上周爆发的安全事件，经过了一周的时间，似乎已经不再是热点新闻；但是安全事件就像恐怖袭击，引爆了人们对于信息安全问题的担忧和顾虑。

首先，乌云发布报告称：携程安全支付服务器接口以及服务器安全配置漏洞，存在信息泄露风险，包括持卡人姓名身份证、银行卡号、卡CVV码、6位卡Bin等信息。

从纯技术的视角说，这个安全事件并不是很严重，携程发布声明说，漏洞修补工作已经在22号晚上完成，只是3月21号和22号这两天的用户有信息泄露的风险。

但是作为客户，我们仍要追问：为什么携程会保存CVV信息？

2008年发布的《银联卡收单机构账户信息安全管理标准》中，明确提出了关于信用卡个人信息储存的要求：“收单机构系统只能存储用于交易清分、差错处理所必须的最基本的账户信息，不能存储银行卡磁道信息、卡片验证码、个人标识代码（PIN）及卡片有效期”。

CVV绝对是客户的敏感信息，是不能在支付过程中被携程的系统中留存的；而乌云的报告中显示可能泄露的信息中有CVV，这就说明：携程在运营中存在违规行为。

客户数据和信息可以为商家带来价值，那为什么行业规范不允许在系统里保存？就是因为这些敏感可能成为风险，一旦商家的安全防护手段被攻破，用户的隐私被泄露，后果不堪设想。

那么我们就有理由怀疑：曾经注册过的电商网站，曾经用信用卡支付的交易中，是不是还有很多客户敏感、关键信息被存了下来？这些都合规么，还安全么？

另一起安全事件，是源自《纽约时报》的报道，声称斯诺登提供的2010年文件显示：美国安局曾实施了“攻击巨人”(Shot Giant)的计划，其内容包括侵入华为的巨型服务器和精密的数字交换器，一方面是监控华为管理层的通信，了解华为是否与中国政府存在联系；另一方面则是为寻找华为设备中的漏洞，尝试入侵采用华为设备的网络。

这个事件的性质就更恶劣了！涉及国家信息安全问题，不便多说。相信所有人都明白：我们并不希望把谁视为假想敌；但事实上，别人已经在入侵了。

而在本周，巴西下议院通过了一条新的法律草案《网络民法》，旨在反对网络间谍，以及保障平等接入互联网，保护巴西网民的言论自由，以及设置网络信息的复制权和使用权。其中不仅规定应遵守巴西法律防止信息被窃取，还有防止通讯公司利用用户的通讯内容获得利益等内容。

曾经听到不少对安全管理的抱怨。诚然，安全导致的操作复杂、认证延迟等，在一定程度上给用户和使用者带来了“麻烦”。很多企业的创新，就是想办法平衡安全和便利的矛盾，把麻烦留给自己，给客户带来方便。

客观来说，很多互联网企业在安全方面做得不错，这些创新推动了支付环节的开放与进步，更推动了电子商务等一系列产业的发展。

911之后，美国人看到穆斯林就躲；最近的恐怖袭击，国内也有人看到新疆同胞产生了心里阴影。这次安全事件，会在多大程度上影响业务的普及甚至产业的发展？用户在使用电子商务进行支付的时候，在告知对方CVV的时候，会不会有一丝犹豫？

目前互联网金融对传统体系的冲击正处于关键时刻，安全事件的爆发，可能是推进互联网环境下的安全监管，加大对安全的关注度和投入；也可能以此为案例，以安全的名义放慢发展的脚步。

911之后，很多企业意识到了信息安全的重要意义和价值，纷纷加大了这方面的投入，信息安全和数据备份的企业大发其财。这一轮次的信息安全恐怖袭击之后，谁又会成为赢家？

这些，拭目以待，好戏刚刚开始。