長江商報(bào)消息 支付寶����、攜程接連“癱瘓”�,網(wǎng)絡(luò)安全問題再引擔(dān)憂
近日��,網(wǎng)絡(luò)安全事故頻出,而且“掉鏈子”的多是行業(yè)巨頭��。5月28日11時(shí)許��,攜程網(wǎng)癱瘓���,網(wǎng)頁版和手機(jī)APP均不能正常使用�����,攜程后來聲明稱此次故障系員工錯(cuò)誤操作所致���。
此前一天,多地網(wǎng)友反映����,支付寶無法正常使用。而導(dǎo)致這場故障的原因是�,5月27日,由于市政施工�����,杭州市蕭山區(qū)某地光纜被挖斷。
業(yè)界專家表示����,兩家大型互聯(lián)網(wǎng)企業(yè)相繼出現(xiàn)問題,顯示網(wǎng)絡(luò)安全和穩(wěn)定遭遇嚴(yán)峻挑戰(zhàn)����。在互聯(lián)網(wǎng)迅速發(fā)展的當(dāng)下,誰來保護(hù)互聯(lián)網(wǎng)的數(shù)據(jù)安全���?互聯(lián)網(wǎng)企業(yè)又該如何提升應(yīng)對“突發(fā)事件”的能力���?
□本報(bào)記者 羅義陳妮希
員工錯(cuò)誤操作致網(wǎng)絡(luò)癱瘓
5月28日11時(shí)許,攜程網(wǎng)癱瘓�����,網(wǎng)頁版和手機(jī)APP均不能正常使用��。攜程網(wǎng)隨后稱是服務(wù)器遭到不明攻擊所致��,正在緊急恢復(fù)����。
當(dāng)日下午���,攜程官網(wǎng)在首頁頂部掛出“攜程網(wǎng)站暫時(shí)無法提供服務(wù)�,正在緊急修復(fù)中,您可以訪問:藝龍旅行網(wǎng)”的通知��。當(dāng)天17點(diǎn)開始�����,藝龍旅行首頁網(wǎng)也無法正常訪問�,半小時(shí)后恢復(fù)正常。
事后��,攜程官方稱�,經(jīng)技術(shù)人員搶修,除個(gè)別業(yè)務(wù)外���,攜程官方網(wǎng)站及APP恢復(fù)正常����,經(jīng)過排查�����,數(shù)據(jù)沒有丟失,預(yù)訂數(shù)據(jù)也保存完整����。
攜程公共事務(wù)負(fù)責(zé)人楊勇昨日向長江商報(bào)記者確認(rèn),此次事件是由于員工錯(cuò)誤操作��,刪除了生產(chǎn)服務(wù)器上的執(zhí)行代碼導(dǎo)致�����。
當(dāng)天23點(diǎn)左右����,攜程在宕機(jī)12個(gè)小時(shí)后恢復(fù)正常。對于為什么網(wǎng)站恢復(fù)需要那么長時(shí)間�,楊勇解釋,一般來說���,類似攜程這樣的大型網(wǎng)站承載著多種業(yè)務(wù)�����,其后臺是一個(gè)由SOA(面向服務(wù))架構(gòu)組成的龐大服務(wù)器集群���,看似簡單的一個(gè)頁面背后由上千個(gè)應(yīng)用子系統(tǒng)以及上千個(gè)Web Service組成���,而每個(gè)應(yīng)用子系統(tǒng)和每個(gè)Web Service之間都存在著相互調(diào)用的依賴關(guān)系。
故障發(fā)生后����,攜程的技術(shù)人員除了需要恢復(fù)生產(chǎn)服務(wù)器上的執(zhí)行代碼以外�,還需要恢復(fù)并確保每個(gè)應(yīng)用子系統(tǒng)以及每個(gè)Web Service的功能正常,同時(shí)確保應(yīng)用子系統(tǒng)與Web Service間的調(diào)用關(guān)系得以正常執(zhí)行�����。這種驗(yàn)證性的操作需要工程師及運(yùn)維人員通力合作����,盡快恢復(fù)生產(chǎn)代碼并通過反復(fù)地、持續(xù)性地調(diào)試以確保應(yīng)用子系統(tǒng)與Web Service功能的正常運(yùn)行����。
攜程再次保證,數(shù)據(jù)和數(shù)據(jù)庫并未受到此次事件的影響�����,用戶訂單數(shù)據(jù)也完整無損。楊勇表示�����,攜程在系統(tǒng)上做了改進(jìn)�,規(guī)范并杜絕技術(shù)人員錯(cuò)誤刪除生產(chǎn)服務(wù)器上代碼的操作,以杜絕此類事件的再次發(fā)生����。
隱患頻現(xiàn)令用戶不安
這并不是近期的唯一一起互聯(lián)網(wǎng)企業(yè)網(wǎng)絡(luò)故障。
此前一天�,5月27日下午17時(shí)左右,擁有數(shù)億用戶的支付寶被部分用戶反映����,服務(wù)突然無法正常使用。
隨后����,支付寶回應(yīng)稱:由于杭州市蕭山區(qū)某地光纖被挖斷,造成目前少部分用戶無法使用支付寶�,進(jìn)而導(dǎo)致支付寶一個(gè)主要機(jī)房受影響,隨后全國部分用戶約2小時(shí)無法使用支付寶�����。一直到28日凌晨3點(diǎn)57分,光纜才陸續(xù)搶通����。
“互聯(lián)網(wǎng)與生活環(huán)環(huán)相扣,隱患頻現(xiàn)令人不安��������!痹诓殚喿约褐Ц秾毥灰子涗浐�����,網(wǎng)購達(dá)人陳馨(化名)向長江商報(bào)記者介紹,去年一年通過支付寶支出的費(fèi)用為8萬多元����,均用于購物和旅游,而相關(guān)賬號綁定了自己的多張銀行卡�,“一旦出現(xiàn)漏洞,被不法分子利用��,后果可想而知��。”
互聯(lián)網(wǎng)的飛速發(fā)展���,使得人們的生活更加方便快捷�����,但“漏洞門”頻現(xiàn)�����,威脅著隱私甚至財(cái)產(chǎn)安全��,也讓人愛恨交加�。
甚至有網(wǎng)友事后調(diào)侃���,“什么互聯(lián)網(wǎng)+����、大數(shù)據(jù)����、云計(jì)算,都頂不住傳統(tǒng)行業(yè)一鏟子�����!
2014年3月22日����,烏云安全漏洞平臺公布了關(guān)于“攜程安全支付日歷導(dǎo)致用戶銀行卡信息泄露”的相關(guān)信息。漏洞發(fā)現(xiàn)者指出����,攜程由于服務(wù)器未做到嚴(yán)格的安全配置,包括持卡人姓名����、身份證號、持卡類別�����、卡號�、CVV碼等信息存在泄露可能����,所有支付過程中的調(diào)試信息面臨安全風(fēng)險(xiǎn),引發(fā)公眾擔(dān)憂��。漏洞事件曝光后首個(gè)交易日,攜程股價(jià)也一度下跌近10%���。
不過陳馨認(rèn)為�,網(wǎng)絡(luò)發(fā)達(dá)的當(dāng)下給生活提供了便利����,某些隱患或可能造成的損失,用戶也存在一定的責(zé)任�����,個(gè)人對信息的保護(hù)也同樣重要���,不應(yīng)該將所有責(zé)任歸咎于網(wǎng)絡(luò)����。
中國電子商務(wù)研究中心特約研究員王吉偉認(rèn)為�,互聯(lián)網(wǎng)企業(yè)安全事件頻發(fā),一方面暴露了中國互聯(lián)網(wǎng)安全的短板�����,互聯(lián)網(wǎng)安全不只是服務(wù)器軟環(huán)境上的防黑、防毒�、防DDOS攻擊等手段,硬件安全同樣重要����。這應(yīng)該引起廣大互聯(lián)網(wǎng)企業(yè)以及通訊服務(wù)商的重視,應(yīng)該有備用的應(yīng)急處理措施�����。另一方面�,反映了互聯(lián)網(wǎng)企業(yè)對于企業(yè)內(nèi)部運(yùn)營工作重視度不夠。
誰來保護(hù)網(wǎng)絡(luò)數(shù)據(jù)安全���?
當(dāng)下���,互聯(lián)網(wǎng)企業(yè)經(jīng)過燒錢大戰(zhàn)、跑馬圈地獲得用戶后�,如何在提供服務(wù)完成交易的同時(shí),有效維護(hù)信息安全�,成為這一次網(wǎng)絡(luò)安全事件后外界最關(guān)心的問題����。
知道創(chuàng)宇資深安全專家潘少華表示,一方面是企業(yè)數(shù)據(jù)復(fù)雜性加大�����,應(yīng)用場景多樣化,數(shù)據(jù)量越來越大�;另一方面黑客攻擊越來越職業(yè)化、行動速度很快���。比如出一個(gè)影響大的漏洞�,黑客兩小時(shí)內(nèi)就會開始攻擊�,甲方卻要花很長時(shí)間了解情況和預(yù)判影響,等搞明白�����,黑客早已滲透進(jìn)來��,放下后門���。
瑞星安全專家唐威甚至透露��,目前���,APP普遍存在安全隱患問題,用戶登錄訪問上面的明文不加密文件,在公眾WiFi狀態(tài)下很容易被黑客抓取�。
潘少華則強(qiáng)調(diào),應(yīng)用系統(tǒng)方面漏洞是安全問題的核心�,尤其是基于網(wǎng)站的業(yè)務(wù)系統(tǒng),其中使用了大量收費(fèi)或者開源應(yīng)用��,黑客喜歡找這種漏洞然后批量打擊滲透���。
按照現(xiàn)行法律��,如果用戶信息泄露���,企業(yè)是需要承擔(dān)一定的賠償責(zé)任的。
中國電子商務(wù)研究中心特約研究員�、遼寧亞太律師事務(wù)所董毅智律師認(rèn)為,當(dāng)企業(yè)發(fā)現(xiàn)數(shù)據(jù)泄露后做了什么���,是否第一時(shí)間發(fā)出警報(bào)并采取措施直接體現(xiàn)了當(dāng)事公司是否盡到了相關(guān)責(zé)任���。在類似事件中,一些企業(yè)往往擔(dān)心自身名譽(yù)受損�����,對數(shù)據(jù)泄露遮遮掩掩��,這正是網(wǎng)絡(luò)攻擊者所期望的局面�,也是攻擊者有恃無恐的原因之一。
董毅智表示����,根據(jù)我國法律對用戶隱私的侵權(quán)行為約束力有限,用戶維權(quán)�����、尋求民事賠償勝訴率不大����,對損失評估難以確定金額,所以想要對隱私泄露的責(zé)任人追究還是非常困難的�����。雖然大規(guī)模信息泄露����、數(shù)據(jù)安全事件頻出,卻鮮見有企業(yè)負(fù)責(zé)人因此被問責(zé)�。
為此�,互聯(lián)網(wǎng)安全專家田際云建議�,企業(yè)安全必須由上至下推動,讓管理層重視起來����。而安裝部署各類安全設(shè)備和軟件并不代表就安全了,對于傳統(tǒng)企業(yè)和小公司而言�,缺乏專業(yè)的安全團(tuán)隊(duì),也沒有專業(yè)的安全思維����,不如把業(yè)務(wù)放到云服務(wù)上去。
企業(yè)如何提升“應(yīng)急”能力����?
作為動輒擁有上億、甚至數(shù)億用戶的互聯(lián)網(wǎng)企業(yè)����,遇到信息系統(tǒng)故障通常如何應(yīng)對?
據(jù)記者采訪的多位網(wǎng)絡(luò)安全技術(shù)專家介紹�,目前,不少普通的互聯(lián)網(wǎng)企業(yè)并沒有災(zāi)難備份���,但如果涉及支付�、資金交易等業(yè)務(wù),往往有災(zāi)備�����,只是備用的數(shù)據(jù)中心平常并不啟用或很少啟用�,即“冷備”���。安全級別高的企業(yè)通常采用異地“熱備”�,再高一級就是不同的城市多個(gè)數(shù)據(jù)中心同時(shí)“備”�,也就是業(yè)內(nèi)常說的“異地多活”。
金融業(yè)的信息系統(tǒng)標(biāo)準(zhǔn)一直有明確的監(jiān)管要求����,而且嚴(yán)于其他行業(yè)。我國金融行業(yè)標(biāo)準(zhǔn)中的《銀行業(yè)信息系統(tǒng)災(zāi)難恢復(fù)管理規(guī)范》對災(zāi)難分級��、恢復(fù)時(shí)間有詳細(xì)規(guī)定��。中國銀監(jiān)會印發(fā)的《商業(yè)銀行數(shù)據(jù)中心監(jiān)管指引》也已經(jīng)明確�����,總資產(chǎn)規(guī)模1000億元人民幣以上且跨省設(shè)立分支機(jī)構(gòu)的法人商業(yè)銀行���,以及省級農(nóng)村信用聯(lián)合社����,應(yīng)設(shè)立異地模式災(zāi)備中心。據(jù)了解��,作為第三方支付機(jī)構(gòu)�����,支付寶也已經(jīng)完成了異地災(zāi)備�。
專家介紹,異地災(zāi)備是用來做“冷備份”的����,等另外一個(gè)城市掛掉了,才會切換����。但如果能在不同的城市設(shè)多個(gè)數(shù)據(jù)中心,也就是實(shí)現(xiàn)“異地多活”的話���,發(fā)生“光纖被挖斷”之類的故障����,切換、調(diào)整時(shí)間就有能力從小時(shí)級提高到分鐘級�,讓系統(tǒng)短時(shí)間內(nèi)實(shí)現(xiàn)平穩(wěn)切換。
據(jù)了解���,除了系統(tǒng)級的安全提升之外���,部分互聯(lián)網(wǎng)金融企業(yè)正在試圖通過給用戶買資金險(xiǎn)����、賬號險(xiǎn)的方式加強(qiáng)安全保障,如果最終仍然發(fā)生資金損失���,可以通過保險(xiǎn)理賠來加固用戶權(quán)益�。
一家云計(jì)算公司則表示�����,通過云計(jì)算技術(shù)可以低成本地實(shí)現(xiàn)多個(gè)數(shù)據(jù)備份及快速恢復(fù)�����,并進(jìn)行更嚴(yán)格的云上權(quán)限管理����。如果沒有完善的數(shù)據(jù)可靠性機(jī)制保障和安全防御能力��,對互聯(lián)網(wǎng)公司而言意味著致命性打擊�。
責(zé)編:ZB
鄂公網(wǎng)安備 42010602000264號
