【51CTO獨(dú)家特稿】在進(jìn)入IT化的各個(gè)行業(yè)當(dāng)中，金融行業(yè)無疑是最最謹(jǐn)慎、最注重穩(wěn)定性、可靠性、一致性、尤其是安全性的行業(yè)。鑒于金融行業(yè)中各種數(shù)據(jù)的重要性，金融IT系統(tǒng)的安全防護(hù)和災(zāi)難備份是相關(guān)系統(tǒng)維護(hù)工作中最為根本的元素。然而世界上的事情往往是，即使所有人都知道某件事很重要，但因?yàn)樽罨镜陌踩雷o(hù)沒做好（如管理員密碼只設(shè)了4位）或者備份沒做好（備份根本沒做對(duì)，或者異地備份沒做對(duì)）而造成慘痛問題的事情仍然每年都會(huì)發(fā)生。

頻道推薦：系統(tǒng)運(yùn)維秘訣大分享：什么該做什么不該做

最近一周，一則有關(guān)韓國(guó)農(nóng)協(xié)銀行因系統(tǒng)癱瘓導(dǎo)致金融服務(wù)中斷的新聞在國(guó)內(nèi)外媒體平臺(tái)上傳的沸沸揚(yáng)揚(yáng)，在上周日觀看CCTV的朋友們應(yīng)該也看到了這則新聞。由于這次癱瘓與IT系統(tǒng)和維護(hù)人員有很大的關(guān)系，也引起了IT業(yè)內(nèi)人士的關(guān)注。銀行系統(tǒng)癱瘓的事件，全球各國(guó)的各個(gè)銀行其實(shí)多少也都遇到過，但是由于本次事件的數(shù)據(jù)丟失情況特別嚴(yán)重，絕對(duì)值得所有業(yè)內(nèi)人士，尤其是系統(tǒng)運(yùn)維人士、數(shù)據(jù)庫管理員和安全運(yùn)維人士警醒。

那么，這次事件到底是怎么一回事？下面筆者嘗試用QA的方式，將本次事件的大致情況介紹一下。

Q：韓國(guó)農(nóng)協(xié)銀行是誰？

A：韓國(guó)農(nóng)協(xié)銀行（NH Bank），號(hào)稱韓國(guó)最大的銀行，韓國(guó)四大銀行之一，由韓國(guó)農(nóng)業(yè)協(xié)會(huì)（Nonghyup）所擁有。國(guó)內(nèi)有說法（比如CCTV）稱其為“韓國(guó)農(nóng)信社”。農(nóng)協(xié)銀行的顧客數(shù)量在全國(guó)有約3000萬名，共有約5000家分行，擁有韓國(guó)境內(nèi)最大的銀行網(wǎng)絡(luò)。

Q：銀行癱瘓事件是怎么回事？

A：2011年4月12日下午，農(nóng)協(xié)銀行的電腦網(wǎng)絡(luò)開始出現(xiàn)故障，導(dǎo)致客戶無法提款、轉(zhuǎn)賬、使用信用卡和取得貸款。系統(tǒng)故障一直持續(xù)了3天，直到4月15日才恢復(fù)部分服務(wù)，而有些服務(wù)直到4月18日仍然沒有恢復(fù)，以至于銀行不得不采用傳統(tǒng)的手寫交易單的方式進(jìn)行服務(wù)。

根據(jù)農(nóng)協(xié)銀行工作人員報(bào)告的情況，本次事件源于系統(tǒng)服務(wù)器數(shù)據(jù)被刪除造成的系統(tǒng)癱瘓和數(shù)據(jù)丟失。大約540萬名信用卡客戶的交易記錄被刪除。

Q：韓國(guó)農(nóng)協(xié)銀行的IT架構(gòu)和維護(hù)是怎樣的情況？

A：韓國(guó)農(nóng)協(xié)銀行的IT架構(gòu)運(yùn)營(yíng)由外包團(tuán)隊(duì)負(fù)責(zé)，該外包團(tuán)隊(duì)在2004年與農(nóng)協(xié)銀行簽署了為期10年的外包合同。

Q：整個(gè)事件的技術(shù)細(xì)節(jié)是怎樣的情況？

A：根據(jù)農(nóng)協(xié)銀行工作人員、韓國(guó)檢察官、金融監(jiān)督院、以及中央銀行調(diào)查員的初步調(diào)查，4月12日下午4:30到5點(diǎn)之間，某人在外包團(tuán)隊(duì)中一位雇員的筆記本對(duì)銀行核心系統(tǒng)的275臺(tái)服務(wù)器下達(dá)了rm.dd命令，該命令會(huì)刪除服務(wù)器上的所有文件。被刪除的服務(wù)器包含重啟系統(tǒng)用的服務(wù)器。結(jié)果就是當(dāng)天下午5:30左右開始，該銀行在全國(guó)1154個(gè)分行的服務(wù)中斷。

rm.dd是最高級(jí)別的系統(tǒng)命令，只有擁有最高安全權(quán)限的Super Root用戶才有權(quán)限執(zhí)行，而且僅限銀行內(nèi)網(wǎng)的特定IP段。農(nóng)協(xié)銀行的IT副主管表示，Super Root權(quán)限只有制造這些服務(wù)器的IBM韓國(guó)公司的少數(shù)高層管理員才擁有，而銀行的550名IT工作人員是沒有這個(gè)權(quán)限的；但是根據(jù)調(diào)查員的確認(rèn)，農(nóng)協(xié)銀行IT部門應(yīng)該也有4、5人擁有該權(quán)限。

根據(jù)調(diào)查員的進(jìn)一步分析，認(rèn)為整個(gè)事件是一次惡意黑客攻擊，rm.dd命令只是惡意軟件的一部分，不知道從什么時(shí)候開始安裝在了該員工的筆記本上。

農(nóng)協(xié)銀行系統(tǒng)共有553臺(tái)服務(wù)器，其中有320臺(tái)與該筆記本有網(wǎng)絡(luò)連接。

在事故過程中，位于良才的中繼代理服務(wù)器以及位于安城的災(zāi)備服務(wù)器都失效了（官方?jīng)]有說明具體原因，但是既然無法恢復(fù)數(shù)據(jù)，說明災(zāi)備服務(wù)器上的數(shù)據(jù)也丟失了），結(jié)果就是系統(tǒng)恢復(fù)只能通過給553臺(tái)服務(wù)器重裝系統(tǒng)來解決。

筆記本的所有者表示刪除命令并非自己所下達(dá)。事發(fā)當(dāng)時(shí)，該員工的筆記本放置在銀行的辦公室內(nèi)。根據(jù)當(dāng)天閉路電視的錄像，可能有20個(gè)人有機(jī)會(huì)接觸到這臺(tái)筆記本，這20人當(dāng)中有一人擁有Super Root權(quán)限。

但是，也不排除有黑客從外部互聯(lián)網(wǎng)連接到這臺(tái)筆記本，再通過這臺(tái)筆記本做跳板對(duì)服務(wù)器下達(dá)指令的可能，因?yàn)?strong>該筆記本在當(dāng)天的24小時(shí)內(nèi)與外網(wǎng)是連通的。

Q：這次事件是獨(dú)立事件嗎？

A：不好說。類似的事件在韓國(guó)金融行業(yè)并非個(gè)案。剛剛在農(nóng)協(xié)銀行事件過后的三天，現(xiàn)代汽車金融公司的數(shù)據(jù)也遭遇了客戶信息被黑客偷竊的事件。韓國(guó)政府近期將對(duì)金融行業(yè)的安全規(guī)范進(jìn)行嚴(yán)查，以減少此類事件的發(fā)生。

51CTO總結(jié)

這次事件究竟是因?yàn)闆]有嚴(yán)格執(zhí)行安全規(guī)章所致？是災(zāi)備措施沒有做到位？是黑客太厲害了？請(qǐng)看51CTO安全專家李洋的解析：從韓國(guó)農(nóng)協(xié)銀行事件談信息安全工作的要點(diǎn)。

【51CTO.com獨(dú)家特稿，轉(zhuǎn)載請(qǐng)注明原文作者和出處。】

【編輯推薦】

1. Google系統(tǒng)管理員的技巧分享與碎碎念
2. 系統(tǒng)管理員易犯錯(cuò)誤及解決方法匯總
3. 51CTO電子雜志《Linux運(yùn)維趨勢(shì)》第6期發(fā)布，主題：備份

參考資料

1. NH blames IBM for network crash 
2. 韓最大銀行網(wǎng)絡(luò)遭遇黑客 農(nóng)協(xié)銀行5000分行電腦癱瘓三天 
3. 最壞的農(nóng)協(xié)金融計(jì)算機(jī)故障，只是單純的事故嗎？ 
4. No. of Nonghyup fiasco suspects narrowed to 20 
5. Nonghyup woes alarm IT security professionals
6. External hacker suspected in Nonghyup network crash 
7. Malicious server attack caused Nonghyup Bank glitch 
8. “rm.dd” — IT Security or the Lack of It 
9. Probe into online failure stepped up 
10. 【CCTV視頻】韓國(guó)農(nóng)信社陷安全門