從攜程癱瘓看中國互聯(lián)網的裸奔

2015-06-01 09:53:29 大云網　點擊量：評論 (0)

文周路平、王奕編輯王冀　　攜程癱瘓了。5月28日上午11時許，部分用戶突然發(fā)現(xiàn)攜程旅行網及App無法訪問，訪問頁面均顯示404和Service Unavailable。不久后，該消息被官方證實?！　∠挛?5點59分，攜程官方微

文/周路平、王奕編輯/王冀

　　攜程“癱瘓”了。5月28日上午11時許，部分用戶突然發(fā)現(xiàn)攜程旅行網及App無法訪問，訪問頁面均顯示404和Service Unavailable。不久后，該消息被官方證實。

　　下午15點59分，攜程官方微博就網絡癱瘓事件回應稱：“今天上午，先森部分服務器疑似遭到不明攻擊，導致官方網站及App暫時無法正常使用，經排查，數(shù)據(jù)保存完整。目前系統(tǒng)正在逐步恢復，詳細原因也在調查中。”

　　令人感動的是，攜程在無法訪問的情況下，第一個想到的是自己的小伙伴，建議用戶訪問藝龍旅行網。結果，藝龍要哭了，幾個小時后，用戶發(fā)現(xiàn)藝龍也一度出現(xiàn)無法訪問的情況。截止《創(chuàng)業(yè)家》記者發(fā)稿前，攜程旅行網還顯示正在緊急修復中。

　　攜程到底怎么了？

　　作為兩家在行業(yè)內公認為“非常重視網絡安全問題”的上市公司，為何接連出現(xiàn)如此嚴重的安全事故？

　　根據(jù)網絡流傳的版本，此次攜程網癱瘓的原因包括數(shù)據(jù)庫被物理刪除、員工惡意報復等。其中比較靠譜的一種說法是：烏云網發(fā)布了攜程服務器的一個漏洞，估計攜程技術人員就開始各種修復，然后在中午部署上線的時候，某技術人員由于人為操作失誤刪除了一個根目錄文件，于是導致“靈異事件”發(fā)生，線上數(shù)據(jù)全部被刪除。

　　早在2014年3月22日，漏洞報告平臺烏云網就曾連續(xù)披露了兩個攜程網安全漏洞，漏洞存在泄漏用戶姓名、身份證、銀行卡類別、銀行卡號、CVV碼等信息的風險。

　　此前，攜程官方微博曾發(fā)布信息稱，攜程官方和App無法正常使用是由于部分服務器遭到不明攻擊。不過目前，攜程官方微博已經刪除了關于網站及App無法使用的任何說明。

　　“攜程這種技術水平比較高的公司，在一個小時之內還沒有恢復就已經可以判斷是一個非常嚴重的事故了。”百度云安全總監(jiān)馬杰猜測，“這是一次比較大的內部數(shù)據(jù)丟失事故。”

　　青藤云安全團隊負責人分析認為，攜程此次問題并非網傳的數(shù)據(jù)庫物理刪除，而是服務器上的業(yè)務組件被破壞。造成這次事故的原因可能是發(fā)布系統(tǒng)的配置錯誤導致相關組件損壞而無法正常工作，或是由于內部開發(fā)人員在之前版本預留了特定時間觸發(fā)的惡意破壞代碼。

　　國內網絡安全現(xiàn)狀堪憂

　　企業(yè)的網絡安全風險往往來自多個方面。支付寶和攜程前后兩天暴露出的問題，是網絡安全里面兩個非常典型的問題，一個是鏈路層面的安全，一個是數(shù)據(jù)層面的安全，其它還有應用層面的入侵和網絡層面的暴力型攻擊等。

　　＂攜程和支付寶是互聯(lián)網領域非常重視安全的公司，并且技術水平也很高。在中國互聯(lián)網領域，很多企業(yè)的情況跟這兩家公司相比，都相距甚遠。”馬杰表示，“現(xiàn)在看來，即便這樣技術水平和對安全重視程度都很高的公司，也有防不勝防的情況，中國整體的網絡安全狀況更令人堪憂。我一直從事網絡安全服務，大多數(shù)互聯(lián)網公司都投入不足，很多網站基本上沒有有效的防護措施，可以說是正在裸奔。”

　　青藤云安全CEO張福認為，互聯(lián)網安全市場最大的矛盾，是傳統(tǒng)安全產品服務不能滿足新興互聯(lián)網企業(yè)的要求，而完全自建安全能力成本更加昂貴且可行度低。“整個互聯(lián)網企業(yè)安全市場尚處于混沌和初級階段”，張福說。

　　造成這個矛盾的原因，張福的解釋是一邊是高投入，一邊是難以100%保障不出問題；一邊是業(yè)務發(fā)展步伐要求敏捷靈活，一邊是企業(yè)安全要求嚴格、全面。

　　青藤云安全曾接觸過數(shù)十家互聯(lián)網企業(yè)，發(fā)現(xiàn)互聯(lián)網企業(yè)普遍都有對安全的需求，它們最看重的是投入及效果、可行度和靈活性、持續(xù)性。

　　互聯(lián)網企業(yè)安全建設的痛點和麻煩都在于沒有認真思考投入及效果、業(yè)務與安全的平衡，并基于對該平衡的認知來塑造企業(yè)的安全觀念和安全體系。

　　創(chuàng)業(yè)企業(yè)如何自保？

　　攜程的安全事故給創(chuàng)業(yè)企業(yè)敲響了警鐘，即便像攜程、阿里巴巴如此規(guī)模的上市公司，也會出現(xiàn)防不勝防的情況。作為初創(chuàng)型企業(yè)，如何在最大程度上規(guī)避安全風險？

　　青藤云安全CEO張福提到了六點建議：

　　1. 系統(tǒng)設置獨立的強壯密碼，不要和日常生活辦公的聊天、論壇等互聯(lián)網工具密碼相符；

　　2. 安裝的所有操作系統(tǒng)盡量從官方渠道下載；

　　3. 服務組件使用最新版本，及時更新并關注官方最新安全公告；

　　4. 操作系統(tǒng)至少每月進行一次更新，90天內必須重新設置密碼；

　　5. 及時備份關鍵業(yè)務代碼和數(shù)據(jù)（盡可能使用只讀存儲備份）；

　　6. 操作系統(tǒng)及業(yè)務后臺對來源IP進行登錄限制。

　　安全專家向創(chuàng)業(yè)者提供了兩條無需什么成本的安全原則：

　　一是提高安全意識；二是進行數(shù)據(jù)備份。有信息意識是最重要的，也是一切安全的根本。相比這兩家公司而言，很多初創(chuàng)型公司大部分沒有足夠的安全意識。而數(shù)據(jù)備份不是簡單的把數(shù)據(jù)存起來，真正有效的備份是不但備份，還要有應急方案，能夠在很短時間內，把數(shù)據(jù)還原到生產環(huán)境中，并恢復服務。