Dufour 说,航空公司和酒店现在已经成为网络攻击的首要目标,主要是因为这些行业的一个典型特征:员工遍布各地,并不限制在一个单一的公司办公地点。


David Dufour 表示:“航空公司和酒店的员工常常会经手大量客户私人信息,然而,这些行业的雇员流动率却居高不下。比如,人们通常不会在酒店的前台工作很长时间。”


David Dufour 还补充,航空公司和酒店往往在全球数百个城市都设有分支机构,如此庞大的业务量同时也带来了很高的曝光率。


他说:“作为一个经常旅行的人,当我走进机场的休息室时,为了自己的方便,我当然希望他们手头有我所有的信息。但从安全的角度来看,全面掌握我的个人信息,实在是让别人太有机可乘。作为一名客户,虽然我期待服务的便利,但现实是,如今每一个信息开放的领域都可能存在漏洞。”



对旅游和酒店行业的相关公司来说,在客户方便和安全之间取得平衡的努力仍在继续。以下是这些企业可以遵循的六个建议,以帮助保护隐私和保障网络安全。

一、更仔细地对第三方进行审查

Webroot 公司的 David Dufour 建议,旅游和酒店行业相关的公司需要认真地询问他们的第三方供应商打算如何保护他们的敏感数据。


如果这些第三方公司根本都拿不出一个计划来证明他们如何做这件事情,那就需要其他方式来证明他们确实能提出这样的计划。


McAfee 公司的首席技术策略师 Sumit Sehgal 补充说,


不仅需要关注第三方公司,公司还需要审视整个组织协作过程产生的数据流。然后,结合由认证机构提供的对第三方供应商的风险分析,公司主体可以得到自身关于网络安全的更准确的全貌。

二、航空公司和酒店要对自己的数据负责

安全研究员 Bob Diachenko 表示,企业需要对自己的数据负责。Bob Diachenko 负责 Security Discovery 网站的网络威胁情报工作,正是他发现了最近针对 Choice Hotels 连锁酒店的黑客攻击。


他表示:“即使一家公司使用第三方供应商,同样需要对自己的数据负起责任。” 他还补充说,公司应该使用分析工具来验证他们的网络上具体发生了什么,这样他们才能做出重要的相关决定。


Webroot 公司的 David Dufour 还补充说,公司还需要清晰地知道自己正在与第三方、用户或社交媒体共享哪些数据。他们需要明确地知道他们数据共享会持续多久,数据将要存储的位置,以及储存多久。


除此之外,公司应该只对外共享那些必须共享的数据。例如,如果共享用户的邮政编码就可以完成一个功能,那么就完全没有必要再共享用户的姓名数据。

三、更好地管理数据库

Security Discovery 的 Bob Diachenko 说,航空公司和酒店的安全专家需要深入理解他们的数据库是如何工作的。这包括:总是使用最新版本的数据库软件,启用所有安全选项,并确保没有发生任何错误的配置。



Webroot 公司的 David Dufour 指出,应该规定只有经过授权的管理人员才能访问公司的数据库。


此外,个人电脑和手机上的所有软件都必须及时打补丁,以减少被攻击的风险。他解释道:“利用软件漏洞只是入侵软件的一种方式,黑客可以利用单一漏洞进行恶意的大肆破坏。”


David Dufour 还补充说,尽管及时打软件补丁是网络安全方面最基本的预防和处理措施,但却常常被很多企业所忽视。

四、利用公开的威胁情报网站

Choice Hotels 连锁酒店的入侵事件,是 Security Discovery 的 Bob Diachenko 在用搜索引擎 BinaryEdge 进行扫描时发现的,他喜欢把这个搜索引擎称为“新谷歌”。


BinaryEdge 扫描互联网,收集可以转化为威胁情报或安全报告的数据。还有一些其他网站,比如 Shodan,它为互联网上的物联网(IoT)设备提供所有 IP 地址的索引;另外还有 Censys,为了科研社区能更准确地研究互联网而对互联网进行扫描;以及 IVRE,一个用于网络侦察的开源框架。


这些站点是有其价值的,Webroot 公司的 David Dufour 对这点表示赞同,并指出这些工具可以识别公司是否正在与恶意 IP 地址进行通信。

五、无线网络隔离

Webroot 公司的 David Dufour 还建议航空公司和酒店在公共 Wi-Fi 和企业内部网络之间设置一个隔离屏障。因为公共 Wi-Fi 太脆弱了,所以让公司员工通过单独隔离的互联网连接上网是非常有必要的。


而且,航空公司和酒店也应当向消费者用户传达一些基本的安全建议。例如,他们可以劝阻消费者在公共 Wi-Fi 上进行任何金融交易,这样的公共 Wi-Fi 更适合只用于查询电影时刻表或餐馆位置。如果消费者在这样的环境下需要进行任何带商业目的的操作,此时应该建议消费者在智能手机上使用移动热点而不是公共 Wi-Fi。

六、制定有效的培训计划

来自 McAfee 公司的 Sumit Sehgal 说,现在几乎每家公司都有一个由遵从性所驱动的培训计划。有效的培训计划会充分利用全员遵从这个基础,在此之上打造基于真实环境中与用户操作相关的针对实际情况的培训。


Webroot 公司的 David Dufour 补充说,航空公司和酒店雇员的高流动率也意味着,这些公司真的需要花费大量时间来培训员工如何处理敏感信息。他认为这是第一要务。


David Dufour 还说,对公司而言,制定清晰的流程并确保员工在工作中遵循流程也很重要。他举了一个他自己的例子,他最近弄丢了酒店的收据,就让他的助理联系酒店,请求酒店给他发送一份收据副本。但酒店拒绝了这个要求,并称他们必须与 David Dufour 本人直接对话。他说,很明显,这家酒店制定了一项政策,除非他们确保自己正在与真正付款的人对话,否则不得与他人分享信用卡或其他个人信息。


David Dufour 对此的感慨是:“虽然这些政策不是那么方便,但从消费者的角度来看,酒店拥有这些政策、流程和章程对我而言是有益的。”


作者介绍:


Steve Zurier,在马里兰州哥伦比亚市工作,有超过 30 年的新闻和出版经验,过去 24 年中的大部分时间从事网络和安全相关技术。


英文原文:


6 Ways Airlines and Hotels Can Keep Their Networks Secure


2019-09-25 09:501366
用户头像

发布了 63 篇内容, 共 41.1 次阅读, 收获喜欢 119 次。

关注

评论

发布
暂无评论
发现更多内容

记一次由Arthas引起的Metaspace OOM问题

闲鱼技术

Java 阿里巴巴

LeetCode题解:42. 接雨水,双指针,JavaScript,详细注释

Lee Chen

算法 大前端 LeetCode

Android开发全套学习!不同层级的Android开发者的不同行为,学习路线+知识点梳理

欢喜学安卓

android 程序员 面试 移动开发

毕业三年,如何达到月薪30K?我想跟你聊聊!!

冰河

程序员 程序人生 架构师 升职加薪 提升自我

爱奇艺用户分析平台实践:TB级数据查询秒级返回

dbaplus社群

大数据

花火交易所软件开发|花火交易所系统APP开发

系统开发

反垄断之下 区块链迎来新生?

CECBC

区块链

开一个世界末日的脑洞

熊斌

我的世界 生活记录 七日更

Github标星5.3K,网易云的朋友给我这份339页的Android面经,附赠课程+题库

欢喜学安卓

android 程序员 面试 移动开发

Lambda【1】-- List相关Lambda表达式使用(上篇)

秦怀杂货店

Java Lambda

设计模式【1】-- 单例模式到底几种写法?

秦怀杂货店

设计模式

JustSwap交易所系统APP开发|JustSwap交易所软件开发

系统开发

字节跳动开源云原生机器学习平台 Klever

字节跳动技术团队

学习 字节跳动

星环科技助力商业银行机器学习平台建设

星环科技

FinTech

Angel推荐算法在游戏推荐中的应用

DataFunTalk

学习

explicit_defaults_for_timestamp 参数详解

Simon

MySQL 七日更

架构师入门感悟之十

笑春风

安卓开发快速学习!一个小例子彻底搞懂Android的MVP模式到底是什么?面试必问

欢喜学安卓

android 程序员 面试 移动开发

架构师训练营第五周课后作业

万有引力

Mybatis【7】-- Mybatis如何知道增删改是否成功执行?

秦怀杂货店

Java mybatis

Mybatis【8】-- Mybatis返回List或者Map以及模糊查询怎么搞?

秦怀杂货店

Java mybatis

shark defi鲨鱼智能合约系统软件APP开发

系统开发

架构师训练营第 10 周学习总结

菜青虫

极客大学架构师训练营

Mybatis【9】-- Mybatis占位符#{}和拼接符${}有什么区别?

秦怀杂货店

mybatis 预编译

设计模式【1.1】-- 你想如何破坏单例模式?

秦怀杂货店

设计模式 单例 23种设计模式

Mybatis【10】-- Mybatis属性名和查询字段名不同怎么做?

秦怀杂货店

mybatis

《爱奇艺安全应急响应中心漏洞评分标准2021》来了

爱奇艺技术产品团队

安全 安全漏洞

WLAN网络规划和优化的必备知识点

一直在云上的星空联盟,“真”上云了

亚马逊云科技 (Amazon Web Services)

云计算 AWS

领域驱动设计DDD

积极&丧

附PPT丨如何构建数据库容器化PaaS

dbaplus社群

数据库 容器

航空公司和酒店如何保障网络安全?这有6种方法_安全_Steve Zurier_InfoQ精选文章