支付宝被挖断光纤的事情未了,携程又遭遇网站长时间瘫痪。国内安全人士称,对于两个上市公司接连出现如此严重的网络安全问题感到惊讶。而事实上,这两家公司一直“非常重视”网络安全问题。
携程“瘫痪”了。5月28日上午11时许,部分用户突然发现携程旅行网及App无法访问,访问页面均显示404和Service Unavailable。不久后,该消息被官方证实。
下午15点59分,携程官方微博就网络瘫痪事件回应称:“今天上午,先森部分服务器疑似遭到不明攻击,导致官方网站及App暂时无法正常使用,经排查,数据保存完整。目前系统正在逐步恢复,详细原因也在调查中。”
令人感动的是,携程在无法访问的情况下,第一个想到的是自己的小伙伴,建议用户访问艺龙旅行网。结果,艺龙要哭了,几个小时后,用户发现艺龙也一度出现无法访问的情况。截止《创业家》记者发稿前,携程旅行网还显示正在紧急修复中。
携程到底怎么了?
作为两家在行业内公认为“非常重视网络安全问题”的上市公司,为何接连出现如此严重的安全事故?
根据网络流传的版本,此次携程网瘫痪的原因包括数据库被物理删除、员工恶意报复等。其中比较靠谱的一种说法是:乌云网发布了携程服务器的一个漏洞,估计携程技术人员就开始各种修复,然后在中午部署上线的时候,某技术人员由于人为操作失误删除了一个根目录文件,于是导致“灵异事件”发生,线上数据全部被删除。
早在2014年3月22日,漏洞报告平台乌云网就曾连续披露了两个携程网安全漏洞,漏洞存在泄漏用户姓名、身份证、银行卡类别、银行卡号、CVV码等信息的风险。
此前,携程官方微博曾发布信息称,携程官方和App无法正常使用是由于部分服务器遭到不明攻击。不过目前,携程官方微博已经删除了关于网站及App无法使用的任何说明。
“携程这种水平的公司,在一个小时之内还没有恢复就已经可以判断是一个非常严重的事故了。”黑马营五期学员、百度云安全总监马杰是国内顶尖的网络安全专家之一,曾在瑞星开发了大量企业级安全产品。他认为,“这是一次比较大的内部数据丢失事故。”
青藤云安全团队负责人分析认为,携程此次问题并非网传的数据库物理删除,而是服务器上的业务组件被破坏。造成这次事故的原因可能是发布系统的配置错误导致相关组件损坏而无法正常工作,或是由于内部开发人员在之前版本预留了特定时间触发的恶意破坏代码。
国内网络安全现状堪忧
企业的网络安全风险往往来自多个方面。不过,支付宝和携程前后两天暴露出的问题,是网络安全领域两个非常典型的问题,一个是链路层面的安全,一个是数据层面的安全。
“在我们看到的这么多公司当中,携程和支付宝是非常重视安全的了。很多公司的网络安全情况比这两家公司差得真不是一点半点,可以说是不堪一击。中国整体的网络安全状况比大家看到的还要差得多。”马杰一直从事网络安全服务,他对于当前的状况感到忧虑,“中国在网络安全上的投入非常不足,非常多的网站跟十几年前的电脑一样,都处于裸奔状态。”
青藤云安全CEO张福认为,互联网安全市场最大的矛盾,是传统安全产品服务不能满足新兴互联网企业的要求,而完全自建安全能力成本更加昂贵且可行度低。“整个互联网企业安全市场尚处于混沌和初级阶段”,张福说。
造成这个矛盾的原因,张福的解释是一边是高投入,一边是难以100%保障不出问题;一边是业务发展步伐要求敏捷灵活,一边是企业安全要求严格、全面。
青藤云安全曾接触过数十家互联网企业,发现互联网企业普遍都有对安全的需求,它们最看重的是投入及效果、可行度和灵活性、持续性。
互联网企业安全建设的痛点和麻烦都在于没有认真思考投入及效果、业务与安全的平衡,并基于对该平衡的认知来塑造企业的安全观念和安全体系。
创业企业如何自保?
携程的安全事故给创业企业敲响了警钟,即便像携程、阿里巴巴如此规模的上市公司,也会出现防不胜防的情况。作为初创型企业,如何在最大程度上规避安全风险?
青藤云安全CEO张福提到了六点建议:
1. 系统设置独立的强壮密码,不要和日常生活办公的聊天、论坛等互联网工具密码相符;
2. 安装的所有操作系统尽量从官方渠道下载;
3. 服务组件使用最新版本,及时更新并关注官方最新安全公告;
4. 操作系统至少每月进行一次更新,90天内必须重新设置密码;
5. 及时备份关键业务代码和数据(尽可能使用只读存储备份);
6. 操作系统及业务后台对来源IP进行登录限制。
百度云安全总监马杰提供了无需成本的两条安全原则:一是树立安全意识;二是进行数据备份。“你首先要有意识,没意识是白搭,这两家公司其实是有意识的,但我们初创型公司大部分是没有意识的。而数据备份不是简单的把数据存起来,真正的备份是你备份了,还有应急方案,能够在很短的时间,把数据恢复到生产环境中,并提供服务。”
下一篇:学习编程的七个阶段
