酒店数据与网络安全自查清单

酒店数据与网络安全自查清单 石 基 信 息 出 品 作 为 石 基 集 团 首 席 安 全 官 ，A l e k san der L u d yni a拥 有 超 过15年的 网 络 安 全 管 理 经 验 。 我 们 将 这 些 经 验 ， 浓 缩 为 一 张《酒 店 数 据与 网 络 安 全 自 检 清 单》， 酒 店 可 以 按 图 索 骥 ， 对 酒 店 当 前 的 数 据和 网 络 安 全 管 理 进 行 自 检 、 自 查 和 自 纠 ， 以 提 前 防 御 风 险 ， 确 保酒 店 数 据 和 系 统 的 安 全 。 目 标1: 设 置 网 络 与 隐 私 安 全专 员 职 位/职 责 是否完成？ 完 成/未 完 成: 即 便 数 据 安 全 管 理 并 不 是 传 统 意 义上 酒 店 运 营 的 核 心 ， 但 酒 店 仍 然 需要 配 备 专 职 人 员 或 指 派 相 应 的 人 员来 负 责 。 这 些 网 络 与 隐 私 安 全 专 员需 要 在 公 司 内 部 宣 传 安 全 理 念 ， 有效 引 导 员 工 ， 让 数 据 安 全 的 理 念 真正 深 入 人 心 ， 并 根 植 于 每 一 位 员 工的 日 常 工 作 之 中 。 目 标2: 风 险 评 估 结 果: 鉴 别 及 评 估 所 有 敏 感数 据 的 风 险 指 数 是否完成？ 完 成/未 完 成: 对 酒 店 的 所 有 敏 感 数 据 ， 以 及 相 关信 息 存 储 系 统 进 行 全 面 梳 理 和 审 计 ，并 进 行 风 险 评 估 。 酒 店 还 需 绘 制 数据 流 以 确 定 信 息 流 转 历 经 的 所 有 系统 和 数 据 存 留 节 点 。 密 钥 系 统: 目 标3: 保 护 数 据 和 重 要 的 信 息 系 统 是否完成？ 完 成/未 完 成: 鉴 别 了 所 有 数 据 与 系 统 可 能 遭 受 的网 络 风 险 之 后 ， 就 到 了 最 重 要 的 一步 ， 保 护 数 据 免 受 攻 击 ， 尤 其 是 其中 最 重 要 的 那 些 数 据 。 了 解 酒 店 有可 能 遭 遇 的 各 种 风 险 ， 才 能 确 保 酒店 选 择 一 套 最 为 适 配 的 安 全 解 决 方案 ， 并 能 以 理 想 的 安 全 配 置 来 加 强所 有 密 钥 系 统 。 目 标4: 是否完成？ 访 问 权 限 限 制 与 漏 洞 管 理 完 成/未 完 成: 每 位 员 工 只 可 以 出 于 一 些 特 定 的工 作 事 由 访 问 特 定 的 信 息，以 确保 员 工 只 能 看 到 职 责 内 必 需 的 信息。 通 常，网 络 犯 罪 并 不 针 对 特 定 的企 业，他 们 往 往 只 是 投 机 取 巧，利 用 程 序 来 寻 找 可 以 利 用 的 漏 洞，然 后 趁 虚 而 入。漏 洞 管 理 和 基 础的 网 络 安 全 策 略 是 防 止 酒 店 成 为网 络 低 成 本 犯 罪 目 标 的 关 键。 目 标5: 是否完成？ 网 络 监 督 管 理 完 成/未 完 成: 定 期 监 督 网 络 访 问 记 录 有 助 于 及早 识 别 网 络 漏 洞 或 数 据 泄 露，并能 及 时 应 对。因 此，请 定 期 追 踪员 工 的 流 量 使 用 情 况、使 用 的 应用 程 序 以 及 所 访 问 的 网 络。 目 标6: 部 署 网 络 安 全 防 护 系 统 是否完成？ 完 成/未 完 成: 许 多 公 司 认 为 只 要 简 单 地 部 署 一个 防 病 毒 解 决 方 案 就 意 味 着 网 络安 全 了 ， 但 恶 意 软 件 却 比 想 象 中更 加 危 险 。 选 择 最 佳 网 络 安 全 解决 方 案 ， 配 置 正 确 的 参 数 ， 确 保其 覆 盖 酒 店 的 各 个 使 用 场 景 ， 这是 必 要 且 真 正 奏 效 的 。 目 标7: 部 署 终 端 保 护 系 统 是否完成？ 终 端 设 备(如 移 动 设 备、浏 览 器和 办 公电 脑)通 常 是 大 型 网 络 攻击 的 首 要 目 标，网 络 犯 罪 很 少 先从 攻 击 大 型 设 备 开 始，比 如 直 接攻 击 服 务 器。他 们 宁 愿 攻 击 个 人，进 入 到 他 的 工 作 系 统，将 其 作 为一 个 接 入 点，深 入 到 公 司 内 部。因 此，监 督 各 个 终 端 设 备 的 网 络流 量 至 关 重 要，如 果 你 能 在 非 常早 期 的 阶 段 检 测 出 终 端 受 到 了 网络 攻 击，你 就 可 能 阻 止 大 部 分 的网 络 攻 击。 完 成/未 完 成: 目 标8: 系统安全性： 管 理 传 统 遗 留 系 统 和 第 三 方 系 统 是否完成？ 酒 店 的 系 统 很 可 能 与 第 三 方 供 应商 或 服 务 商 系 统 对 接 ， 因 此 有 必要 对 这 样 的 对 接 进 行 管 理 并 确 保数 据 与 网 络 安 全 。 在 过 去 几 年 里 ，一 些 大 规 模 的 网 络 攻 击 时 有 发 生 ，罪 魁 祸 首 是 网 络 犯 罪 者 入 侵 了 允许 访 问 企 业 数 据 的 供 应 商 系 统 。对 传 统 遗 留 系 统 而 言 ， 由 于 安 全补 丁 停 止 发 布 ， 它 们 往 往 更 脆 弱 ，更 容 易 受 到 新 型 的 网 络 攻 击 。 完 成/未 完 成: 目 标9: 培 训 步 骤: 是否完成？ 建 立 网 络 安 全 意 识 ， 为 最 坏 的情 况 做 足 准 备 完 成/未 完 成: 为 员 工 提 供 良 好 的 培 训 ， 让 他 们有 能 力 识 别 网 络 钓 鱼 软 件 和 其 他类 型 的 网 络 攻 击 ， 以 减 少 酒 店 被网 络 攻 击 的 可 能 性 。 同 时 ， 引 入或 定 期 改 进 突 发 事 件 管 理 流 程 同样 非 常 重 要 ： 一 旦 遭 受 由 网 络 攻击 引 发 的 突 发 情 况 或 灾 难 ， 酒 店需 要 有 适 当 的 处 理 流 程 ， 以 保 持稳 定 的 数 据 备 份 并 设 置 恰 当 的 恢复 流 程 。 目 标10 是否完成？ 酒 店 安 全 指 数 检 测 完 成/未 完 成: 最 后 一 点 也 很 重 要 ， 酒 店 需 要 经常 检 测 网 络 安 全 水 平 。 酒 店 需 要进 行 网 络 入 侵 安 全 测 试 并 确 保 其达 到 了 安 全 标 准 。 这 一 测 试 可 以通 过 审 计 人 员 、 执 行 技 术 测 试 人员 或 内 外 部 入 侵 安 全 测 试 人 员 来完 成 ， 以 确 定 系 统 真 实 的 安 全 系数 。 •网 络 犯 罪 团 伙窃 取 持 卡 人 信 息 与 个 人 数 据•来 自 竞 争 对 手 的 威 胁盗 取 定 价 信 息 酒店系统上云五步清单 石 基 信 息 出 品 云 计 算 技 术 已 进 入 成 熟 期 且 被 行 业 广 泛 接 受，《中 国 酒 店 业系 统 上 云 现 状 调 查 报 告》显 示，有5 1%的 酒 店 系 统 云 化 已 进入 中 期 和 完 成 阶 段。但 在 系 统 上 云 的 过 程 中，酒 店 经 营 者 与I T负 责 人 仍 然 面 临 数 据 安 全 风 险，以 及 按 时 交 付 等 相 关 问 题。为 了 回 应 这 些 问 题，石 基 集 团 首 席 架 构 师 兼 总 经 理M i c h a e lH e i n z e分 享 了 酒 店 系 统 上 云 所 需 的5个 步 骤 与 相 关 的 必 要 知识，以 帮 助 大 家 顺 利 落 地 系 统 上 云 项 目。 云PMS为满足当今宾客的需求应运而生。石基首席架构师兼总经理MichaelHeinze根据其在该领域的多年经验，为决心将本地系统向云端迁移的酒店经营者提供了一份清单。 目 标1: 酒 店 的 各 项 业 务： 是否完成？ 梳 理 并 填 写 酒 店 当 前 各 项业 务 运 营 情 况 完 成/未 完 成: 学习并全面了解酒店的业务和系统，对其进行重塑，并始终以宾客与员工需求作为核心。 商 业 目 标（ 宾 客 与 员 工 的 需 求） ： 目 标2: 是否完成？ 为系统云迁做足准备 完 成/未 完 成: 对未来五年的酒店业务目标进行优先排序与规划，同时，梳理IT系统该如何在其中发挥作用。全面思考酒店如何更好的满足宾客与员工的需求。 目 标3: 是否完成？ 选 择 适 合 的 系 统和 项 目 负 责 人 完 成/未 完 成: 对当前系统进行全面梳理，并将其绘制出来。决定1-2个主要系统首先进行云迁，并确保支持性系统为其助力，然后选择有能力实现这一目标的供应商。在整个过程中，需指定相关负责人。 目 标4: 是否完成？ 进 入 实 施 阶 段 完 成/未 完 成: 选择系统上云的最佳时机，比如淡季，同时依托于供应商提供的支持。有序稳定的进行云迁工作以增加员工和宾客对新系统的接受度。 目 标5: 可 选 择 的 平 台: 选 择 更 敏 捷 、 开 放 且 面 向 未来 的 酒 店 系 统 是否完成？ 完 成/未 完 成: 选择一个充分开放的云系统，让酒店自身能够对其他的外部应用和解决方案拥有充分的选择权，来满足现有供应商无法支持的需求，这点十分重要！