河北福利彩票|天津福利彩票网
全國免費熱線:
攜程事件解析:嚴重的數據丟失,但更多網站在裸奔
作者:admin 點擊:8369次 日期:2015-06-02
字號::T | T
      支付寶被挖斷光纖的事情未了,攜程又遭遇網站長時間癱瘓。國內安全人士稱,對于兩個上市公司接連出現如此嚴重的網絡安全問題感到驚訝。而事實上,這兩家公司一直“非常重視”網絡安全問題。

      攜程“癱瘓”了。5月28日上午11時許,部分用戶突然發現攜程旅行網及App無法訪問,訪問頁面均顯示404和Service Unavailable。不久后,該消息被官方證實。
下午15點59分,攜程官方微博就網絡癱瘓事件回應稱:“今天上午,先森部分服務器疑似遭到不明攻擊,導致官方網站及App暫時無法正常使用,經排查,數據保存完整。目前系統正在逐步恢復,詳細原因也在調查中。”
      令人感動的是,攜程在無法訪問的情況下,第一個想到的是自己的小伙伴,建議用戶訪問藝龍旅行網。結果,藝龍要哭了,幾個小時后,用戶發現藝龍也一度出現無法訪問的情況。截止《創業家》記者發稿前,攜程旅行網還顯示正在緊急修復中。
      攜程到底怎么了?
      作為兩家在行業內公認為“非常重視網絡安全問題”的上市公司,為何接連出現如此嚴重的安全事故?
      根據網絡流傳的版本,此次攜程網癱瘓的原因包括數據庫被物理刪除、員工惡意報復等。其中比較靠譜的一種說法是:烏云網發布了攜程服務器的一個漏洞,估計攜程技術人員就開始各種修復,然后在中午部署上線的時候,某技術人員由于人為操作失誤刪除了一個根目錄文件,于是導致“靈異事件”發生,線上數據全部被刪除。
      早在2014年3月22日,漏洞報告平臺烏云網就曾連續披露了兩個攜程網安全漏洞,漏洞存在泄漏用戶姓名、身份證、銀行卡類別、銀行卡號、CVV碼等信息的風險。
      此前,攜程官方微博曾發布信息稱,攜程官方和App無法正常使用是由于部分服務器遭到不明攻擊。不過目前,攜程官方微博已經刪除了關于網站及App無法使用的任何說明。
      “攜程這種水平的公司,在一個小時之內還沒有恢復就已經可以判斷是一個非常嚴重的事故了。”黑馬營五期學員、百度云安全總監馬杰是國內頂尖的網絡安全專家之一,曾在瑞星開發了大量企業級安全產品。他認為,“這是一次比較大的內部數據丟失事故。”
      青藤云安全團隊負責人分析認為,攜程此次問題并非網傳的數據庫物理刪除,而是服務器上的業務組件被破壞。造成這次事故的原因可能是發布系統的配置錯誤導致相關組件損壞而無法正常工作,或是由于內部開發人員在之前版本預留了特定時間觸發的惡意破壞代碼。
      國內網絡安全現狀堪憂
      企業的網絡安全風險往往來自多個方面。不過,支付寶和攜程前后兩天暴露出的問題,是網絡安全領域兩個非常典型的問題,一個是鏈路層面的安全,一個是數據層面的安全。
      “在我們看到的這么多公司當中,攜程和支付寶是非常重視安全的了。很多公司的網絡安全情況比這兩家公司差得真不是一點半點,可以說是不堪一擊。中國整體的網絡安全狀況比大家看到的還要差得多。”馬杰一直從事網絡安全服務,他對于當前的狀況感到憂慮,“中國在網絡安全上的投入非常不足,非常多的網站跟十幾年前的電腦一樣,都處于裸奔狀態。”
青藤云安全CEO張福認為,互聯網安全市場最大的矛盾,是傳統安全產品服務不能滿足新興互聯網企業的要求,而完全自建安全能力成本更加昂貴且可行度低。“整個互聯網企業安全市場尚處于混沌和初級階段”,張福說。
      造成這個矛盾的原因,張福的解釋是一邊是高投入,一邊是難以100%保障不出問題;一邊是業務發展步伐要求敏捷靈活,一邊是企業安全要求嚴格、全面。
青藤云安全曾接觸過數十家互聯網企業,發現互聯網企業普遍都有對安全的需求,它們最看重的是投入及效果、可行度和靈活性、持續性。
互聯網企業安全建設的痛點和麻煩都在于沒有認真思考投入及效果、業務與安全的平衡,并基于對該平衡的認知來塑造企業的安全觀念和安全體系。
      創業企業如何自保?
      攜程的安全事故給創業企業敲響了警鐘,即便像攜程、阿里巴巴如此規模的上市公司,也會出現防不勝防的情況。作為初創型企業,如何在最大程度上規避安全風險?
      青藤云安全CEO張福提到了六點建議:
      1. 系統設置獨立的強壯密碼,不要和日常生活辦公的聊天、論壇等互聯網工具密碼相符;
      2. 安裝的所有操作系統盡量從官方渠道下載;
      3. 服務組件使用最新版本,及時更新并關注官方最新安全公告;
      4. 操作系統至少每月進行一次更新,90天內必須重新設置密碼;
      5. 及時備份關鍵業務代碼和數據(盡可能使用只讀存儲備份);
      6. 操作系統及業務后臺對來源IP進行登錄限制。
      百度云安全總監馬杰提供了無需成本的兩條安全原則:一是樹立安全意識;二是進行數據備份。“你首先要有意識,沒意識是白搭,這兩家公司其實是有意識的,但我們初創型公司大部分是沒有意識的。而數據備份不是簡單的把數據存起來,真正的備份是你備份了,還有應急方案,能夠在很短的時間,把數據恢復到生產環境中,并提供服務。”

發表評論

昵稱 * 驗證碼 * 驗證碼
上一篇: 如何將營銷做到極致
下一篇: 6月的云南,除了南博會,依然繼續著節日模式

資質證書

CMMI Ⅲ APPRAISAL ID:30062
ISO9001:08915Q20090ROS
ISO27001:04817I20037R0S
高新技術企業:GR201753000141
網站問題免費診斷

電子商務三位一體發展戰略

技術研發

業務培訓

實戰運營

戰略布局

河北福利彩票 时时彩一期一计划大小单双 广东福彩如何用电子投注 广东福彩手机投注 极速赛车两面盘怎么玩 时时彩后三胆组怎么玩 时时彩稳赚组六 竞猜赚钱 彩票刷流水 一直平刷组六 天津双色球一等奖12注