在过去的岁月里,我曾读到过许多有关安全漏洞上的消息,有许多是发生在全球各地的酒店和度假胜地里的名流和商业旅行者身上的。我已看到一些研究和评估正试图估算这种酒店行业的安全形势。许多报告趋向于把这个行业看成是信息安全方面做得最差的行业。但是,该到了让我们每个人都行动起来对这个行业进行关注的时候了。
为了更好地理解酒店行业的安全问题,我们需要认真考虑两个不同的部分:把处理付款,存储客人的个人信息以及组织日常服务作为每天的生意的一部分,另一部分是通过英特网的连通性提供给客人的舒心服务。
典型的酒店网络是由许多不同的私有的系统所组成的,以此来为每位客人提供服务和追踪消费状况。这些系统还提供贯穿酒店或度假胜地的不同部门或领域的连续性的服务。目的是为客人在不同区域里的需求提供一种简单,自然的身份认证和响应流程服务。对客人的身份认证和个人偏爱的响应速度越快,酒店所提供的服务就越人性化;我们都能够对那些认识我们的酒店印象深刻。对这些系统,酒店或度假胜地都有职责进行保护。
国际化的服务酒店为他们的客人提供最贴心的服务,就好象为他们提供了一个室内的温水游泳池:对客人是可用的,但应该遵守某些规则来安全地去享受。但是如果某人自愿通过没有设置安全套接层协议层(SSL)的酒店网络服务来登录他的公司网络邮箱,那么酒店和度假胜地是没有义务承担这一责任风险的。作为客人,我们有义务在使用过程中保护好我们自己的资产和数据。酒店并没有技术人员、救生员或是警察,它仅仅是为我们提供贴心的服务,取决于我们来运用常识使用它们。
如果我们带着一个笔记本电脑入住酒店,我们应该保证它联网前的安全。如果我们在酒店里使用公司的业务电脑,我们需要保证使用之后要清理彻底。这能够包括不要忘记磁盘和闪存驱动以及清理掉留在浏览器上的私人数据。如果我们用无线连接,我们需要保证我们的敏感信息交流上使用了有效的加密技术。酒店提供的服务就如同我们家里的网络服务;通常情况下,这种服务提供的安全系数已被设置为最低级别并且通常需要你自己来添加安全控制来保护你的数据。这取决于我们自己每个人来更新补丁、清除病毒、设置防火墙、防止入侵、保护信息交流并且停止那些可能在我们设备上为外界提供文件访问和服务项的服务。
没有理由或原因来依赖服务提供商来保护我们。这样做会导致在将来发生很多的问题,并且反过来影响我们的工作或是家庭。
现在如果一个酒店经营网络使用和客人相同的网络会导致一些问题。那不仅违反了在信息安全中的普遍最佳实践并且还将违反PCI法规和潜在地影响在公众企业遵从Sarbanes-Oxley。在许多的酒店产业中,客人的英特网服务仅仅在客人的网上可用,并且是完全与酒店经营系统隔离开来的。不幸的是,如今无法确信这种隔离的存在。对这一行业来说这是个通过采用产业标签提供保证——放弃还是证明这两个系统的隔离存在的巨大时机。
简单来说,如果酒店的客人网络或者那个“游泳池”是没有保护服务的完全开放式的,但你又需要使用,那么你就要保证你用自己所有力量来保护你自己。请不要把常识遗忘在家里!