效率源数据恢复论坛

标题: 支付宝、携程先后宕机 数据安全谁来守护? [打印本页]

作者: xlysoft    时间: 2015-5-29 09:11
标题: 支付宝、携程先后宕机 数据安全谁来守护?
连续两天,大型互联网公司出现不同的系统事故,“互联网+”浪潮下的安全问题再次受到行业内外拷问。
  入主艺龙,被在线旅游巨头Priceline增持,国内在线旅游龙头携程最近原本“春风得意”。但还没有等上述利好消息进一步在市场上发酵,携程就被一波“不明攻击”泼了盆冷水。
  5月28日,携程的官方网站和APP客户端出现无法使用的情况,随后携程官方确认了上述情况,并称是因受到了“不明攻击”所致。这也是继2014年春节期间携程被爆网站存在漏洞之后,连续两年遭遇IT系统上的漏洞问题。
  巧合的是,5月27日支付宝才因为光纤事件一度导致应用无法使用。连续两天,大型互联网公司出现不同的系统事故,“互联网+”浪潮下的安全问题再次受到行业内外拷问。
  突然的宕机
  5月28日接近中午时段,一条携程服务器瘫痪的消息开始在微信朋友圈出现。21世纪经济报道记者随后登录携程的官方网站和APP客户端发现,二者确实出现了无法正常使用的情况。
  没过多久,携程官方微博发出消息,并用较为调侃的语气说明了上述的情况,“今天上午11:09,先森部分服务器遭到不明攻击(看来和光纤君没有关系),导致官方网站及APP暂时无法正常使用,先森正在紧急恢复。”
  截至记者发稿时为止,携程官网和APP的客户端已经恢复一部分功能,尚没能完全恢复正常使用。
  28日下午的时间段,就在携程的官网和APP客户端无法使用的同时,关于携程官网无法正常使用的各种分析原因和影响开始层出不穷。
  一度有传言称,携程的酒店信息一同被物理删除,如果消息为真,那意味着携程将面临不小的损失。
  对于这则消息,携程方面第一时间向记者进行了澄清:“经过紧急排查,携程数据没有丢失,预订数据也保存完整。在恢复过程中,对用户造成的不便,我司深表歉意。”
  而系统出现问题后导致消费者不能在携程的PC和移动端上进行下单不久,携程的官方网站就置顶了一条“温馨提示”称:“携程网站暂时无法提供服务,正在紧急恢复中······您可以访问艺龙旅行网。” 实际上,此前携程刚刚将艺龙揽入怀中。5月22日,携程网联手铂涛集团收购了Expedia所持有的艺龙控股权。其中,携程出资约4亿美元,持有艺龙37.6%的股权,成为艺龙的第一大股东。虽然28日当天,艺龙也在短时间内遭遇流量攻击,却成为携程在事故中“不幸中的万幸”。
  不过,虽然有艺龙作为备用,但是携程在安全问题上却令外界担忧,因为这已经不是携程近些年遇到的第一个重大的IT系统事故了。
  2014年3月,国内漏洞研究机构乌云网披露了携程安全漏洞信息,显示携程将用于处理用户支付的服务接口开启了调试功能,使所有向银行验证持卡所有者接口传输的数据包均直接保存。而且,保存安全支付日志的服务器并未做较严格的基线安全配置,存在目录遍历漏洞,导致所有支付过程中的调试信息可被任意黑客读取。
  就在该消息发布后不久,携程立即展开技术排查并在消息出现后的短时间之内修复了相关的漏洞。但这仍引发公众和资本市场的担忧,事件曝光后首个交易日,携程股价盘前曾一度跌近10%。
  “首先,携程技术架构在行业内偏为保守,核心系统仍旧使用微软平台(NET+SQL Server),这在国内一线互联网公司是比较罕见的,之前使用微软平台最大的互联网公司京东在多年前就完成了核心系统的迁移。”
  28日当天,有数据解决方案专业人士向21世纪经济报道记者指出,“携程宁可每年花上千万的软件授权费用给微软公司,而不是选择进行技术架构的迁移,去使用更多互联网公司所用到的开源平台,本身就一直令人很费解。”
  “今天官网和APP的‘瘫痪’事件之后,携程的股价短时间内下跌是一个大概率事件。”有在线旅游行业人士向记者表示。
  拷问网络安全问题
  这个月似乎是互联网公司的“黑5月”,在携程之前,支付宝和网易已分别出现了不同程度的IT系统问题。
  前一天下午5点半左右,全国各地不少用户反映,支付宝出现网络故障,账号无法登录、支付。支付宝官方随即回应称,故障是由于杭州市萧山区某地光纤被挖断,经紧急将用户请求切换至其他机房,故障逐步恢复。到晚上7时多,支付宝宣布用户服务已经恢复正常。
  早前5月11日晚间,网易公司旗下游戏、有道云笔记、LOFTER、考拉海购、网易公开课等无法正常访问,之后网易大厦着火的传闻四起,最终网易方面回应:因骨干网络遭受攻击所致,网易个别游戏产品称将对玩家进行补偿。
  时间继续倒回更早前,包括微信、陌陌,甚至将服务器建在北极的Facebook,也不能避免遭遇IT系统上的问题。
  “BCP/BCM(业务连续性)上互联网公司和传统的金融机构并不是一个量级的,还需要进一步努力。比如大型银行的重要系统,一套运行、一套热备、一套测试,所有数据要做到同城和异地备份,恢复时间是以小时计算的。互联网公司讲究快速迭代、灵活性、可扩展性,往往要牺牲稳定性和安全性。”上述数据解决方案专业人士向记者表示。
  一个月之内,连续有3家知名互联网公司遭遇类似事件,一时间互联网安全问题再次成为行业内外关注的焦点。
  在近日召开的贵阳国际大数据产业博览会上,奇虎360科技有限公司董事长周鸿袆就指出,“大数据时代带来一个非常重要的挑战,那就是安全的挑战,如果没有一个好的对大数据安全的保护,我们今天所有设想的大数据可能都会变成空中楼阁。”
  网络安全问题已刻不容缓。近日,国外机构Verizon发布的“2015数据泄露调查报告”显示,2014年事件调查中,所涉及组织覆盖95个国家,其中有61个报告了问题,涉及79790个安全事件,超过2000条确认的数据泄露,500强企业中超半数曾遭受过黑客攻击,索尼、苹果、摩根大通等公司或是机构都未能幸免。
  该报告还同时提及了中国的信息安全,报告披露2011年到2014年互联网公开的安全事故已导致11.3亿用户信息泄露。
  其实网络安全不仅仅是消费者支付宝里的余额,还涉及国家战略层面。近些年国家也出台相关政策致力于维护快速发展的互联网环境。
  在中国政法大学传播法研究中心研究员、硕士生导师朱巍看来,应对互联网安全问题“一方面通过立法来解决;还有一部分,和国际合作,比如签署更多的备忘录,出现这个问题之后,可能不在中国国情之内,别的国家有义务来协助我们;第三个方面,网络安全软件要做得更好,以前这种软件是单一的防火墙,现在是综合性软件,要建立体系性的防火墙。尤其是面对中国互联网的发展,实名制已经是不可逆的趋势。”






欢迎光临 效率源数据恢复论坛 (http://bbs.xlysoft.net/) Powered by Discuz! X3.2