江海洋阅读
扫描关注网站建设微信公众账号

扫一扫微信二维码

携程瘫痪事件暴露短板:互联网企业需补安全课

砍柴网2015-05-31行业新闻 3746

2

最近的互联网圈很让人胆战心惊,先是支付宝因光纤被挖断而断网三个小时,后又紧接着是携程网站和官方APP无法使用,瘫痪了近12个小时,所有用户订酒店、机票全部无法操作。对此,一开始携程给出“服务器受不明攻击”的解释,各种传言版本满天飞,最后携程给出了“内部管理人员误操作导致数据被清除”的终版声明。

虽然之前微信也曾遭遇了间歇式的瘫痪现象,但支付宝与携程两起安全事件更为严重,中断服务长达数小时。互联网圈的老人都有感受,这一两年,互联网领域的隐私数据泄露、宕机等现象越来越频繁了。尤其是在人与服务紧密连接,人们的衣食住行都离不开在线交易服务时,互联网服务安全的短板暴露出来了。

互联网服务为啥频频中招呢?

回答这个疑问,就不得不反思下。这几年,互联网思维、互联网+、物联网、O2O等技术、概念风起云涌,不管是巨头,还是新兴企业,大都热衷于谈产品、概念和模式。这就带来了一个误区,人们越来越重视商业模式和产品、用户体验,却忽视了最基础的安全上的投入和把关。很多人都有体会,谈用户体验,没有哪家专门拿稳定、可靠和业务连续服务来说事。

原因也很简单,如果不发生宕机、瘫痪等恶性事件,谈安全就是“防患于未然”,用户看不见也摸不着。恰恰因此,这直接导致携程事件的出现,瘫痪了了长达12个小时以上。反过来讲,这反而是一件好事,终于敲响了警钟。

另外还有一个原因:智能泛互联网是一个未来形态,安全环境变得日益复杂。主要有三方面:一是终端和系统的碎片化,带来了更多的安全隐患;二是,与人们生活、工作直接相关的应用业务快速完成在线化、云化的过程,特别是当下互联网+直接推动了传统业务向在线模式迁移,保持在线和数据安全的重要性不用多说;三是安全漏洞增加,每一次都会引发连锁反应,给用户和企业带来的经济损失呈放大效应。

但在这一趋势下,以笔者接触的中国的互联网企业,除了BAT和自身拥有安全产品线的企业外,大多数意识薄弱、技术投入少和安全防范能力差,没有将安全放到同等重要的位置上。有钱都会砸到获取用户、运营和产品层面上。

BAT为啥斥巨资构建安全护城河

相比,BAT作为互联网界的三大阵营,在安全领域的投资和重视度明显在提高。但一个矛盾是,互联网的发展趋势是某一领域重度垂直的服务和平台开始冒出来,携程在旅行链条上投资艺龙、同程、途牛等就是一个例证。但在外界眼里,携程如此巨大体量的企业,一个瘫痪事件耗费十几个小时,甚至还需要邀请外援解决技术问题,这是一个令人匪夷所思的话题。

不管是遭攻击,还是人为操作,这说明携程在安全上是不合格的,面对突发的事件,缺乏成熟有效的应对方案。而之前携程在乌云平台上早就爆出了漏洞。Verizon发布的《2015数据泄露调查报告》显示,中国安全隐患更为严重,2011年到2014年公开的安全事故已导致11.3亿用户信息泄露,12360、社保等相继沦陷。

我们也看到BAT在安全战线上却大把撒钱,越拉越长,也提出“PC+云安全+移动端”的大安全概念。比如今年初百度全资收购安全宝,融入到安全生态中,增强抗DDOS攻击能力,加码云加速,提供运维和应用安全防火墙保障服务;去年到现在,百度手机卫士、百度杀毒等也有大手笔的动作,究其原因,就像周鸿祎说的那样,互联网像水电气一样,是未来经济形态的基础设施,安全是最根本的保障。面对复杂的安全环境,威胁无处不在,即使一个小的差错或误操作,都会带来巨大损失,像携程宕机一小时就损失100万美元以上。

对BAT这样当量的企业,业务复杂度高,用户获取的不再是信息,而是服务,比如购票、订餐、出行,不破解安全威胁,随时可能面临灾难。目前看百度在安全上拉开的架势,显然是谋划未来,从PC、端安全到云安全,以及着眼未来的“万物互联”趋势下的“泛安全”。百度收购安全宝后,在国内云安全份额接近30%,满足大中小型企业的云加速安全平台需求。百度手机卫士虽然姗姗来迟,却后来居上,对支付宝大盗、微信支付大盗、银行悍匪、伪移动客户端等恶意病毒进行第一时间查杀,针对钓鱼Wifi、伪基站防护,还将人工智能、深度神经网络前沿技术引入,开发“慧眼引擎”,都在面对C和B端两个用户,建立安全护城河。

可以说,在腾讯、阿里、小米等互联网一线企业中,百度在一年多时间里,在安全上砸入的资金和人力,要远远超出前面几家。

互联网企业要补安全课

当然,为什么一直坚持互联网企业的泛安全应该加大投入呢?有人说,完全可以使用第三方的安全解决方案。这个就像京东、苏宁等也花高价钱接入SAP、IBM的应用,结果还得自身去开发,是一个道理。安全环境和隐患问题,早就不是过去杀杀毒、装个防火墙那么简单的事了,何况还有像携程一样的“人为操作”的内控漏洞。

这就是此安全而非彼安全的错位问题,尤其是对手里掌握着上亿用户的大入口的平台来说,必须下场子练,补上这个缺口。

以往,安全经常是专业的卡巴斯基、CA、RSA、赛门铁克等的专利,但在新的互联网+背景下,当下的安全环境已经远远脱离了过去的路径。在安全厂商普遍跟不上需求时,互联网企业又容易放松警惕,因此才会出现携程、支付宝的断网、瘫痪事件,以及之前的信用卡泄露、数据库被拖库等事件,也就不足为奇了。

对攥着数亿用户和企业商家的平台更是如此。目前,移动、PC的入口效应很明显,用户会通过大入口来获取服务,由于高度依赖,更需要补安全课,保证入口的安全,否则出现一次安全事件,就会波及亿级体量的用户,再大就会影响社会稳定,衍生更复杂的事件。所以我们看到,百度围绕着PC、移动和云端的安全生态覆盖,投入几乎不设上限,因为看到了人与服务通过场景、支付,直接形成闭环服务后,没安全保障,就是玩火。

当然,安全也并非要求每家企业都升级为安全厂商,所以更期待BAT这样级别的企业能担当起来,建立真正的安全防线,为未来的新商业起到保驾护航。

文章关键词
携程
安全
百度