就在6月1日第二届国家网络安全周之际,支付宝、携程相继发生网络故障,多家大型券商系统也出现故障和堵单的情况。互联网企业,尤其是涉及金融服务的互联网企业,其信息系统安全与灾备正在受到广泛关注。
对比已有成文规定的金融及非金融支付机构,P2P行业尚无统一的信息安全标准,也往往成为黑客攻击的目标。采访中记者发现,P2P企业的技术安全手段也各有不同。
针对支付宝5月27日的故障,蚂蚁金服大安全及平台事业部高级安全策略专家冯力国6月2日在一次公开讲座中表示,支付宝在多地有数据灾备,并且实现了异地多活。平常为保证负载均衡对业务进行分流,但当某地网络中断时,系统会将那里的流量自动调到别处,保证用户访问不中断。
“异地多活的技术目前升级完成了80%-90%,待完成升级后,再碰到光缆挖断的情况,用户可能就相对无感知了。”他表示。
一行业人士透露,异地灾备一般是指部署A、B两个数据中心。A作为日常访问,B作为灾备。在A服务出现问题后,B首先需要进行数据核对,确保无误后才能启用。异地多活则是指A、B都是真实业务访问,出现问题后可以迅速响应。
广州e贷CTO刘显炎认为,光缆被挖断就像火灾、地震一样,属不可抗拒因素。他此前供职的某互联网企业也曾遇到过光缆被挖的情况,只是因为用户量相对没有支付宝大,很快就恢复了,影响范围也没那么大。
记者就机房部署及灾备等问题分别向北京及广东的4家平台进行询问。从结果来看,这4家平台都是自建系统、自行管理维护运营,主机托管在专门的IDC机房。
对于尚处初创期的P2P行业来说,云技术也是普遍的选择。位于北京的金融工场采用的是自建的私有云技术,除主机房外,还有应用服务的云技术、数据的同城容灾和异地云备份。而积木盒子运维总监汪辰表示,目前在使用阿里云作为灾备的站点,同时也在“准备建设自己的灾备站”。
阿里云6月1日向本报记者透露,已有近1000家P2P企业采用了阿里云的服务,其中,P2P公司最多,此外还包括证券、保险、银行等机构。
阿里云相关人士解释,云可以理解为对传统机房的替换。其特点首先在于弹性扩容,也就是遇到访问量或交易量突然增加时快速扩容,如果是自建机房,包括服务器的采购、安装和部署,可能需要数月,同等容量扩容在云上可能半个小时就可以实现。其次,云盾高防服务可以针对常见的DDOS攻击提供流量清洗;再就是成本低,“比起自建机房的成本要便宜50%以上。”另外,对金融行业客户,阿里云还提供异地灾备的服务。
对未曾经历备灾考验的P2P来说,黑客攻击是最为常见的网络安全挑战。在采访中,4家平台均表示受到过大面积的DDoS攻击,但未对用户的资金及账户信息造成影响。
刘显炎认为,黑客攻击常抱有几种不同的目的性,一是证明自己的能力;二是同业竞争,打击对手;再就是黑客产业链,有明确的利益需求。
几家平台提供的资料显示,如防火墙、定期漏洞扫描、操作信息的SSL加密等安全性措施被普遍使用。
以第三方支付行业为例,连连支付CMO姚敏介绍,央行公示9家机构作为非金融机构支付服务业务的监测机构。虽然具体到各家的实际操作当中,具体流程可能不同,但2011年出台的《非金融机构支付服务业务系统检测认证管理规定》中对安全性检测给出了相应的标准和检测规范。但记者查阅几家P2P行业自律性组织的相关文件,针对IT系统建立并没有可供参照的详细约束。
刘显炎认为,对P2P的信息安全规则,可以参照金融机构来做,“毕竟涉及到钱的问题。”
汪辰表示完全赞同使用金融机构对信息安全的规定和认证,这样可以有效地保证信息的安全。在数据的保密性、数据的使用流程监控等环节需要统一的安全标准。
虽然平台自建系统仍然参差不齐,刘显炎认为一些平台直接购买第三方信息系统的做法隐藏着更大的风险。因为“关键数据全部在别人的手上”,同时平台交易量及用户规模快速扩张时难以提供相应的服务,无法满足业务发展,可能引发风险。他判断,这类平台会越来少。
除了网络安全、应用安全、数据安全之外,刘显炎表示业务规则的设计以及用户自身的风险也都可能产生影响。他举例表示,有些用户习惯于在不同网站使用统一密码,或者使用生日、手机号等作为密码。有些网站安全系数比较低,容易被盗号,进而影响客户P2P平台的账户安全。
姚敏也认为,目前第三方支付机构中比较常见的信息安全性事件在于用户对信息的保护意识不够,将个人信息随意告诉同事、朋友或家属。她表示,安全与多种因素相关,需要全社会共同来维护。