近两年来，传统旅行社受到OTA冲击，纷纷触网电商化。电商化过程中，网络信息安全是极其重要的一项内容。如果没有网络信息安全，旅行社在投入了资金、辛苦地转型，借网络获取了大量新用户和订单后，因信息安全事故导致的损失会让之前的努力付诸东流，甚至给企业带来不可估量的损失。

　　2014年春、秋各有一起旅游电商用户信息被泄露(秋季事件中还有用户遭遇了电信诈骗)的新闻轰动一时。这两起事件的社会影响较大，事件所涉企业蒙受了较大的品牌(信誉)损失，都为此付出了经济赔偿。

　　就在上述两起事件的影响消弭之际，12月底12306网站多达13万的用户数据信息泄露事件引发更多人的关注。12306网站随后发表声明称：“12306官方网站数据库所有用户密码均为多次加密的非明文转换码，网上泄露的用户信息系经其他网站或渠道流出。……12306官方网站郑重提醒广大旅客，……请您通过12306官方网站购票，不要使用第三方抢票软件购票，或委托第三方网站购票，以防止您的个人身份信息外泄。”12306网站的声明把代售火车票的OTA们拉入了信息安全的话题中。

　　这几起事件足以警示旅游电商对网络安全进行思考，对普遍存在的信息安全隐患加强重视。通过对这几起事件的分析，发现常见的安全隐患有：

　　1)不遵守相关规定；

　　根据《银联卡收单机构账户信息安全管理标准》和PCI-DSS(第三方支付行业数据安全标准)，不得保存用户的支付信息(如持卡人姓名、身份证、银行卡类别、银行卡号、CVV码等)。如果保存又不加密，则黑客通过系统漏洞进入，可轻而易举(不必费时费力解密)获取这些信息，会给用户造成巨大损失。此举严重威胁到了企业和用户的财产安全。

　　2)系统漏洞修补不及时；

　　3)不加密直接保存敏感数据(用户信息)等；

　　前事不忘后事之师，旅游企业在为2015年的发展而谋划时，需不断加强网络安全建设，做好信息安全防范，保证自身业务的平稳发展。具体说来，有如下几点可供参考。

　　首先应明确：在网络安全问题上，最根本和最重要的是管理和制度。

　　因技术导致的事故概率并不高，严格的管理、完善的制度可以防范技术问题带来的隐患。从技术角度看，当下通行的硬件防火墙和软件(数据库)加密技术可以维护好信息安全，只要做好这两点，高水平黑客攻击后破解并读取到信息的概率极小。通过前述三起事件，我们可以了解到：建立健全制度、严格进行管理，网络安全风范可以被成功防范。而疏于管理、不健全的制度最易导致信息泄露。

　　其次要做到：

　　1.将网络安全信息管理提升到一把手工程，CEO亲自抓、亲自过问。

　　常见旅游企业老总以网络安全是纯粹技术问题为由，归责于技术负责人(如CTO)。管理层多出身于非技术专业，完全不懂网络技术和数据加密等专业技术，但不能以此作为不承担起管理责任的理由。具体技术问题确实是该由技术人员实施，但CEO作为企业的最终负责人，对企业的方方面面负全责，在信息安全方面，应当配合CTO的工作，再结合公司业务特点建立健全信息安全制度，并以身作则遵守制度。

　　2.订立并执行密码制度：

　　1)根据权限和业务设置不同账户，严谨共用账户和密码；

　　2)密码的长度和复杂度需符合相关技术规定；

　　3)定期修改密码，密码修改情况或可与KPI挂钩；通过算法(algorithm)监管。

　　3.遵守有关法规和行业规定

　　严守相关规定，如根据PCI-DSS(第三方支付行业数据安全标准)和《银联卡收单机构账户信息安全管理标准》，保存的信息可为多次加密的非明文转换码，但不可在保存信息中含有明文密码。

　　4.选择可靠的系统(数据库)开发商和交易伙伴，防止信息由此泄露。

　　5.与各方签订保密协议，分清责任，约定泄密后的责任和义务。

　　6.查漏补缺制度化常态化

　　7.其他(全员普及网络安全常识，了解工作中容易泄密的问题点，结合业务运营特点，时时梳理变革业务操作规范，警惕安全制度的漏洞等)。

　　上述策略为笔者一家之言，仅供参考，具体情况还需企业需视各自业务特点而定。(各国的电子商务及通信保密法规要求各不相同，入境游电商更要仔细研究相关法规。)

　　愿2014年的事故让国内旅游企业的CEO们真正绷紧网络安全这根神经，建立健全相应制度，规范技术及非技术层面的操作，将漏洞压缩在最小范围，保证用户和企业自身的安全，成长为坚实而强大的企业，为游客提供安全而优质的服务。希望2015成为中国旅游电商的网络安全元年！

　　*本文的技术顾问为IT老兵张卫东先生，在此表示感谢！