攜程與支付寶“宕機(jī)”事件一出，便引起軒然大波，但這并非偶然事件。在更早之前的2014年，國(guó)內(nèi)知名漏洞報(bào)告平臺(tái)“烏云網(wǎng)”便公布了攜程由于支付漏洞導(dǎo)致的用戶信息泄露事件，泄露信息包括用戶姓名、身份證、銀行卡號(hào)等個(gè)人信息。近年來(lái)，每個(gè)人都能感受到互聯(lián)網(wǎng)帶來(lái)的方便快捷，但持續(xù)的安全事件也暴露出互聯(lián)網(wǎng)公司滯后的安全措施。

　　系統(tǒng)癱瘓后，為何會(huì)有長(zhǎng)達(dá)12小時(shí)的恢復(fù)時(shí)間？攜程對(duì)此解釋為后臺(tái)提供支持和服務(wù)的子系統(tǒng)眾多，技術(shù)人員需要恢復(fù)并確保每個(gè)子系統(tǒng)及Web Service的功能正常，還要同時(shí)確保每個(gè)子系統(tǒng)與WebService之間的調(diào)用關(guān)系得以正常執(zhí)行。因此需耗費(fèi)長(zhǎng)時(shí)間來(lái)進(jìn)行調(diào)試。

　　攜程的技術(shù)架構(gòu)代表著現(xiàn)在主流的IT架構(gòu)方向。隨著技術(shù)的發(fā)展，用戶在使用互聯(lián)網(wǎng)服務(wù)時(shí)，后端的技術(shù)越來(lái)越不可見(jiàn)。但是在后端，每一個(gè)服務(wù)可能都有數(shù)百上千臺(tái)服務(wù)器同時(shí)提供支撐服務(wù)，還包括因?yàn)殛P(guān)聯(lián)關(guān)系產(chǎn)生的其他子系統(tǒng)的調(diào)用。用戶量越大的系統(tǒng)，其IT系統(tǒng)的復(fù)雜程度越高。這樣的IT環(huán)境也決定了在做安全防護(hù)時(shí)需要注意的事項(xiàng)更多，需要在安全上的投入更多。

　　但是作為一個(gè)不產(chǎn)生直接經(jīng)濟(jì)效益的崗位，長(zhǎng)期以來(lái)，系統(tǒng)運(yùn)維和安全防護(hù)在企業(yè)內(nèi)部得不到太多的重視。在烏云漏洞平臺(tái)上，可以直觀看到每天被提交公布的漏洞數(shù)量，其中不乏知名公司。

　　如攜程這般SOA架構(gòu)的網(wǎng)站，后臺(tái)有上千個(gè)應(yīng)用子系統(tǒng)組成。由于現(xiàn)今互聯(lián)網(wǎng)架構(gòu)本身就是各種松散耦合的系統(tǒng)，彼此之間相互依賴，相互調(diào)用，因而任何一個(gè)系統(tǒng)甚至組件出現(xiàn)問(wèn)題，都有可能影響到整個(gè)系統(tǒng)的安全。當(dāng)初OPEN SLL漏洞造成全球范圍內(nèi)影響的案例，如今并不鮮見(jiàn)。因此，企業(yè)對(duì)于安全人員的技術(shù)要求也在不斷提高，需要時(shí)刻保持信息更新。安全問(wèn)題本身永遠(yuǎn)沒(méi)有盡頭。

　　筆者曾經(jīng)服務(wù)于一家提供容災(zāi)軟件（即在遭遇災(zāi)害時(shí)保證信息系統(tǒng)正常運(yùn)行，幫助企業(yè)實(shí)現(xiàn)業(yè)務(wù)連續(xù)性目標(biāo)的軟件）的服務(wù)商。一般在容災(zāi)方案中都會(huì)列有相應(yīng)的容災(zāi)演練方案，但實(shí)際的情況是，超過(guò)90%的客戶不會(huì)進(jìn)行相應(yīng)的容災(zāi)演練。因?yàn)檫@樣的演練在任何一家公司都是耗時(shí)耗力的過(guò)程，不僅牽涉所有系統(tǒng)依賴關(guān)系的梳理，還涉及到每個(gè)業(yè)務(wù)部門(mén)的管理協(xié)調(diào)。在沒(méi)有發(fā)生事故之前，這樣的演練很難形成長(zhǎng)期制度。由此也可以理解，為何攜程在事故發(fā)生后花費(fèi)長(zhǎng)時(shí)間才能恢復(fù)。只有在企業(yè)內(nèi)部形成完整的安全流程，并徹底執(zhí)行之，才能最大限度減少安全事件的危害。

　　互聯(lián)網(wǎng)發(fā)展至今，已愈發(fā)成為日常生活中不可或缺的基礎(chǔ)服務(wù)，處于行業(yè)主導(dǎo)地位的互聯(lián)網(wǎng)企業(yè)為用戶提供了絕大多數(shù)的信息服務(wù)。他們對(duì)用戶的價(jià)值，實(shí)際上已不亞于類似電信、電力這樣的企業(yè)，他們的崩潰也將是一個(gè)普遍性的災(zāi)難。但是，從行業(yè)層面而言，企業(yè)大都把目光投向新的業(yè)務(wù)、新的增長(zhǎng)點(diǎn)，對(duì)于系統(tǒng)安全不加以重視；從法律層面而言，沒(méi)有相應(yīng)規(guī)定或者法規(guī)對(duì)互聯(lián)網(wǎng)服務(wù)提供者的安全行為加以規(guī)范。任何行業(yè)的安全，都需要企業(yè)花一百分的精力去防止萬(wàn)分之一的可能。在此之中，需要企業(yè)的社會(huì)責(zé)任感，還需要監(jiān)管機(jī)構(gòu)的力度。

　　張俊峰

關(guān)注讀覽天下微信， 100萬(wàn)篇深度好文， 等你來(lái)看……