这两天网络上真是热闹,先是支付宝瘫痪,大家纷纷喊着不用剁手了。昨天携程网又瘫痪了,页面无法提供服务,那些说走就走的旅行也没有了,辞职信收起来了,挽救了就业率。还有飞流直下三千尺的A股,热心网友已经提供了国内十大高楼地标,以后炒股失败再也不用担心天台太挤了。
只可怜咱们用户这两天着实被吓得不轻,支付宝里的钱刚刚恢复,订好的机票就飞了。企业更是战战兢兢,据悉,携程瘫痪一小时损失106.48万美元。再来一次,恐怕携程的高层们要集体和股民们一起跳楼了。
不过,要说起携程官网瘫痪的原因,给普通的非技术出身的网民感觉就是扑朔迷离,企业官方给出的说法并没有说服所有人,各种小道消息和阴谋论甚嚣尘上。有人说是数据库物理删除了。也有网友爆料称是因为90后小伙的在携程上的开房记录被女友发现,女友和他闹分手,愤而将酒店数据库物理删除。更有神秘内部人士表示是公司内部人士所为,是一场有预谋的进攻。
不管怎样,这无疑暴露了很严重的一个问题,就是企业对网络安全信息不够重视,出了问题也没有很成熟很有效的应对方案。
非技术人员出身的用户缺乏网络安全基础知识,企业对用户的信息安全教育和沟通也没有到位——当然,在企业自己都没有对信息安全给予足够重视的情况下,不可能对用户有足够的教育和沟通。一旦出事,企业和用户之间的沟通会变得很困难,误解和阴谋论往往让企业疲于应对,这样严重增加了企业的成本,不利于企业及时止损。
那么,这次携程事件的原因到底可能会是什么呢?对于这个问题,百度的安全专家表示,网络上流传甚广的物理删除的说法可信度并不高,黑客攻击的可能性也不大,极有可能是有人从内部攻击,但是到底如何实现,究竟是内部人员所为,还是有外部的人拿到了权限进行攻击不能确定。
事实上,早在几天前,漏洞报告平台乌云就有用户报告漏洞,指携程服务器配置不当会引发问题,本来厂商应该非常重视漏洞问题,但携程方面的回应是这样的:厂商主动忽略漏洞,细节向公众公布。
据百度的安全专家回忆,携程网此前就在乌云上被爆出漏洞,2014年3月22日,乌云发布消息称,携程旅行网安全支付日志可遍历下载,导致大量用户银行卡信息泄露(包含持卡人姓名身份证、银行卡号、卡CVV码、6位卡Bin)。当时百度安全中心发布紧急发布风险提醒网友不要点击或接收以“携程信用卡泄露信息目录”为名的网站链接或文件,因为文件或推广链接中可能混杂了木马程序,用户应谨慎访问。上次的信用卡信息泄露事件教训很大,可是携程并没有对安全问题加以重视,在漏洞爆出后并没有及时处理,结果导致了更严重的问题。所以,携程网本次出现如此重大的问题,也应了那句冰冻三尺非一日之寒。
这些大型企业的网络信息安全事关千万乃至亿万用户,不容小觑。百度安全专家进一步介绍,企业的安全体验不好,不仅仅是经济损失的问题,严重的还会给自己带来灭顶之灾,多年辛苦创业成功毁于一旦。企业必须要把网络信息安全放在第一位,才能保证企业健康和可持续发展。企业信息安全是重要的用户体验的一部分,企业应该在做好自身安全设施建设的同时,保持和用户及时的沟通,不回避用户的问题,让用户对企业的信息安全有信任感和可依赖感,让用户感觉到企业对自身的权益的重视,才能获得用户的认可。一旦出现问题,用户不会抛弃选择抛弃企业而是会和企业共同承担,渡过难关。
事实上,百度一直致力于保护企业的网络信息安全,为企业创造安全可靠的网络环境。百度构建了强大的安全生态系统,覆盖移动端,PC端和云端。在企业普遍开始转向云端的当下,作为国内首家完全基于云的安全服务提供商的安全宝对企业的意义不言而喻。安全宝在云端业务风险控制,安全管理方面具有独特的优势,替身式云安全服务,能够有效保障源站服务器的安全。百度安全宝通过强大的大数据分析系统、0day响应系统、渗透测试、WAF自动拦截、专业流量清洗等各种防御系统综合利用,可以支持企业轻松应对安全威胁。
携程事件给所有企业都上了一课。企业的网络信息安全建设任重道远。百度云安全将会为企业提供实用的解决方案,守护企业走的更远。