随着越来越多的系统迁移到数字化环境以及云端，技术进一步赋能行业发展的同时，随之而来的攻击威胁也越来越大，尤其是在拥有海量用户私密信息的酒店住宿行业，严格的数据安全管控更是至关重要。

那么，如何快速了解攻击者及其使用的攻击方式和手段，应对每天都在变化和增长的潜在安全威胁和隐患？如何采取有效措施保护数据信息，规避风险，降低损失？

在石基举办的第五期知识同盟公开课中，石基信息网络安全总监Aleksander Ludynia与石基信息网络安全运营经理Tomasz Wilczyński从黑客攻击动机、攻击方式以及酒店如何应对有效应对等几个方面发表了深度见解。

Aleksander Ludynia拥有14年网络安全行业经验，作为前安全顾问，渗透测试专家和道德黑客，专注于深度技术项目，如渗透测试和网络安全配置审查及高级安全项目，包括风险评估和全面安全管理功能，持有CISSP，CISM，CISA及CIA等多种证书。

而Tomasz Wilczyński在IT则在风险与安全领域有着丰富的行业经验，曾任职于专业服务公司，专注于IT项目的咨询和审计，特别是网络安全战略和改造、红队演练，基础设施和应用安全测试，现致力于提升数据安全运营，高效检测及响应，持有CISA、CEH、GPEN、ISO27032等高级网络安全经理证书。

我们将两位安全数据领域资深专家在公开课中分享的精华内容进行了整理，希望对关心酒店数据安全的同仁们有所帮助！

Chapter 1 为什么酒店业易成为被攻击的对象？

据Trustwave发布的《2019全球安全性报告》指出，零售业、金融业和酒店业是最常成为网络罪犯的目标之一。

而这其中，由于对大量敏感数据的收集、频繁的金融交易处理和国际业务往来以及面向顾客的忠诚度计划产生的漏洞等原因，酒店业极易引起黑客的兴趣与关注，进而导致信用卡数据、用户账户信息、公司知识产权、用户个人信息等核心数据资产被窃取。

攻击界面

洞悉黑客的犯罪动机后，我们需要明确的是，黑客是通过哪些界面攻击酒店呢？

相关阅读：

酒店评估云解决方案必问的五个系统安全问题！

⊕ 大量不同的终端

每个酒店都有很多使用不同设备的系统，如笔记本电脑、移动设备、智能摄像头、网络设备，智能锁系统等，罪犯可以利用这些设备作为进入系统的入口。

⊕ 中央系统

酒店网络是分散且分布式的，并通常部署在酒店的本地系统当中，因此需要访问中央系统。当黑客试图侵入一家酒店的本地服务器时，便可访问中央系统并升级攻击力度。

⊕ 有限的用户安全意识

由于酒店人员流动率巨大，没有时间和精力进行网络安全工作培训，导致大部分员工没有足够的网络安全知识与技能，以及信息保护等相关的安全意识水平，从而无法应对危机。

⊕ 多重系统

酒店需要不同的系统来管理预订、运营等不同业务。在很多情况下，系统是由第三方合作伙伴所管理的，这就需要所有的系统必须相互连接以交换信息，这样容易使得黑客通过侵入酒店的某个系统，进而侵入其他系统。

⊕ 第三方合作伙伴泄露

黑客通常不会直接针对酒店，而是试图黑掉第三方系统，然后由此侵入酒店系统。

⊕ 酒店品牌冒用

酒店品牌通常极具价值且值得信赖，所以网络罪犯不仅会入侵酒店，还会试图冒用酒店品牌，进行所谓的钓鱼攻击，比如通过发送带有酒店品牌的电子邮件，要求用户登录酒店网站。

攻击方式

接下来，让我们来谈谈常见的攻击方式，从技术上来看，酒店是如何被攻击的？

⊕ 攻击POS系统

⊕ 网络钓鱼攻击

罪犯会攻击某个特定的受害者，要求其提供身份证明，或者要求登录由网络罪犯准备的网站，当受害者试图登录网站，就会与攻击者共享登录名和密码。

⊕ 攻击Wi-Fi网络

罪犯通过未经许可安装的接入点或WiFi网络，设置形同或非常相似的酒店官方Wi-Fi网络名称，建立连接后，便可在网络中交换文件，窃取信息并攻击客户。

⊕ 勒索软件

勒索软件通过攻击普通用户来锁定加密笔记本电脑，并要求用户交换信息以解密。

⊕ DDOS（分布式拒绝服务）攻击

DDOS攻击可导致内部系统被锁定，从而暂停酒店的运营流程，使酒店无法进行预订业务。

⊕ 物联网攻击

酒店业作为最早采用物联网技术的行业之一，非常容易受到物联网的攻击。

⊕ 冒用品牌攻击

网络罪犯们在网上冒用酒店品牌，制作假的官网及会员网站，利用这些网站，试图窃取酒店客人的信息。

Chapter 2  2020年，网络安全何去何从？

技术已经成为当下生活和商业中不可分割的一部分。值得注意的是，新兴技术的流行带来的不仅是大量的机会，还有与之密切相关的风险和陷阱，因此提高网络安全和建立值得信任的技术是我们在不久的将来面临的最大挑战之一。

那么在2020年，酒店网络安全又将朝着怎样的方向发展呢？我们认为主要有以下这些趋势：

▲ 网络安全将变得越来越重要，特别是人工智能将对网络安全领域产生重大影响

据Capgemini发布的数据显示，63%的组织正计划在2020年部署基于人工智能的解决方案，其中大部分用于提高网络安全。

▲ 网络犯罪将比以往任何时候更加猖獗

网络犯罪是一个巨大的产业，并将继续增长，为犯罪提供更先进且复杂的手段。

▲ 有针对性的勒索软件及数字化勒索攻击将会增加

▲ 更多的系统连接到互联网，导致对物联网设备的攻击会越来越多。

▲ 网络安全技术差距将会越来越大

根据ICS网络安全劳动力研究指出，2019年全球所有职位中有290万个网络安全职位空缺，市场上没有足够的求职者具备公司所需要的特定网络安全技能，负责网络安全的专业人员面临着更大的压力。

▲ 云端迁移将进一步加速

Chapter 3  酒店该采取哪些措施来加强数据安全？

云技术为酒店带来的好处是显而易见的，它不仅可为酒店快速构建高可用性、高弹性、安全稳定并可以支撑业务连续性的基础性平台，还在成本方面带来了更大的便利性和灵活性 (由资本性支出转变为运营性支出)。

然而来自Gartner的一份报告中提及，在2020年，95%的云安全故障都是由客户自己造成的。那么，酒店企业可以采取哪些措施来增强数据安全性，并且将攻击风险降到最低呢？这涉及以下几个方面：

1.加强和更新基础设施

酒店需要对系统定期进行更新和调整，以及安全补丁的按时更新，同时，需要根据最佳实践经验来进行管理。

2.关注管理权限变更的安全性

为了降低风险，在实际执行更改命令之前，酒店需要在不进行更改的情况下对其进行测试，以免影响所处环境。

3.加强员工数据安全知识与技能培训

加大对人员和安全培训方面的投资，确保员工知悉黑客攻击带来的后果并熟练掌握应对措施，以及明确需要保护哪些数字资产。

4.维护软硬件及数据相关信息

公司应当保存并关注具有价值资产的完整记录，即—关键数据、个人信息、知识产权、安全凭证、员工和客人的登陆账户及密码等，这些资产与信息必须小心保护，并在系统中设立专门的风险管理。

5.关注所有项目的安全性

酒店应当将项目安全视为业务项目和技术考虑中不可或缺的一部分，树立安全第一的概念。

6.加强网络中心安全监管

酒店需要监管每个安全细节，无论是员工培训、新员工登陆还是管理风险，因为总有各种方式入侵系统，所以需要监控系统中发生了什么，并且快速监测到系统中的漏洞，从而加强防范。

总的来说，建立安全的云环境是一个持续性的投入。就石基本身来说，石基致力于开发符合世界安全标准的云环境，成果也得到了很多国际大客户的认可与接受。石基云符合包含ISO，CSL / GDPR和SOC3在内的严苛安全认证，也是第一家在阿里云中国获得PCI-DSS认证的公司，认证涵盖了存储，传输和处理持卡人数据的所有石基产品。