2015年5月末攜程、支付寶事件分析

攜程

5月28日中午11時(shí)9分開始，不少用戶發(fā)現(xiàn)在線旅游網(wǎng)站攜程無(wú)法打開，其APP也無(wú)法使用。到28日21點(diǎn)30分，攜程部分網(wǎng)頁(yè)已可以打開，但仍不能預(yù)訂。直到28日23點(diǎn)29分才完全恢復(fù)正常。

受此影響，28日攜程股價(jià)盤前暴跌11.67%，報(bào)72美元。如果以攜程一季度凈營(yíng)業(yè)收入23億元計(jì)算，攜程癱瘓每小時(shí)損失或達(dá)106.5萬(wàn)美元。

事發(fā)后，在微博、微信等社交媒體迅速、廣泛傳播，新浪科技專題滾動(dòng)直播事件處理進(jìn)展，多家網(wǎng)站報(bào)道該事件。短時(shí)間內(nèi)，公眾對(duì)事件原因眾說(shuō)紛紜，包括外部攻擊、內(nèi)部員工誤操作、離職員工惡意攻擊等等，甚至有傳言攜程全線酒店數(shù)據(jù)庫(kù)遭到了物理刪除。

攜程在5月29日表示，經(jīng)攜程技術(shù)排查，確認(rèn)此次事件是由于員工錯(cuò)誤操作，刪除了生產(chǎn)服務(wù)器上的執(zhí)行代碼導(dǎo)致，并保證數(shù)據(jù)和數(shù)據(jù)庫(kù)并未受到此次事件的影響，用戶訂單數(shù)據(jù)也完整無(wú)損。

從攜程的正式表態(tài)看，故障原因是代碼被誤刪除，進(jìn)而導(dǎo)致系統(tǒng)大面積故障。那么，從事件中所執(zhí)行的操作看，是敏感的刪除操作；從事件引發(fā)的后果看，被刪除的代碼應(yīng)是極為敏感、重要的代碼；從事件發(fā)生的時(shí)間看，這一敏感操作發(fā)生在上午11點(diǎn)左右的正常營(yíng)運(yùn)時(shí)間；從事件發(fā)生的環(huán)境看，是生產(chǎn)環(huán)境而不是測(cè)試、開發(fā)環(huán)境；從事件持續(xù)的時(shí)間看，數(shù)據(jù)恢復(fù)、內(nèi)部調(diào)試的時(shí)間長(zhǎng)達(dá)12小時(shí)。

這就暴露出攜程存在嚴(yán)重的內(nèi)部管理漏洞：

第一，內(nèi)部人員在業(yè)務(wù)運(yùn)營(yíng)時(shí)間、在生產(chǎn)環(huán)境，執(zhí)行重要、敏感的操作，表明攜程缺少對(duì)重要生產(chǎn)變更風(fēng)險(xiǎn)的基本控制，而且，如果是內(nèi)部人員在未授權(quán)的情況下開展這些操作，更說(shuō)明攜程在訪問權(quán)限特別是高級(jí)、敏感權(quán)限的控制方面存在極為嚴(yán)重的漏洞；

第二，作為NASDAQ上市公司，需要遵守美國(guó)SOX法案的有關(guān)要求，攜程應(yīng)有較為完備的數(shù)據(jù)備份措施，但是在有備份的情況下，通常數(shù)據(jù)恢復(fù)應(yīng)在1到3個(gè)小時(shí)內(nèi)完成，攜程的實(shí)際處置時(shí)間為12小時(shí)，這就暴露出攜程對(duì)于信息系統(tǒng)突發(fā)事件的應(yīng)對(duì)能力存在較大的缺陷，其備份數(shù)據(jù)恢復(fù)測(cè)試、突發(fā)事件的應(yīng)急預(yù)案與應(yīng)急演練方面很可能都存在漏洞；

第三，由于未見到有關(guān)攜程啟動(dòng)災(zāi)備措施的報(bào)道，有理由懷疑攜程缺少信息系統(tǒng)的災(zāi)難備份，作為一家規(guī)模較大、客戶眾多、對(duì)服務(wù)響應(yīng)時(shí)間要求較高的互聯(lián)網(wǎng)公司，應(yīng)建立自己的災(zāi)難備份系統(tǒng)。

同時(shí)，此次事件也對(duì)高輿論壓力下的信息系統(tǒng)災(zāi)難事件恢復(fù)有所借鑒。由于社交媒體、網(wǎng)絡(luò)媒體的高度發(fā)達(dá)，作為公眾公司的攜程對(duì)于此次故障的處理全程處于聚光燈下，基本做到了與媒體的及時(shí)溝通以緩釋輿論壓力。

官方回應(yīng)

攜程方面向環(huán)球網(wǎng)科技表示，經(jīng)攜程技術(shù)排查，確認(rèn)此次事件是由于員工錯(cuò)誤操作，刪除了生產(chǎn)服務(wù)器上的執(zhí)行代碼導(dǎo)致。

從11:09到23:29，為什么恢復(fù)時(shí)間那么長(zhǎng)？攜程方面向環(huán)球網(wǎng)科技表示，一般來(lái)說(shuō)，類似攜程這樣的大型網(wǎng)站承載著繁多業(yè)務(wù)，其后臺(tái)是一個(gè)由SOA(面向服務(wù))架構(gòu)組成的龐大服務(wù)器集群群，看似簡(jiǎn)單的一個(gè)頁(yè)面背后由上千個(gè)應(yīng)用子系統(tǒng)以及上千個(gè)Web Service組成，而每個(gè)應(yīng)用子系統(tǒng)和每個(gè)Web Service之間都存在著相互調(diào)用的依賴關(guān)系。

發(fā)生事件后，攜程的技術(shù)人員除了需要恢復(fù)生產(chǎn)服務(wù)器上的執(zhí)行代碼以外，還需要做的是恢復(fù)并確保每個(gè)應(yīng)用子系統(tǒng)以及每個(gè)Web Service的功能正常，同時(shí)確保應(yīng)用子系統(tǒng)與Web Service間的調(diào)用關(guān)系得以正常執(zhí)行。

這種驗(yàn)證性的操作需要攜程的工程師及運(yùn)維人員通力合作，盡快恢復(fù)生產(chǎn)代碼并通過反復(fù)地、持續(xù)性地調(diào)試以確保應(yīng)用子系統(tǒng)與Web Service功能的正常運(yùn)行。

攜程再次保證，數(shù)據(jù)和數(shù)據(jù)庫(kù)并未受到此次事件的影響，用戶訂單數(shù)據(jù)也完整無(wú)損，請(qǐng)用戶放心并繼續(xù)使用攜程網(wǎng)站及App。

如何杜絕此類事件的再次發(fā)生？攜程表示，攜程在系統(tǒng)上做了改進(jìn)，規(guī)范并杜絕技術(shù)人員錯(cuò)誤刪除生產(chǎn)服務(wù)器上代碼的操作。

其他回應(yīng)

一位不愿透露姓名的知情人士向記者透露，以攜程積累的技術(shù)實(shí)力，即便全網(wǎng)被攻擊，要恢復(fù)數(shù)據(jù)最多也只需要一個(gè)小時(shí)。但已經(jīng)過去若干小時(shí)，攜程數(shù)據(jù)仍沒有恢復(fù)。這些數(shù)據(jù)涉及兩個(gè)層面，一個(gè)是應(yīng)用層面，也就是鏈接跳轉(zhuǎn)和頁(yè)面調(diào)度，一個(gè)是數(shù)據(jù)層面，如訂單生成等，目前來(lái)看，主要問題出在應(yīng)用層面，這可以說(shuō)是攜程發(fā)展16年來(lái)遇到的最大危機(jī)，攜程懷疑有內(nèi)鬼搞破壞，可能還要報(bào)案。當(dāng)然，如果是內(nèi)部人員“不小心”永久刪除了一個(gè)重要數(shù)據(jù)文件，導(dǎo)致恢復(fù)的內(nèi)容無(wú)法匹配，也反映出攜程內(nèi)部管理出現(xiàn)嚴(yán)重漏洞。

獵豹移動(dòng)安全專家李鐵軍接受記者采訪時(shí)表示，攜程服務(wù)中斷極有可能是內(nèi)部管理失控導(dǎo)致，通常黑客從外部攻擊很難做到讓數(shù)據(jù)大量丟失，且備份遠(yuǎn)不至于拖延太久。通常黑客入侵往往只是悄無(wú)聲息地拿走核心數(shù)據(jù)，一般不會(huì)進(jìn)行破壞性操作。攜程這次事故綜合各方面信息來(lái)看，像內(nèi)部人員所為（有可能已經(jīng)造成數(shù)據(jù)損失）。以往攜程方面也曾經(jīng)被披露過一些安全漏洞，這些漏洞幾乎不影響該公司的正常業(yè)務(wù)，受到威脅的往往只是用戶。

業(yè)內(nèi)人士表示，擁有大數(shù)據(jù)的互聯(lián)網(wǎng)公司應(yīng)對(duì)天災(zāi)人禍有一套嚴(yán)格的防范措施。災(zāi)備系統(tǒng)。同時(shí)，三份之一的安全問題是人為操作導(dǎo)致，人為安全問題需要制度、流程、技術(shù)手段方面的防控。

支付寶

螞蟻金服集團(tuán)旗下的浙江網(wǎng)上銀行在5月27日正式獲批開業(yè)，同日，阿里集團(tuán)下重要的產(chǎn)品——支付寶發(fā)生了大約2.5小時(shí)的中斷。支付寶官方給出的解釋是通信光纜被施工人員挖斷，造成網(wǎng)絡(luò)中斷。中國(guó)電信對(duì)事件的表態(tài)與支付寶的解釋一致。

對(duì)此次事件，批評(píng)者認(rèn)為支付寶還缺少金融級(jí)的信息系統(tǒng)災(zāi)難恢復(fù)能力，原因顯而易見，支付寶沒有做到迅速切換至備份網(wǎng)絡(luò)通信線路。但是支付寶對(duì)此不置可否，況且，還進(jìn)一步釋放消息稱此事件表現(xiàn)出阿里云計(jì)算架構(gòu)的優(yōu)勢(shì)。

有賴于阿里集團(tuán)一貫出色的公關(guān)能力，此事件的相關(guān)深入分析并不多見。但是，當(dāng)前，支付寶的影響力已經(jīng)不容忽視，其風(fēng)險(xiǎn)已經(jīng)能夠?qū)φ麄€(gè)社會(huì)秩序產(chǎn)生較大的影響，對(duì)其應(yīng)按照或參照更加嚴(yán)格的金融業(yè)標(biāo)準(zhǔn)進(jìn)行監(jiān)管以控制風(fēng)險(xiǎn)。