數據災備站在風口浪尖 P2P信息安全大考
責編:penggao |2015-06-06 21:48:29就在6月1日第二屆國家網絡安全周之際,支付寶、攜程相繼發生網絡故障,多家大型券商系統也出現故障和堵單的情況。互聯網企業,尤其是涉及金融服務的互聯網企業,其信息系統安全與災備正在受到廣泛關注。
對比已有成文規定的金融及非金融支付機構,P2P行業尚無統一的信息安全標準,也往往成為黑客攻擊的目標。采訪中記者發現,P2P企業的技術安全手段也各有不同。
P2P災備突顯
針對支付寶5月27日的故障,螞蟻金服大安全及平臺事業部高級安全策略專家馮力國6月2日在一次公開講座中表示,支付寶在多地有數據災備,并且實現了異地多活。平常為保證負載均衡對業務進行分流,但當某地網絡中斷時,系統會將那里的流量自動調到別處,保證用戶訪問不中斷。
“異地多活的技術目前升級完成了80%-90%,待完成升級后,再碰到光纜挖斷的情況,用戶可能就相對無感知了。”他表示。
一行業人士透露,異地災備一般是指部署A、B兩個數據中心。A作為日常訪問,B作為災備。在A服務出現問題后,B首先需要進行數據核對,確保無誤后才能啟用。異地多活則是指A、B都是真實業務訪問,出現問題后可以迅速響應。
廣州e貸CTO劉顯炎認為,光纜被挖斷就像火災、地震一樣,屬不可抗拒因素。他此前供職的某互聯網企業也曾遇到過光纜被挖的情況,只是因為用戶量相對沒有支付寶大,很快就恢復了,影響范圍也沒那么大。
支付寶事件令數據災備成為熱議話題
記者就機房部署及災備等問題分別向北京及廣東的4家平臺進行詢問。從結果來看,這4家平臺都是自建系統、自行管理維護運營,主機托管在專門的IDC機房。
對于尚處初創期的P2P行業來說,云技術也是普遍的選擇。位于北京的金融工場采用的是自建的私有云技術,除主機房外,還有應用服務的云技術、數據的同城容災和異地云備份。而積木盒子運維總監汪辰表示,目前在使用阿里云作為災備的站點,同時也在“準備建設自己的災備站”。
阿里云6月1日向本報記者透露,已有近1000家P2P企業采用了阿里云的服務,其中,P2P公司最多,此外還包括證券、保險、銀行等機構。
阿里云相關人士解釋,云可以理解為對傳統機房的替換。其特點首先在于彈性擴容,也就是遇到訪問量或交易量突然增加時快速擴容,如果是自建機房,包括服務器的采購、安裝和部署,可能需要數月,同等容量擴容在云上可能半個小時就可以實現。其次,云盾高防服務可以針對常見的DDOS攻擊提供流量清洗;再就是成本低,“比起自建機房的成本要便宜50%以上。”另外,對金融行業客戶,阿里云還提供異地災備的服務。
信息安全標準不明
對未曾經歷備災考驗的P2P來說,黑客攻擊是最為常見的網絡安全挑戰。在采訪中,4家平臺均表示受到過大面積的DDoS攻擊,但未對用戶的資金及賬戶信息造成影響。
劉顯炎認為,黑客攻擊常抱有幾種不同的目的性,一是證明自己的能力;二是同業競爭,打擊對手;再就是黑客產業鏈,有明確的利益需求。
幾家平臺提供的資料顯示,如防火墻、定期漏洞掃描、操作信息的SSL加密等安全性措施被普遍使用。
以第三方支付行業為例,連連支付CMO姚敏介紹,央行公示9家機構作為非金融機構支付服務業務的監測機構。雖然具體到各家的實際操作當中,具體流程可能不同,但2011年出臺的《非金融機構支付服務業務系統檢測認證管理規定》中對安全性檢測給出了相應的標準和檢測規范。但記者查閱幾家P2P行業自律性組織的相關文件,針對IT系統建立并沒有可供參照的詳細約束。
劉顯炎認為,對P2P的信息安全規則,可以參照金融機構來做,“畢竟涉及到錢的問題。”
汪辰表示完全贊同使用金融機構對信息安全的規定和認證,這樣可以有效地保證信息的安全。在數據的保密性、數據的使用流程監控等環節需要統一的安全標準。
雖然平臺自建系統仍然參差不齊,劉顯炎認為一些平臺直接購買第三方信息系統的做法隱藏著更大的風險。因為“關鍵數據全部在別人的手上”,同時平臺交易量及用戶規模快速擴張時難以提供相應的服務,無法滿足業務發展,可能引發風險。他判斷,這類平臺會越來少。
除了網絡安全、應用安全、數據安全之外,劉顯炎表示業務規則的設計以及用戶自身的風險也都可能產生影響。他舉例表示,有些用戶習慣于在不同網站使用統一密碼,或者使用生日、手機號等作為密碼。有些網站安全系數比較低,容易被盜號,進而影響客戶P2P平臺的賬戶安全。
姚敏也認為,目前第三方支付機構中比較常見的信息安全性事件在于用戶對信息的保護意識不夠,將個人信息隨意告訴同事、朋友或家屬。她表示,安全與多種因素相關,需要全社會共同來維護。