酒店不得不提防的六大数据黑洞

　　来源：迈点网 编译：Lorna

　　根据Trustwave的三份全球安全报告得出，酒店行业是最具安全漏洞的三大行业之一。而且，Privacyrights.org也有相关报道，即2014年酒店行业内违法信息披露增加了50%。

　　Trustwave与全球一些酒店企业携手共同研究了酒店行业的许多安全黑洞。有些时候，酒店会采取一些标准的安全管理措施，但是也只是停留在表面，并没有深入。而有些时候，是因为员工们过多地接触到那些他们没有权限的数据信息。以下是Trustwave为酒店行业评定的六大最严重的安全隐患。

　　对恶意软件的防范不足：在酒店行业经常会出现一些恶意软件通过网站或电子邮件侵入网络的证据，而实际上酒店是有一些基本的抗病毒软件的。这主要就是因为当下黑客专门设计了一些能够躲避病毒检测的高级恶意软件。

　　员工过多接触无权限数据：员工们在不断探究他们究竟能够接触到多少数据。酒店行业内90%以上的安全问题都涉及到了员工没有权限的数据访问记录。这很可能会导致有价值的数据遗失，以及相关网站数据无故被黑。许多企业没有有效控制共享账号和密码存储系统的使用，也没有限制管理员的权限。他们也缺乏全面的审计能力，也就是说，他们不能追踪到究竟是谁在什么时候对他们的网络做了手脚，是谁在什么时候动用了什么数据。

　　缺少BYOD安全程序：许多酒店企业没有一个确切的程序来辨别无线流氓设备。这就意味着，物理访问攻击者可以轻而易举地进入酒店数据系统。酒店企业也很少用他们的BYOD程序测试无线安全性问题，确保任何安全漏洞。尤其是在酒店，提供给客人的无线网络根本没有什么安全性可言，因此潜在黑客就可以通过截获浏览信息进行攻击(例如MITM攻击)。

　　安全管理程序落后：许多酒店企业都有一点安全管理程序，例如防火墙。然而，他们并没有及时更新，没有安装补丁、修复漏洞。一般来说，实现安全漏洞修复至少需要七天——这个时间太长了。一些酒店总是在更新落后设备方面太过滞后，所以他们的安全管理程序也就徒有摆设，毫无实际用处。

　　应用程序和数据库不安全：从积极的一面看，许多酒店在关键公开的应用程序上采取了渗透式的测验扫描。因为这些测验能够帮助企业辨别并修复应用程序内的安全漏洞，以免被黑。然而，数据库的安全问题则往往被搁置一边，这就等于把自家后门开着欢迎攻击者随时光临。许多酒店业推出了一些新的内部面向客户的应用程序，但这些都缺乏一定的安全性，因为这些往往都被视为马后炮。

　　“客人至上”取代了安全问题：酒店行业内，消费者至上。但是，为了真正满足消费者的需求，员工往往会忽略一些安全问题，因此给社交工程攻击钻了个空。例如，一个酒店客人(真实身份可能是名黑客)走近一名前台员工，让他帮忙打印一份拷在U盘里的文件。而这位前台为了满足客户的需求，没有考虑是否这个U盘带有恶意软件，便直接将U盘插入酒店前台电脑。

　　其实，只要酒店能将安全意识作为所有员工的中心思想，这些安全漏洞都是可以解决的。酒店应该好好部署安全管理，检测并阻止恶意软件的攻击，好好规划网络存取管理，限制敏感数据的权限名额，防止有价值的数据遗失。

　　酒店还应确保自己有足够的人力和专业知识，监控、更新并管理他们的安全机制。这样他们才能预先阻止信息的违法披露，实时防范任何不法侵入。酒店越快地检测出违法侵入，就能尽快将损失最小化。

　　English：http://e.meadin.com/e/120661_1.shtml