携程等知名IT网络公司2015年风险损失事件案例
风险导向内部控制网 日期:2015-06-06
风险导向内部控制网 日期:2015-06-06
一、盘点下2015年上半年拥有亿级用户的互联网产品的安全事故与漏洞
姿势1:一剪没
5月27日,部分网友称支付宝故障,账号无法登陆或支付。支付宝方回应称该故障是由于杭州市萧山区某地光纤被挖断导致。随后支付宝方将用户请求切换至其他机房,受影响的用户逐步恢复。支付宝故障引起的轩然大波也引来网友关注。不知不觉中支付宝已经成为不少网友生活中不可或缺的一部分,甚至与同事出去吃饭,都是一个人掏钱,其他人支付宝转账。而2011年,马云称支付宝瘫痪我进监狱的旧闻也被网友挖出来。在互联网时代,我们的生活与这些网络公司息息相关
不知道挖断支付宝的公司怎么处理的,反正去年挖断国防光缆造成军演暂停的司机大哥被判了16年。
姿势2: 被殴死
最近还遭遇了瘫痪悲剧的还有陌陌,5月10日晚间@陌陌科技在微博上宣布“由于网络故障,陌陌暂时无法正常使用”,引发无数宅男吐槽。当神器遇上网瘫,想说爱你不容易。次日,5月11日晚9点多,网易也宣布其骨干网络受到了攻击,导致其移动应用、游戏无法访问、刷新。
“我跟你什么仇,什么怨?谁干的放学不要走,操场见!”
姿势3: 被挤死
2015年2月6日,铁路订票网站崩溃,从上午10点起显示“页面无法打开”,瘫痪持续1小时,乘客无法订票。官方表示瘫痪原因是因为访问量骤增,Alexa排名由3个月前的1059位跃居115位,服务器有点受不了。
在各大公司都为流量苦苦发愁的时候,铁老大的伤心处真是让人羡慕嫉妒啊。
姿势4: 躲猫猫
2015年1月19日中午微信出现短暂瘫痪,用户无法收发信息、无法刷新朋友圈、无法登录微信公众平台等问题。许多网友误以为是自己的手机出问题,多次重启手机,甚至还有网友多次卸载重装微信、重启无线路由器。具体原因,有消息称是宕机导致,但是微信方没有回应。
微信PS:“啦啦啦~就不告诉你,我就不告诉你,有本事你别用啊!”
为了更好的为人民服务,大佬们要加把劲为人民服务啊!现在行情这么好,股市里分分钟几百万上下,你们赔得起吗!(连续亏损的携程掩面)
姿势5:误删除
2015年5月28日上午11时许,携程旅行网官方网站突然陷入瘫痪,打开主页后点击时均显示“Service Unavailable”,而百度搜索上的携程官方页面也显示404错误。
据携程旅行网官方微博@携程旅行网 通报,5月29日1:30分,经携程技术排查,确认此次事件是由于员工错误操作导致。由于携程涉及的业务、应用及服务繁多,验证应用与服务之间的功能是否正常运行,花了较长时间。携程官方网站及APP已于28日23:29全面恢复正常。
以下为携程对相关问题的说明:
1、事件发生原因
经携程技术排查,确认此次事件是由于员工错误操作,删除了生产服务器上的执行代码导致。
2、为什么恢复时间那么长
一般来说,类似携程这样的大型网站承载着繁多业务,其后台是一个由SOA(面向服务)架构组成的庞大服务器集群,看似简单的一个页面背后由上千个应用子系统以及上千个Web Service组成,而每个应用子系统和每个Web Service之间都存在着相互调用的依赖关系。
发生事件后,携程的技术人员除了需要恢复生产服务器上的执行代码以外,还需要做的是恢复并确保每个应用子系统以及每个Web Service的功能正常,同时确保应用子系统与Web Service间的调用关系得以正常执行。
这种验证性的操作需要携程的工程师及运维人员通力合作,尽快恢复生产代码并通过反复地、持续性地调试以确保应用子系统与Web Service功能的正常运行。
携程再次保证,数据和数据库并未受到此次事件的影响,用户订单数据也完整无损,请用户放心并继续使用携程网站及App。
3、如何杜绝此类事件的再次发生?
携程在系统上做了改进,规范并杜绝技术人员错误删除生产服务器上代码的操作。
二、风险控制分析
由于各家公司基本未披露更多细节,只能大致说:
携程的问题在后台权限管理不当,重要操作缺乏审核。
支付宝的损失、陌陌科技瘫痪是由于操作风险>外部事件。
铁老大订票是自身考虑不周,基础设计的能力不够。
借鉴Basel III分类,这些风险都可归为操作风险。
汇韬科索企业咨询(北京)有限公司(www.gscoso.com)是国内知名企业管理咨询公司之一,咨询团队来自于国内知名企业管理咨询公司、全球四大会计师事务所以及国际知名行业研究机构,服务于跨国公司、中央企业、混合所有制等各类型企业,开展落地、合规的咨询服务和企业内部培训,具有丰富相关经验。欢迎与我们联系沟通,我们将免费提供专业、可行的咨询建议。
风险导向内部控制网(www.china-rmic.com)由汇韬科索联合多家咨询机构、会计师事务所、学术团体共同发起创办,专注于风险管理与内部控制。本网主要为访问者提供线上、线下免费专业资料,内部控制体系与风险管理体系的有效性自我评测,以及无偿专业诊断咨询建议。
【联系方式】
电话:010-68827610
电子邮箱:gsc@gscoso.com
咨询QQ:421183643
地址:北京市石景山区实兴大街科技园3号楼
姿势1:一剪没
5月27日,部分网友称支付宝故障,账号无法登陆或支付。支付宝方回应称该故障是由于杭州市萧山区某地光纤被挖断导致。随后支付宝方将用户请求切换至其他机房,受影响的用户逐步恢复。支付宝故障引起的轩然大波也引来网友关注。不知不觉中支付宝已经成为不少网友生活中不可或缺的一部分,甚至与同事出去吃饭,都是一个人掏钱,其他人支付宝转账。而2011年,马云称支付宝瘫痪我进监狱的旧闻也被网友挖出来。在互联网时代,我们的生活与这些网络公司息息相关
不知道挖断支付宝的公司怎么处理的,反正去年挖断国防光缆造成军演暂停的司机大哥被判了16年。
姿势2: 被殴死
最近还遭遇了瘫痪悲剧的还有陌陌,5月10日晚间@陌陌科技在微博上宣布“由于网络故障,陌陌暂时无法正常使用”,引发无数宅男吐槽。当神器遇上网瘫,想说爱你不容易。次日,5月11日晚9点多,网易也宣布其骨干网络受到了攻击,导致其移动应用、游戏无法访问、刷新。
“我跟你什么仇,什么怨?谁干的放学不要走,操场见!”
姿势3: 被挤死
2015年2月6日,铁路订票网站崩溃,从上午10点起显示“页面无法打开”,瘫痪持续1小时,乘客无法订票。官方表示瘫痪原因是因为访问量骤增,Alexa排名由3个月前的1059位跃居115位,服务器有点受不了。
在各大公司都为流量苦苦发愁的时候,铁老大的伤心处真是让人羡慕嫉妒啊。
姿势4: 躲猫猫
2015年1月19日中午微信出现短暂瘫痪,用户无法收发信息、无法刷新朋友圈、无法登录微信公众平台等问题。许多网友误以为是自己的手机出问题,多次重启手机,甚至还有网友多次卸载重装微信、重启无线路由器。具体原因,有消息称是宕机导致,但是微信方没有回应。
微信PS:“啦啦啦~就不告诉你,我就不告诉你,有本事你别用啊!”
为了更好的为人民服务,大佬们要加把劲为人民服务啊!现在行情这么好,股市里分分钟几百万上下,你们赔得起吗!(连续亏损的携程掩面)
姿势5:误删除
2015年5月28日上午11时许,携程旅行网官方网站突然陷入瘫痪,打开主页后点击时均显示“Service Unavailable”,而百度搜索上的携程官方页面也显示404错误。
据携程旅行网官方微博@携程旅行网 通报,5月29日1:30分,经携程技术排查,确认此次事件是由于员工错误操作导致。由于携程涉及的业务、应用及服务繁多,验证应用与服务之间的功能是否正常运行,花了较长时间。携程官方网站及APP已于28日23:29全面恢复正常。
以下为携程对相关问题的说明:
1、事件发生原因
经携程技术排查,确认此次事件是由于员工错误操作,删除了生产服务器上的执行代码导致。
2、为什么恢复时间那么长
一般来说,类似携程这样的大型网站承载着繁多业务,其后台是一个由SOA(面向服务)架构组成的庞大服务器集群,看似简单的一个页面背后由上千个应用子系统以及上千个Web Service组成,而每个应用子系统和每个Web Service之间都存在着相互调用的依赖关系。
发生事件后,携程的技术人员除了需要恢复生产服务器上的执行代码以外,还需要做的是恢复并确保每个应用子系统以及每个Web Service的功能正常,同时确保应用子系统与Web Service间的调用关系得以正常执行。
这种验证性的操作需要携程的工程师及运维人员通力合作,尽快恢复生产代码并通过反复地、持续性地调试以确保应用子系统与Web Service功能的正常运行。
携程再次保证,数据和数据库并未受到此次事件的影响,用户订单数据也完整无损,请用户放心并继续使用携程网站及App。
3、如何杜绝此类事件的再次发生?
携程在系统上做了改进,规范并杜绝技术人员错误删除生产服务器上代码的操作。
二、风险控制分析
由于各家公司基本未披露更多细节,只能大致说:
携程的问题在后台权限管理不当,重要操作缺乏审核。
支付宝的损失、陌陌科技瘫痪是由于操作风险>外部事件。
铁老大订票是自身考虑不周,基础设计的能力不够。
借鉴Basel III分类,这些风险都可归为操作风险。
汇韬科索企业咨询(北京)有限公司(www.gscoso.com)是国内知名企业管理咨询公司之一,咨询团队来自于国内知名企业管理咨询公司、全球四大会计师事务所以及国际知名行业研究机构,服务于跨国公司、中央企业、混合所有制等各类型企业,开展落地、合规的咨询服务和企业内部培训,具有丰富相关经验。欢迎与我们联系沟通,我们将免费提供专业、可行的咨询建议。
风险导向内部控制网(www.china-rmic.com)由汇韬科索联合多家咨询机构、会计师事务所、学术团体共同发起创办,专注于风险管理与内部控制。本网主要为访问者提供线上、线下免费专业资料,内部控制体系与风险管理体系的有效性自我评测,以及无偿专业诊断咨询建议。
【联系方式】
电话:010-68827610
电子邮箱:gsc@gscoso.com
咨询QQ:421183643
地址:北京市石景山区实兴大街科技园3号楼