从12306网站用户数据泄露看大数据时代的数据风险

熊璐

摘 要：从12306网站用户数据泄露事件入手，分析了用户数据泄露对电子商务企业的危害，并探讨了如何防止数据泄露，以期对电子商务企业的发展有所启示。

关键词：用户数据；电子商务企业；互联网；企业形象

中图分类号：TP311.13 文献标识码：A DOI：10.15913/j.cnki.kjycx.2016.02.029

人们对海量数据的挖掘和运用，预示着新一波生产率提高和消费者盈余浪潮的到来。大数据具有真实度高等特征，因此，如何保护、正确运用大数据成为我们需要思考的问题。近年来，一些大型公共性质网站的数据泄露令人触目惊心，引发了用户对一些网站的信任危机，对网站的运营造成了极大的影响。

1 事件回顾

2014-12-25，中新网报道称，第三方漏洞报告平台乌云曝出，12306网站上大量用户数据在互联网遭疯传。有消息称，此次遭泄露的账户数量在14万左右。消息一出，立即触动了媒体和广大网络用户的神经。媒体针对用户资料泄露的情况进行了深入报道，进一步扩大了事件的影响力。在舆论压力下，铁路客户服务中心称其数据由非明文转码而来，泄露并非由官网流出，而是经由其他网站或渠道。最终，铁路公安机关抓获了嫌疑人，并证实黑客采用撞库攻击的方式获取了用户数据。然而，此事件对12306网站的影响却远未平息。此前，12306网站已多次被曝存在漏洞——2014-01，12306订票网站可利用假护照、假身份证订票，且可挑选上、下铺；2015-07-15，乌云曝出12306网站的购票软件存在漏洞，一人可购买整个车厢的票。

2 用户数据泄露对电商企业的危害

与一般的制造业和服务业不同，电子商务企业依托互联网从事商业贸易，其数据来源十分广泛，收集、整理、分析和运用数据是电子商务企业的特点。随着时间的推移，电子商务企业占有的数据在以海量的速度增长。正确运用数据，可助企业的发展一臂之力。然而，在运用过程中，用户数据泄露会对企业的品牌形象造成冲击，给企业的发展造成阻碍。具体而言，用户数据泄露将会对企业造成以下影响。

2.1 直接影响企业的正常运营

数据，尤其是用户资料，是一个企业的核心竞争资源。占有的用户资料数据越多、越翔实，企业的营销和推广就越有针对性。然而，对于企业而言，自身用户资料的泄露会为竞争对手带来可乘之机。数据保护企业SafeNet 2014年三季度外泄水平指数报告显示，在线服务企业是受数据泄露影响最严重的三个行业之一。2014年第三季度，在线服务企业的36项、415项、080项数据被盗，占总量的20%，发生数据外泄事件38起，占总量的11%.由于12306是指定的火车票购票网站，具有垄断特性，因此，用户数据泄露并不会对其正常营运造成很大的冲击。但对于竞争非常激烈的电子商务企业而言，这种冲击是致命的。

2.2 给企业造成舆论压力

用户数据的安全直接关系着用户交易行为的安全，也影响着客户对电子商务企业的信任度。因此，保护用户数据就是在保护企业未来发展的根基。12306网站用户数据泄露后，国内的主要媒体均对其进行了跟进报道。面对扑面而来的舆论压力，12306网站疲于应对。尽管12306网站采取了有奖征集网站漏洞等措施，但未完全打消用户对该网站数据安全的疑虑，部分网络用户以留言等形式在网络上表达着其对12306网站泄露用户数据的不满。对于一般的电子商务企业而言，长期的舆论压力是难以招架的，一旦危机公关的工作不到位，则可能引发网络用户对电子商务企业的信任危机，直接影响企业的发展。

2.3 影响企业的品牌形象

企业的品牌形象是无形资产，对企业未来的发展起着重要的作用。用户的使用体验、口碑、忠诚度等都是企业品牌形象的重要组成部分。在竞争日趋激烈的电子商务行业，企业的品牌形象是其发展壮大的重要保证，也是实现企业差异化竞争的重要基础。然而，用户数据的泄露会直接影响用户对企业的安全体验。

3 电子商务企业防止数据泄露的措施

3.1 增强数据泄露风险意识

在大数据时代，作为核心资源的数据关乎着企业竞争力的提升。因此，直接为网络用户提供服务的网站无疑是网络安全的“第一责任人”，有责任开展有效的内部治理，增强自身的安全意识，并加大投入、改进技术手段。在网站被使用前，应做好安全性能测试，建立企业的数据安全队伍，加强对员工的培训，以应对可能出现的数据安全威胁；多次加密数据，防止数据泄露后对企业和用户造成二次危害。

3.2 使用企业访问权限管理

对于企业而言，“安全堡垒最易从内部被攻破”，因此，应严格管理内部访问系统，确保相应级别的使用者只能接触到相应级别的信息；应采用企业访问权限管理（ERM）解决方案，其允许公司执行自动化过程，当创建文件时，会自动应用访问权限和用法控制。

3.3 运用互联网思维防范

互联网时代是开放、包容的时代。在确保数据安全方面，可充分发挥网络用户的智慧，使其参与进来。对于一些网站的漏洞，电子商务企业可采用悬赏的方式号召网络用户查找。12306网站在用户数据泄露事件发生后，采取了悬赏2 000元的方式号召网络用户参与到网站漏洞修补的过程中来，这充分调动了网络用户的积极性，为网站进行了“体检”。

参考文献

[1]丁辉，高松，毛南.从数据泄漏事件看商业银行信息安全保密[J].计算机安全，2012（03）.

[2]彭维平.基于可信平台的数据泄漏防护关键技术研究[D].北京：北京邮电大学，2011.

〔编辑：张思楠〕