從12306網站用戶數據泄露看大數據時代的數據風險

熊璐

摘 要：從12306網站用戶數據泄露事件入手，分析了用戶數據泄露對電子商務企業的危害，并探討了如何防止數據泄露，以期對電子商務企業的發展有所啟示。

關鍵詞：用戶數據；電子商務企業；互聯網；企業形象

中圖分類號：TP311.13 文獻標識碼：A DOI：10.15913/j.cnki.kjycx.2016.02.029

人們對海量數據的挖掘和運用，預示著新一波生產率提高和消費者盈余浪潮的到來。大數據具有真實度高等特征，因此，如何保護、正確運用大數據成為我們需要思考的問題。近年來，一些大型公共性質網站的數據泄露令人觸目驚心，引發了用戶對一些網站的信任危機，對網站的運營造成了極大的影響。

1 事件回顧

2014-12-25，中新網報道稱，第三方漏洞報告平臺烏云曝出，12306網站上大量用戶數據在互聯網遭瘋傳。有消息稱，此次遭泄露的賬戶數量在14萬左右。消息一出，立即觸動了媒體和廣大網絡用戶的神經。媒體針對用戶資料泄露的情況進行了深入報道，進一步擴大了事件的影響力。在輿論壓力下，鐵路客戶服務中心稱其數據由非明文轉碼而來，泄露并非由官網流出，而是經由其他網站或渠道。最終，鐵路公安機關抓獲了嫌疑人，并證實黑客采用撞庫攻擊的方式獲取了用戶數據。然而，此事件對12306網站的影響卻遠未平息。此前，12306網站已多次被曝存在漏洞——2014-01，12306訂票網站可利用假護照、假身份證訂票，且可挑選上、下鋪；2015-07-15，烏云曝出12306網站的購票軟件存在漏洞，一人可購買整個車廂的票。

2 用戶數據泄露對電商企業的危害

與一般的制造業和服務業不同，電子商務企業依托互聯網從事商業貿易，其數據來源十分廣泛，收集、整理、分析和運用數據是電子商務企業的特點。隨著時間的推移，電子商務企業占有的數據在以海量的速度增長。正確運用數據，可助企業的發展一臂之力。然而，在運用過程中，用戶數據泄露會對企業的品牌形象造成沖擊，給企業的發展造成阻礙。具體而言，用戶數據泄露將會對企業造成以下影響。

2.1 直接影響企業的正常運營

數據，尤其是用戶資料，是一個企業的核心競爭資源。占有的用戶資料數據越多、越翔實，企業的營銷和推廣就越有針對性。然而，對于企業而言，自身用戶資料的泄露會為競爭對手帶來可乘之機。數據保護企業SafeNet 2014年三季度外泄水平指數報告顯示，在線服務企業是受數據泄露影響最嚴重的三個行業之一。2014年第三季度，在線服務企業的36項、415項、080項數據被盜，占總量的20%，發生數據外泄事件38起，占總量的11%.由于12306是指定的火車票購票網站，具有壟斷特性，因此，用戶數據泄露并不會對其正常營運造成很大的沖擊。但對于競爭非常激烈的電子商務企業而言，這種沖擊是致命的。

2.2 給企業造成輿論壓力

用戶數據的安全直接關系著用戶交易行為的安全，也影響著客戶對電子商務企業的信任度。因此，保護用戶數據就是在保護企業未來發展的根基。12306網站用戶數據泄露后，國內的主要媒體均對其進行了跟進報道。面對撲面而來的輿論壓力，12306網站疲于應對。盡管12306網站采取了有獎征集網站漏洞等措施，但未完全打消用戶對該網站數據安全的疑慮，部分網絡用戶以留言等形式在網絡上表達著其對12306網站泄露用戶數據的不滿。對于一般的電子商務企業而言，長期的輿論壓力是難以招架的，一旦危機公關的工作不到位，則可能引發網絡用戶對電子商務企業的信任危機，直接影響企業的發展。

2.3 影響企業的品牌形象

企業的品牌形象是無形資產，對企業未來的發展起著重要的作用。用戶的使用體驗、口碑、忠誠度等都是企業品牌形象的重要組成部分。在競爭日趨激烈的電子商務行業，企業的品牌形象是其發展壯大的重要保證，也是實現企業差異化競爭的重要基礎。然而，用戶數據的泄露會直接影響用戶對企業的安全體驗。

3 電子商務企業防止數據泄露的措施

3.1 增強數據泄露風險意識

在大數據時代，作為核心資源的數據關乎著企業競爭力的提升。因此，直接為網絡用戶提供服務的網站無疑是網絡安全的“第一責任人”，有責任開展有效的內部治理，增強自身的安全意識，并加大投入、改進技術手段。在網站被使用前，應做好安全性能測試，建立企業的數據安全隊伍，加強對員工的培訓，以應對可能出現的數據安全威脅；多次加密數據，防止數據泄露后對企業和用戶造成二次危害。

3.2 使用企業訪問權限管理

對于企業而言，“安全堡壘最易從內部被攻破”，因此，應嚴格管理內部訪問系統，確保相應級別的使用者只能接觸到相應級別的信息；應采用企業訪問權限管理（ERM）解決方案，其允許公司執行自動化過程，當創建文件時，會自動應用訪問權限和用法控制。

3.3 運用互聯網思維防范

互聯網時代是開放、包容的時代。在確保數據安全方面，可充分發揮網絡用戶的智慧，使其參與進來。對于一些網站的漏洞，電子商務企業可采用懸賞的方式號召網絡用戶查找。12306網站在用戶數據泄露事件發生后，采取了懸賞2 000元的方式號召網絡用戶參與到網站漏洞修補的過程中來，這充分調動了網絡用戶的積極性，為網站進行了“體檢”。

參考文獻

[1]丁輝，高松，毛南.從數據泄漏事件看商業銀行信息安全保密[J].計算機安全，2012（03）.

[2]彭維平.基于可信平臺的數據泄漏防護關鍵技術研究[D].北京：北京郵電大學，2011.

〔編輯：張思楠〕