支付寶、攜程癱瘓 敲響網絡安全警鐘
點擊: 作者: 來源:宣講家 發布時間:2015-06-07 08:20:45
導讀:繼支付寶5月27日被一個農民工大哥的鋤頭打敗之后,5月28日,攜程也“掛”了。眼下,如果攜程等互聯網企業繼續漠視網絡安全,那么更多的互聯網企業將會被“干掉”,自食苦果,沒有人會給予同情。對網絡安全的漠視,已經成為懸在國內一些互聯網企業頭上一把隨時會落下的利劍。
【事件介紹】
支付寶、攜程癱瘓 互聯網行業如何應對突發事件
繼5月27日傍晚支付寶因“光纖被挖斷”大規模服務中斷之后,攜程網也因故障“癱瘓”。截至28日下午17時,攜程網故障仍未完全修復。坐擁數億用戶的大型互聯網公司、移動支付企業為何接連發生故障?又如何提升應對“突發事件”能力,保障用戶使用安全?對正在興起的“互聯網+”會有什么樣的警示?
27日,由于市政施工,杭州市蕭山區某地光纜被挖斷,進而導致支付寶一個主要機房受影響,隨后全國部分用戶約2小時無法使用支付寶。28日,中國最大的在線旅游網站攜程也遭到不明攻擊,導致網站和客戶端無法登錄。
支付寶不僅是中國最大的第三方支付平臺,也是中國最大的貨幣基金的網絡入口,還是很多城市水電煤氣的繳費終端。有支付寶用戶告訴筆者,自己已很少用現金,工資一發下來就放在余額寶里,支付寶一出問題,生怕錢丟了。
據中國支付清算協會21日發布的《中國支付清算行業運行報告(2015)》顯示,2014年,支付機構共處理超過215億筆互聯網支付業務,金額超過17萬億元,同比分別增長43.52%和90.29%。
在這樣的情況下,一根光纜就“絆倒”了支付寶,這也表明互聯網金融的安全確實要高度重視了。以技術見長的互聯網公司很少因為系統問題宕機,卻多次由于硬件問題影響服務。就在支付寶“掛掉”的同時,網易公司也通過微博公告:“因杭州市蕭山區某地光纖被挖斷,造成目前少部分用戶無法使用網易LOFTER,技術人員正在搶修中。”
據了解,2013年7月,由于上海一條光纜被挖斷,導致微信在很多地區無法正常使用長達7小時。2014年10月,微信還因為上海機房出現故障,導致全國大面積故障2小時。與資金、交易直接相關,支付寶、攜程的相繼“癱瘓”,引發用戶對賬戶資金安全的擔憂。與傳統金融機構出現故障相比,互聯網企業出現信息系統故障的擴散面往往要大得多。28日中午,因攜程旅行網出現故障,一些用戶反映,預定成功的酒店沒有保存地址和名字,APP、網站均打不開。
業內人士表示,服務中斷通常會導致交易失敗,資金并不會憑空消失。不過這種少見的大范圍服務癱瘓仍然引起了用戶擔憂。支付寶方面稱,對于27日晚間的故障,目前尚未接到用戶由于這次故障引發的資金損失索賠。
作為動輒擁有上億、甚至數億用戶的互聯網企業,遇到信息系統故障通常如何應對?據網絡安全技術專家介紹,目前,不少普通的互聯網企業并沒有災難備份,但如果涉及支付、資金交易等業務,往往有災備,只是備用的數據中心平常并不啟用或很少啟用,即“冷備”。安全級別高的企業通常采用異地“熱備”,再高一級就是不同的城市多個數據中心同時“備”,也就是業內常說的“異地多活”。
金融業的信息系統標準一直有明確的監管要求,而且嚴于其他行業。我國金融行業標準中的《銀行業信息系統災難恢復管理規范》對災難分級、恢復時間有詳細規定。中國銀監會印發的《商業銀行數據中心監管指引》也已經明確,總資產規模1000億元人民幣以上且跨省設立分支機構的法人商業銀行,以及省級農村信用聯合社,應設立異地模式災備中心。據了解,作為第三方支付機構,支付寶也已經完成了異地災備。
除了系統級的安全提升之外,部分互聯網金融企業正試圖通過給用戶買資金險、賬號險的方式加強安全保障,如果最終仍然發生資金損失,通過保險理賠來加固用戶權益是一條可取的途徑。
一家云計算公司表示,通過云計算技術可以低成本地實現多個數據備份及快速恢復,并進行更嚴格的云上權限管理。如果沒有完善的數據可靠性機制保障和安全防御能力,對互聯網公司而言恐怕意味著致命性打擊。
攜程癱瘓映射出的企業數據管理亂象
攜程故障現在已經發生了4個小時,依然未見恢復跡象,這是繼前不久網易全服務趴下,到昨天支付寶光纖被挖掘機挖斷,中國的互聯網企業巨頭被各類安全事件挖得體無完膚,深其原因,還是因為國內企業對安全問題的漠視,大家都忙于業務、忙于競爭,所有的資源都投入到一線業務中去了。
特別企業數據的管理和保護這個領域,一旦出現問題,造成的損失無法彌補,這和國人的觀念不無關系,就像買保險一樣,大家都抱著僥幸心理,萬分之一的幾率,但是萬一發生了呢?有一個數據可以例證,到微博上搜索一下備份,上面有近1億條用戶記錄痛哭流涕的抱怨自己沒有及時備份個人數據而終身遺憾,或遺憾終身!
今天攜程事件,據說是內部人為刪除了所有的數據,包括服務器的根目錄數據,相信備份肯定有,畢竟是上市企業,有嚴格的審計過程,數據如何管理、如何備份和恢復、涉及到哪些流程、有沒有權限管理,應該都有四大會計所來做審核。我的一個朋友,當初在1號店負責運維時,因為1號店被沃爾瑪收購,作為上市企業的關聯交易公司,當時沃爾瑪派KPMG來做詳細的審計,核心崗位和管理層都被做了訪談,并出具了詳細的操作流程,他親自參與這個過程,審計是做了,但在執行人心中是非常沒有底氣的。這位朋友之前呆過的幾個大的互聯網公司都有做數據管理流程和備份恢復服務,但是因為這些安全業務比較邊緣,所以在整個公司關注程度很低,并沒有落到實處。
所有的公司都有做數據管理和備份,無論是小微企業老板自己手動用U盤或者硬盤拷貝、還是大的互聯網公司有專門的運維人員專項負責、傳統的中大型企業用專業的軟硬件工具,關鍵是99%的公司都沒有做數據管理流程、備份和恢復的演練,恢復的數據到底可不可用,如何快速的恢復等操作演練。
再來看看歐美環境,再小的一家公司,都有專業的數據管理軟件或者專業的IT維護人員,他們極其重視數據,視數據為企業生命,所以在歐美,做數據管理和保護的IT公司不下500家,像IBM、HP、Dell、EMC、賽門鐵克、康沃、飛康、愛恩鐵山、CA、carbonite這些老牌的上市公司,還有很多新型的互聯網創業公司,如Datto、code42、durva、Rubrik等企業。而中國該領域企業少之可憐,國內的IT軟件公司絕大部分是代理歐美產品,極少數是自己維護開發,無法保證專業性。
有消息稱,此次攻擊直接導致了攜程網站的數據庫被刪除。接連發生在互聯網巨頭身上的災難,讓我們再次看到了數據備份的重要性。安全是細活,但安全更是無絕對的,無論工作做得多細,團隊的技術實力多牛,都無法做到絕對安全。數據備份作為數據安全的最后一道防線,可以有效杜絕人為原因和技術原因造成的數據丟失。通過數據備份的分布式管理,將代碼、數據庫、文件等進行異地容災保護,加上有效的集中管理平臺,就可以在數據發生損壞或丟失時自動進行恢復。
目前,國內在企業數據管理和保護該領域企業只有多備份等少數幾家公司,究其原因,數據管理要做得非常專業實屬不易,該領域屬于基礎技術領域,要與各類操作系統、硬件平臺、文件系統、網絡和安全領域交互,比如分塊、去重、壓縮、上傳下載、增量、加密、索引、存儲分層、海量小文件、備份和恢復時間窗口、集中管控等綜合技術難點。傳統的IT企業不愿意做基礎研發、還靠代理或者買單機版軟件垂死掙扎。
攜程癱瘓“自殺”還是“他殺”?
在支付寶斷網事件還未平息之時,老牌OTA攜程又攤上了大事。28日上午11時左右,攜程旅行網官方網站突然陷入癱瘓,打開主頁后點擊時均顯示“Service Unavailable”,而百度搜索上的攜程官方頁面也顯示404錯誤。據稱,攜程旅行網所有數據庫被物理刪除。有業內人士估計,攜程官網每癱瘓一小時的損失在上百萬美元。
這是攜程一年來爆發的第二次安全事件。2014年3月份,攜程安全支付日志在多處網站可隨意下載,導致大量用戶銀行卡信息泄露(包含持卡人姓名身份證、銀行卡號、卡CVV碼、6位卡Bin)。另據《法制晚報》微博透露,5月25日曾有人在烏云平臺公布了一個有關攜程服務器的部署漏洞,結果該信息被攜程官方無情地忽略。
2014年的信息泄露事件給攜程敲響了警鐘,但是,經歷了一次信息泄露事故的攜程,顯然沒有意識到信息安全的重要性。從這一角度來看,攜程數據庫被全部干掉,兇手不是別人,而是自己,這是典型的自殺行為。折射出攜程在技術管理方面存在的重大安全隱患。
按照國際技術安全標準,攜程旅行網的全部數據必須實時備份,并且要有多套數據備份方案和存儲方式。此外,國外的安全機構,還會定期對企業數據備份和恢復進行演練。再看國內的互聯網企業,數據備份和恢復演練,不過是寫在紙上的擺設,罕有企業按照這一流程去執行。
截至28日晚,近10個小時過去了,攜程數據還未恢復。盡管攜程在新浪微博表示數據正在恢復中,但很多資深技術大牛在論壇中紛紛表示,如此長的時間還沒有恢復服務,可能有兩個原因:一是數據庫根本沒有備份;二是數據庫恢復過程中出現了不可預見的問題。
據接近攜程網的技術人士稱,作為美國上市企業的攜程,數據庫沒備份的幾率很小,數據庫恢復受阻的可能性最大。數個小時未能恢復數據,反映出攜程技術人員過于羸弱的技術水平,而這也反映出攜程管理層對技術團隊忽視的悲哀。其實,攜程對安全的漠視釀成大禍,已經成為國內互聯網企業的一個通病。最近兩個月的時間,先是網易服務器宕機,而后是支付寶因光纖被挖斷爆發大面積故障,隨后是攜程網數據庫全部被刪除。此前,微信和QQ也先后出現了斷網事件。
眼下,如果攜程等互聯網企業繼續漠視網絡安全,那么更多的互聯網企業將會被“干掉”,自食苦果,沒有人會給予同情。對網絡安全的漠視,已經成為懸在國內一些互聯網企業頭上一把隨時會落下的利劍。
【啟示與思考】
不是第一次發作,其在幾年前出現的營運事故再次被挖出。不管是支付寶前車之鑒,還是攜程網之前的事故,都鮮明地指向了一個極為現實的問題,“互聯網+安全”何時能到來?
針對攜程網目前出現的斷網風波,有技術兼分析家指出,攜程網可能面臨著黑客攻擊、內部員工報復等諸多可能。又有網民戲謔稱,“不會又被挖斷網了吧?”特別是分析家所指出的,怕就怕內部員工的報復或工作失誤,那樣的話,攜程網擁有的數據信息將不可逆的難以修復了。
攜程網借助互聯網技術而興起,方便了一大批出行人員,但互聯網恰恰就是一把雙刃劍,互聯網在技術漏洞、人員管理、數據備份等某一個環節稍有閃失,就會出現全盤皆輸的局面。特別是前幾天剛發生的支付寶斷網風波,顯然沒有給攜程網管理層提個醒,反倒可能給與攜程網“有仇”的人員一個不小的提醒。早在前幾年,就有技術人員指出了攜程網存在著技術不足,很容易被黑客攻擊,不知面對專家的提醒,這個“牢”攜程網補了沒有?或者補得徹底不徹底?網友“#星座控”感慨“當前不愧是幾年一遇的水逆期啊!”恰恰指出了當前“互聯網+”背后,正是或大或小的漏洞,這與“互聯網+”前面看似風光的前途相對照,給人足夠的反思完善空間。
“互聯網+”戰略提出后,包括支付寶、攜程網在內的眾多電商會摩拳擦掌擴大電商戰果,但再大的地盤,倘若缺少安全這個基礎,也可能會在不特定風波之后轟然倒塌或者大傷元氣。因此,攜程網斷網風波也好,支付寶斷網也好,或者再往前說網易、陌陌被攻擊等等,都是“互聯網+”戰略布局中的前車之鑒,只有吃一塹長一智,夯實“互聯網+”的安全基礎,“互聯網+”戰略才會名副其實、前途光明。
責任編輯:中國夢
特別申明:
1、本文只代表作者個人觀點,不代表本站觀點,僅供大家學習參考;
2、本站屬于非營利性網站,如涉及版權和名譽問題,請及時與本站聯系,我們將及時做相應處理;
3、歡迎各位網友光臨閱覽,文明上網,依法守規,IP可查。
作者 相關信息
內容 相關信息
? 昆侖專題 ?
? 高端精神 ?
? 新征程 新任務 新前景 ?
? 習近平治國理政 理論與實踐 ?
? 我為中國夢獻一策 ?
? 國資國企改革 ?
? 雄安新區建設 ?
? 黨要管黨 從嚴治黨 ?
熱點排行
圖片新聞
