近兩年來，傳統旅行社受到OTA衝擊，紛紛觸網電商化。電商化過程中，網絡信息安全是極其重要的一項內容。如果沒有網絡信息安全，旅行社在投入了資金、辛苦地轉型，借網絡獲取了大量新用戶和訂單後，因信息安全事故導致的損失會讓之前的努力付諸東流，甚至給企業帶來不可估量的損失。

　　2014年春、秋各有一起旅游電商用戶信息被泄露(秋季事件中還有用戶遭遇了電信詐騙)的新聞轟動一時。這兩起事件的社會影響較大，事件所涉企業蒙受了較大的品牌(信譽)損失，都為此付出了經濟賠償。

　　就在上述兩起事件的影響消弭之際，12月底12306網站多達13萬的用戶數據信息泄露事件引發更多人的關注。12306網站隨後發表聲明稱：『12306官方網站數據庫所有用戶密碼均為多次加密的非明文轉換碼，網上泄露的用戶信息系經其他網站或渠道流出。……12306官方網站鄭重提醒廣大旅客，……請您通過12306官方網站購票，不要使用第三方搶票軟件購票，或委托第三方網站購票，以防止您的個人身份信息外泄。』12306網站的聲明把代售火車票的OTA們拉入了信息安全的話題中。

　　這幾起事件足以警示旅游電商對網絡安全進行思考，對普遍存在的信息安全隱患加強重視。通過對這幾起事件的分析，發現常見的安全隱患有：

　　1)不遵守相關規定；

　　根據《銀聯卡收單機構賬戶信息安全管理標准》和PCI-DSS(第三方支付行業數據安全標准)，不得保存用戶的支付信息(如持卡人姓名、身份證、銀行卡類別、銀行卡號、CVV碼等)。如果保存又不加密，則黑客通過系統漏洞進入，可輕而易舉(不必費時費力解密)獲取這些信息，會給用戶造成巨大損失。此舉嚴重威脅到了企業和用戶的財產安全。

　　2)系統漏洞修補不及時；

　　3)不加密直接保存敏感數據(用戶信息)等；

　　前事不忘後事之師，旅游企業在為2015年的發展而謀劃時，需不斷加強網絡安全建設，做好信息安全防范，保證自身業務的平穩發展。具體說來，有如下幾點可供參考。

　　首先應明確：在網絡安全問題上，最根本和最重要的是管理和制度。

　　因技術導致的事故概率並不高，嚴格的管理、完善的制度可以防范技術問題帶來的隱患。從技術角度看，當下通行的硬件防火牆和軟件(數據庫)加密技術可以維護好信息安全，只要做好這兩點，高水平黑客攻擊後破解並讀取到信息的概率極小。通過前述三起事件，我們可以了解到：建立健全制度、嚴格進行管理，網絡安全風范可以被成功防范。而疏於管理、不健全的制度最易導致信息泄露。

　　其次要做到：

　　1.將網絡安全信息管理提昇到一把手工程，CEO親自抓、親自過問。

　　常見旅游企業老總以網絡安全是純粹技術問題為由，歸責於技術負責人(如CTO)。管理層多出身於非技術專業，完全不懂網絡技術和數據加密等專業技術，但不能以此作為不承擔起管理責任的理由。具體技術問題確實是該由技術人員實施，但CEO作為企業的最終負責人，對企業的方方面面負全責，在信息安全方面，應當配合CTO的工作，再結合公司業務特點建立健全信息安全制度，並以身作則遵守制度。

　　2.訂立並執行密碼制度：

　　1)根據權限和業務設置不同賬戶，嚴謹共用賬戶和密碼；

　　2)密碼的長度和復雜度需符合相關技術規定；

　　3)定期修改密碼，密碼修改情況或可與KPI掛鉤；通過算法(algorithm)監管。

　　3.遵守有關法規和行業規定

　　嚴守相關規定，如根據PCI-DSS(第三方支付行業數據安全標准)和《銀聯卡收單機構賬戶信息安全管理標准》，保存的信息可為多次加密的非明文轉換碼，但不可在保存信息中含有明文密碼。

　　4.選擇可靠的系統(數據庫)開發商和交易伙伴，防止信息由此泄露。

　　5.與各方簽訂保密協議，分清責任，約定泄密後的責任和義務。

　　6.查漏補缺制度化常態化

　　7.其他(全員普及網絡安全常識，了解工作中容易泄密的問題點，結合業務運營特點，時時梳理變革業務操作規范，警惕安全制度的漏洞等)。

　　上述策略為筆者一家之言，僅供參考，具體情況還需企業需視各自業務特點而定。(各國的電子商務及通信保密法規要求各不相同，入境游電商更要仔細研究相關法規。)

　　願2014年的事故讓國內旅游企業的CEO們真正繃緊網絡安全這根神經，建立健全相應制度，規范技術及非技術層面的操作，將漏洞壓縮在最小范圍，保證用戶和企業自身的安全，成長為堅實而強大的企業，為游客提供安全而優質的服務。希望2015成為中國旅游電商的網絡安全元年！

　　*本文的技術顧問為IT老兵張衛東先生，在此表示感謝！