就在6月1日第二屆國(guó)家網(wǎng)絡(luò)安全周之際,支付寶、攜程相繼發(fā)生網(wǎng)絡(luò)故障,多家大型券商系統(tǒng)也出現(xiàn)故障和堵單的情況。互聯(lián)網(wǎng)企業(yè),尤其是涉及金融服務(wù)的互聯(lián)網(wǎng)企業(yè),其信息系統(tǒng)安全與災(zāi)備正在受到廣泛關(guān)注。
對(duì)比已有成文規(guī)定的金融及非金融支付機(jī)構(gòu),P2P行業(yè)尚無統(tǒng)一的信息安全標(biāo)準(zhǔn),也往往成為黑客攻擊的目標(biāo)。采訪中記者發(fā)現(xiàn),P2P企業(yè)的技術(shù)安全手段也各有不同。
P2P災(zāi)備突顯
針對(duì)支付寶5月27日的故障,螞蟻金服大安全及平臺(tái)事業(yè)部高級(jí)安全策略專家馮力國(guó)6月2日在一次公開講座中表示,支付寶在多地有數(shù)據(jù)災(zāi)備,并且實(shí)現(xiàn)了異地多活。平常為保證負(fù)載均衡對(duì)業(yè)務(wù)進(jìn)行分流,但當(dāng)某地網(wǎng)絡(luò)中斷時(shí),系統(tǒng)會(huì)將那里的流量自動(dòng)調(diào)到別處,保證用戶訪問不中斷。
“異地多活的技術(shù)目前升級(jí)完成了80%-90%,待完成升級(jí)后,再碰到光纜挖斷的情況,用戶可能就相對(duì)無感知了。”他表示。
一行業(yè)人士透露,異地災(zāi)備一般是指部署A、B兩個(gè)數(shù)據(jù)中心。A作為日常訪問,B作為災(zāi)備。在A服務(wù)出現(xiàn)問題后,B首先需要進(jìn)行數(shù)據(jù)核對(duì),確保無誤后才能啟用。異地多活則是指A、B都是真實(shí)業(yè)務(wù)訪問,出現(xiàn)問題后可以迅速響應(yīng)。
廣州e貸CTO劉顯炎認(rèn)為,光纜被挖斷就像火災(zāi)、地震一樣,屬不可抗拒因素。他此前供職的某互聯(lián)網(wǎng)企業(yè)也曾遇到過光纜被挖的情況,只是因?yàn)橛脩袅肯鄬?duì)沒有支付寶大,很快就恢復(fù)了,影響范圍也沒那么大。
支付寶事件令數(shù)據(jù)災(zāi)備成為熱議話題。
《華夏時(shí)報(bào)》記者就機(jī)房部署及災(zāi)備等問題分別向北京及廣東的4家平臺(tái)進(jìn)行詢問。從結(jié)果來看,這4家平臺(tái)都是自建系統(tǒng)、自行管理維護(hù)運(yùn)營(yíng),主機(jī)托管在專門的IDC機(jī)房。
對(duì)于尚處初創(chuàng)期的P2P行業(yè)來說,云技術(shù)也是普遍的選擇。位于北京的金融工場(chǎng)采用的是自建的私有云技術(shù),除主機(jī)房外,還有應(yīng)用服務(wù)的云技術(shù)、數(shù)據(jù)的同城容災(zāi)和異地云備份。而積木盒子運(yùn)維總監(jiān)汪辰表示,目前在使用阿里云作為災(zāi)備的站點(diǎn),同時(shí)也在“準(zhǔn)備建設(shè)自己的災(zāi)備站”。
阿里云6月1日向本報(bào)記者透露,已有近1000家P2P企業(yè)采用了阿里云的服務(wù),其中,P2P公司最多,此外還包括證券、保險(xiǎn)、銀行等機(jī)構(gòu)。
阿里云相關(guān)人士解釋,云可以理解為對(duì)傳統(tǒng)機(jī)房的替換。其特點(diǎn)首先在于彈性擴(kuò)容,也就是遇到訪問量或交易量突然增加時(shí)快速擴(kuò)容,如果是自建機(jī)房,包括服務(wù)器的采購(gòu)、安裝和部署,可能需要數(shù)月,同等容量擴(kuò)容在云上可能半個(gè)小時(shí)就可以實(shí)現(xiàn)。其次,云盾高防服務(wù)可以針對(duì)常見的DDOS攻擊提供流量清洗;再就是成本低,“比起自建機(jī)房的成本要便宜50%以上。”另外,對(duì)金融行業(yè)客戶,阿里云還提供異地災(zāi)備的服務(wù)。
信息安全標(biāo)準(zhǔn)不明
對(duì)未曾經(jīng)歷備災(zāi)考驗(yàn)的P2P來說,黑客攻擊是最為常見的網(wǎng)絡(luò)安全挑戰(zhàn)。在本報(bào)記者的采訪中,4家平臺(tái)均表示受到過大面積的DDOS攻擊,但未對(duì)用戶的資金及賬戶信息造成影響。
劉顯炎認(rèn)為,黑客攻擊常抱有幾種不同的目的性,一是證明自己的能力;二是同業(yè)競(jìng)爭(zhēng),打擊對(duì)手;再就是黑客產(chǎn)業(yè)鏈,有明確的利益需求。
幾家平臺(tái)提供的資料顯示,如防火墻、定期漏洞掃描、操作信息的SSL加密等安全性措施被普遍使用。
以第三方支付行業(yè)為例,連連支付CMO姚敏介紹,央行公示9家機(jī)構(gòu)作為非金融機(jī)構(gòu)支付服務(wù)業(yè)務(wù)的監(jiān)測(cè)機(jī)構(gòu)。雖然具體到各家的實(shí)際操作當(dāng)中,具體流程可能不同,但2011年出臺(tái)的《非金融機(jī)構(gòu)支付服務(wù)業(yè)務(wù)系統(tǒng)檢測(cè)認(rèn)證管理規(guī)定》中對(duì)安全性檢測(cè)給出了相應(yīng)的標(biāo)準(zhǔn)和檢測(cè)規(guī)范。但記者查閱幾家P2P行業(yè)自律性組織的相關(guān)文件,針對(duì)IT系統(tǒng)建立并沒有可供參照的詳細(xì)約束。
劉顯炎認(rèn)為,對(duì)P2P的信息安全規(guī)則,可以參照金融機(jī)構(gòu)來做,“畢竟涉及到錢的問題。”
汪辰表示完全贊同使用金融機(jī)構(gòu)對(duì)信息安全的規(guī)定和認(rèn)證,這樣可以有效地保證信息的安全。在數(shù)據(jù)的保密性、數(shù)據(jù)的使用流程監(jiān)控等環(huán)節(jié)需要統(tǒng)一的安全標(biāo)準(zhǔn)。
雖然平臺(tái)自建系統(tǒng)仍然參差不齊,劉顯炎認(rèn)為一些平臺(tái)直接購(gòu)買第三方信息系統(tǒng)的做法隱藏著更大的風(fēng)險(xiǎn)。因?yàn)?ldquo;關(guān)鍵數(shù)據(jù)全部在別人的手上”,同時(shí)平臺(tái)交易量及用戶規(guī)模快速擴(kuò)張時(shí)難以提供相應(yīng)的服務(wù),無法滿足業(yè)務(wù)發(fā)展,可能引發(fā)風(fēng)險(xiǎn)。他判斷,這類平臺(tái)會(huì)越來少。
除了網(wǎng)絡(luò)安全、應(yīng)用安全、數(shù)據(jù)安全之外,劉顯炎表示業(yè)務(wù)規(guī)則的設(shè)計(jì)以及用戶自身的風(fēng)險(xiǎn)也都可能產(chǎn)生影響。他舉例表示,有些用戶習(xí)慣于在不同網(wǎng)站使用統(tǒng)一密碼,或者使用生日、手機(jī)號(hào)等作為密碼。有些網(wǎng)站安全系數(shù)比較低,容易被盜號(hào),進(jìn)而影響客戶P2P平臺(tái)的賬戶安全。
姚敏也認(rèn)為,目前第三方支付機(jī)構(gòu)中比較常見的信息安全性事件在于用戶對(duì)信息的保護(hù)意識(shí)不夠,將個(gè)人信息隨意告訴同事、朋友或家屬。她表示,安全與多種因素相關(guān),需要全社會(huì)共同來維護(hù)。
京公網(wǎng)安備 11010502049343號(hào)