从携程网络瘫痪事件看中国互联网的裸奔

lacrosse

文/周路平、王奕   编辑/王冀

携程“瘫痪”了。5月28日上午11时许，部分用户突然发现携程旅行网及App无法访问，访问页面均显示404和Service Unavailable。不久后，该消息被官方证实。

下午15点59分，携程官方微博就网络瘫痪事件回应称：“今天上午，先森部分服务器疑似遭到不明攻击，导致官方网站及App暂时无法正常使用，经排查，数据保存完整。目前系统正在逐步恢复，详细原因也在调查中。”

令人感动的是，携程在无法访问的情况下，第一个想到的是自己的小伙伴，建议用户访问艺龙旅行网。结果，艺龙要哭了，几个小时后，用户发现艺龙也一度出现无法访问的情况。截止《创业家》记者发稿前，携程旅行网还显示正在紧急修复中。

携程到底怎么了？

作为两家在行业内公认为“非常重视网络安全问题”的上市公司，为何接连出现如此严重的安全事故？

根据网络流传的版本，此次携程网瘫痪的原因包括数据库被物理删除、员工恶意报复等。其中比较靠谱的一种说法是：乌云网发布了携程服务器的一个漏洞，估计携程技术人员就开始各种修复，然后在中午部署上线的时候，某技术人员由于人为操作失误删除了一个根目录文件，于是导致“灵异事件”发生，线上数据全部被删除。

早在2014年3月22日，漏洞报告平台乌云网就曾连续披露了两个携程网安全漏洞，漏洞存在泄漏用户姓名、身份证、银行卡类别、银行卡号、CVV码等信息的风险。

此前，携程官方微博曾发布信息称，携程官方和App无法正常使用是由于部分服务器遭到不明攻击。不过目前，携程官方微博已经删除了关于网站及App无法使用的任何说明。

“携程这种技术水平比较高的公司，在一个小时之内还没有恢复就已经可以判断是一个非常严重的事故了。”百度云安全总监马杰猜测，“这是一次比较大的内部数据丢失事故。”

青藤云安全团队负责人分析认为，携程此次问题并非网传的数据库物理删除，而是服务器上的业务组件被破坏。造成这次事故的原因可能是发布系统的配置错误导致相关组件损坏而无法正常工作，或是由于内部开发人员在之前版本预留了特定时间触发的恶意破坏代码。

国内网络安全现状堪忧

企业的网络安全风险往往来自多个方面。支付宝和携程前后两天暴露出的问题，是网络安全里面两个非常典型的问题，一个是链路层面的安全，一个是数据层面的安全，其它还有应用层面的入侵和网络层面的暴力型攻击等。

＂携程和支付宝是互联网领域非常重视安全的公司，并且技术水平也很高。在中国互联网领域，很多企业的情况跟这两家公司相比，都相距甚远。”马杰表示，“现在看来，即便这样技术水平和对安全重视程度都很高的公司，也有防不胜防的情况，中国整体的网络安全状况更令人堪忧。我一直从事网络安全服务，大多数互联网公司都投入不足，很多网站基本上没有有效的防护措施，可以说是正在裸奔。”

青藤云安全CEO张福认为，互联网安全市场最大的矛盾，是传统安全产品服务不能满足新兴互联网企业的要求，而完全自建安全能力成本更加昂贵且可行度低。“整个互联网企业安全市场尚处于混沌和初级阶段”，张福说。

造成这个矛盾的原因，张福的解释是一边是高投入，一边是难以100%保障不出问题；一边是业务发展步伐要求敏捷灵活，一边是企业安全要求严格、全面。

青藤云安全曾接触过数十家互联网企业，发现互联网企业普遍都有对安全的需求，它们最看重的是投入及效果、可行度和灵活性、持续性。

互联网企业安全建设的痛点和麻烦都在于没有认真思考投入及效果、业务与安全的平衡，并基于对该平衡的认知来塑造企业的安全观念和安全体系。

创业企业如何自保？

携程的安全事故给创业企业敲响了警钟，即便像携程、阿里巴巴如此规模的上市公司，也会出现防不胜防的情况。作为初创型企业，如何在最大程度上规避安全风险？

青藤云安全CEO张福提到了六点建议：

1. 系统设置独立的强壮密码，不要和日常生活办公的聊天、论坛等互联网工具密码相符；

2. 安装的所有操作系统尽量从官方渠道下载；

3. 服务组件使用最新版本，及时更新并关注官方最新安全公告；

4. 操作系统至少每月进行一次更新，90天内必须重新设置密码；

    5. 及时备份关键业务代码和数据（尽可能使用只读存储备份）；

6. 操作系统及业务后台对来源IP进行登录限制。

安全专家向创业者提供了两条无需什么成本的安全原则：

一是提高安全意识；二是进行数据备份。有信息意识是最重要的，也是一切安全的根本。相比这两家公司而言，很多初创型公司大部分没有足够的安全意识。而数据备份不是简单的把数据存起来，真正有效的备份是不但备份，还要有应急方案，能够在很短时间内，把数据还原到生产环境中，并恢复服务。