接踵而来的中国网络安全事件,让人们不得不再度审视一个现实:在享受网络便利的同时,谁为安全受损买单?这个问题虽从一开始就很重要,但现在变成了生死攸关。
5月27日下午5点,拥有将近3亿活跃用户的支付宝出现了大面积访问故障,全国多省市支付宝用户出现手机和电脑支付宝无法登录、余额错误等问题。第二天,携程网爆出因数据库被物理删除,携程网站及APP陷入瘫痪状态12个小时,页面无法打开。
继支付宝、携程系统瘫痪后,5月29日上午,多个券商交易系统不堪大量交易重负,也出现了接连宕机事件。
6月12日,美国驻华大使馆官网发布信息称,“美国国务院领事事务局正经历海外护照和签证系统的技术问题。”所有国家赴美签证均受影响。截至《财经》记者发稿,仍无修复时间表。
此前两个月,苹果的应用商店App Store、iTunesStore发生重大宕机事故,搜索和下载功能都暂时失效,这一事故波及全球用户。
数据没有丢失,可谓虚惊一场。但此次事件给网络信息安全敲响了警钟。
高盛统计数据显示,2014年,全球范围内总共发生了3014桩数据被盗事件,11亿份记录曝光,其中97%与黑客活动(83%)或欺诈(14%)有关。过去一年时间里,数据被盗事件和记录曝光事件的数量均大幅增长了25%。
互联网的安全问题并不是新问题,而这几年随着个人云计算服务的兴起,它的重要性再次被关注。
云为移动互联网带来了基础能力,但其动态、开放、甚至不可琢磨的技术特性,又将引发新的安全挑战。而且,以物联网为代表的新一波移动互联网大潮正在赶来的路上。
市场研究机构Gartner预测数据显示,到2020年,全球联网设备的数量将从现在的30亿台增加至260亿台左右。不仅手机、电脑、电视机等传统信息化设备将连入网络,家用电器和工厂设备、基础设施等也将逐步成为互联网的端点——网络安全边界将被无限拓宽且变得日益复杂。
建设可管、可控、可信的网络,是下一波移动互联网浪潮潮起的前提和方向,但现在中国的互联网却近似于“裸奔”。
“裸奔”
中国人在互联网,尤其移动互联网上流通的资产已经越来越多。
市场分析机构易观智库针对今年一季度的统计数据显示,中国包括电子商务、航空票务、火车网上订票、旅游、境外消费、互联网金融、线上游戏增值等网络交易总规模超过10万亿元人民币。
支付宝、银联支付和财付通等第三方移动支付规模超过2.8万亿元人民币,环比增长5.81%;P2P网贷市场交易规模超1000亿元人民币,环比增长34.5%。中国移动支付和P2P网贷市场仍保持了相当高的活跃度。
传统银行业务在互联网和手机端的交易量也十分可观。一季度,中国手机银行客户端交易规模高达12万亿元人民币;网上银行客户端交易规模达到353.5万亿元。而且,手机银行的交易规模还在以两位数以上速度攀升。
这一连串数据显示着,互联网尤其是移动互联网上流通的中国资产已经十分庞大。以网络交易为例,根据国家统计局公布的数据显示,今年1月-5月,我国社会消费品零售总额为11.8万亿元,月均2.36万亿元;而实物商品网上零售额总额为1.11万亿元,并迅速向大城市以外的二三四线城市蔓延扩张。
移动支付手段打通了移动互联网商业世界,从而形成了商业闭环。但由于成长速度太快、规模太大,中国互联网公司对安全的重视程度并未跟上业务规模发展的速度。
传统金融行业几乎是全世界信息安全技术最发达、网络架构最严密的行业,其网络架构搭建理念就好比护城河+多层堡垒,对用户数据的存放和管理有相当成熟的行业标准和规范。即便如此,其IT系统仍有缺陷,多个券商系统宕机就是最好的表现。
中信证券股份有限公司信息技术中心行政负责人董事总经理张益民接受《财经》记者采访时称,从业务上看,国内投行以前主要是以场内业务为主,是牌照业务,造成了各家业务趋同性比较大,必然导致IT系统的发挥余地较小,同质化严重;而国外投行在场外业务上的创新性百花齐放,导致对IT的个性化、创新性要求非常多,这种情况下,国外投行纷纷发展自己的IT开发队伍,以适应业务快速发展、快速创新的需求。他表示,最近几年,中国金融企业才开始自建IT系统以应对安全需求。
诞生于移动互联网、云计算变革之下的互联网金融公司兼具金融和互联网的双重身份,其安全系统更是脆弱。
一位来自传统银行的互联网金融公司高层人士入职后第一件事情就是深度研究其网络架构,并多次在公司高层会议上强调把云和服务器放在第三方平台是极不安全的,力荐公司高层应向传统银行学习,自建服务器。
该公司另一高层向《财经》记者坦言,对于一个刚刚起步的创业公司来说,这是不可能的,“现在能做的是在安全和效率中间平衡折中,到了一定规模之后,才有可能加强安全”。互联网金融公司普遍无力在网络安全上投资重金。
为P2P公司搭建IT系统服务的技术服务提供商中科柏诚董事长王德敬告诉《财经》记者,出于成本考量,绝大部分互联网金融公司偏爱成本更低的公有云平台,其数据普遍被暴露在云环境之中,所有的数据备份和安全防护基本依赖于云平台公司,这与传统金融行业利用封闭的物理设备实现护城河一般的严密数据保护不可同日而语。
一位资深IT技术人士为《财经》记者算了一笔账:以一个只需要一台最初级服务器和基本网络架构的初创互联网公司为例,自己部署服务器成本大约为每月3000元左右,但如果使用阿里云的公有云服务平台,每月只需百元左右。
这与银行在IT系统上的巨额投资几乎是天地之别。传统银行在IT上的投入巨大,一般是其年度利润的10%到15%,只有这样,才能保证IT系统能支撑庞大业务和用户的发展。
同样受限于成本,在公有云平台提供基本的灾备手段之外,目前绝大部分P2P平台几乎都没有基本的灾备系统。
不规范的业务上线操作也进一步放大了安全缺陷。多位互联网金融从业人士告诉《财经》记者,市场竞争异常激烈,业务部门非常着急要上线一些业务的时候,往往会打破规范,在整个上线流程没有建立,或者还没有完成开发、测试的时候,业务就直接发布了。
互联网金融企业的管理层其实十分清楚存在的安全缺陷。这些安全缺陷就像达摩克利斯之剑,时刻存在危险。
小微互联网金融公司在黑客的攻击面前防护能力普遍弱小,容易造成恐慌和非正常死亡。统计数据显示,在2013年和2014年,有超过100家网贷平台因黑客的攻击而宣布关门。绝大部分网贷平台遭遇过黑客攻击,被迫关闭服务器、暂时停止服务。
“金融风险的一个特点是滞后性,早期跑得越快,系统搭得就越浅,倒的机会也越大。”大数据风控公司神州融联合创始人黄海珈说。
最受安全制约的互联网金融行业尚且如此,其他中小型垂直互联网创业公司的安全意识和安全架构部署更是漏洞百出。公有云平台创业公司七牛云总裁吕桂华告诉《财经》记者,互联网公司普遍不具备安全意识,大部分小公司很少主动了解平台的安全机制,更加看重平台的迁移能力和系统运行能力。
多位接受《财经》记者采访的互联网IT安全人士也均认为,除了BAT,中国绝大部分互联网公司的网络架构均不甚完善,安全漏洞和风险巨大。
国家计算机病毒应急处理中心在今年3月发布的调查数据显示,2014年,中国31.3%的用户遭遇过个人信息泄露。
感染计算机病毒的比例为63.7%,比2013年增长了8.8%;移动终端的病毒感染比例为31.5%,比2013年增长了5.2%。无论是传统PC还是移动终端,安全事件和病毒感染率都呈现出了上升的态势。
攻击
一家网游虚拟物品交易平台的创始人在考察了多个公有云平台后发现,没有一家的安全机制令他满意。
网游虚拟物品交易是一个竞争激烈、市场空间极大的高利润市场,在残酷的市场竞争之下,这家网游虚拟物品交易平台正沉沦于竞争对手的恶意流量攻击中不可自拔。
流量攻击必然降低用户体验。上述平台创始人透露,他的平台每天遇到的流量攻击在几十个G到几十个T之间,而他的方式除了将数据服务器分布放在不同数据中心,引流导流,目前没有其他更好的办法。
网宿科技副总裁刘洪涛告诉《财经》记者,按照经验值,互联网公司遭遇流量攻击的频度与规模整体上呈相反的变化趋势。也就是说,越大规模的攻击发生的频率也越低。
一般的互联网公司一两年可能遭遇一次大规模(大于100Gbps)的DoS攻击(Denial of Service的简称,即拒绝服务,其目的是使计算机或网络无法提供正常的服务),中等规模的DoS攻击(20-100Gbps)会频繁一些,约一季度至半年发生一次;而小规模的DoS攻击可能一个月出现一次或多次。
一家游戏公司CTO告诉《财经》记者,游戏行业服务类型严重同质化,虽然不能从技术上溯源攻击者,但用流量攻击来打击竞争对手的事情确实较为常见。
如果说流量攻击是一个恶意商业行为,可以通过一定手段来遏制和规范,那么互联网时代开放的网络架构和平台带来的网络安全风险则常令普通互联网创业公司束手无策。
传统的电信运营商和IT行业通常比较依赖于国外大公司提供的整体解决方案,比如IBM等公司提供的小型机等。互联网公司则更加喜欢前沿的开源技术。阿里曾经在内部发起 “去IOE运动”,消除公司产品对IBM、Oracle、EMC重型基础设施的依赖。而更新的互联网公司则自一开始就不会与这些重型基础设施沾边。很多互联网创业公司的产品环境没有采用任何商业软件,完全基于开源的软件系统和框架来搭建。
开源平台比想象中更加脆弱,而且其一旦受到攻击,会波及众多平台上的公司。
2014年,波及全球数以千万计服务器的“心脏流血”事件震惊了全球IT业。全世界网站服务器中有三分之二都采用OpenSSL开源软件,而针对该软件的“心脏流血”漏洞则帮助黑客获得打开服务器的密钥,监视服务器的数据和流量。“心脏流血”波及范围很广,包括雅虎在内的,Alexa排名在前百万超过40%的网站数据被泄露。