南都社评：互联网公司 没有数据安全谈何商业模式？

5月28日11时许，携程官网及移动APP陷入瘫痪状态，页面无法打开。直至当日19时，携程官网虽然恢复了酒店、机票等页面的浏览与搜索，但无法正常预订，部分页面存在乱码且有大量客户反映订单数据出错。至22：45，携程才宣布，除个别业务外，官网及APP恢复正常，并强调没有数据丢失。携程网瘫痪是迄今为止国内遭遇过的时间最长的互联网重大安全事故，受此影响，携程股价盘前暴跌11.67%，报72美元。

就在前一日，支付宝也瘫痪过，事故原因与携程一样在“被攻击”与“意外”之间，众说纷纭。不同的是，携程官方表态疑似遭遇不明攻击，而被怀疑是内部管理问题或操作“乌龙”造成的意外；支付宝官方说明是杭州市萧山区某地光纤被挖断，却引来了被攻击或是宕机的质疑。携程的事故原因除了官方说法的被攻击，网传版本包括员工误删根目录导致数据库被物理删除与离职员工蓄意报复等，业界普遍认为，若外部攻击可致如此严重的事故，其技术安全水平着实堪忧，而若为内部事故则管理值得检讨，根目录被删除的说法则被程序员基本排除。而支付宝被一铲子坑了两个半小时，有专业人士指出“异地多活”系统(不同运营商随时切换)令其五年前已实现机房故障不影响业务，挖断一条电缆就导致系统瘫痪的可能性较小，即使由于担心异地数据不一致而等待网络恢复，两个半小时仍然太长。

无论是发生意外还是被攻击，支付宝与携程瘫痪给客户造成的不利影响都已产生。而从陌陌、网易到支付宝、携程，相关事故都发生在5月，不到20天的时间，接连4家互联网公司出现故障甚至瘫痪，互联网数据安全问题令人担忧。

有在数家大型互联网公司包括BAT公司任职经验的人士表示，在数据安全方面，这些动辄市值数十亿美金的上市公司，自然有做数据管理流程与备份恢复，但由于此类安全业务太过边缘，在公司受关注程度很低，执行上难以落实。此次的事故主角携程，在去年3月曾出现过客户银行卡信息“泄露门”，其被指由于服务器未做到严格的安全配置，包括持卡人姓名、身份证号、持卡类别、卡号、C VV码等所有支付过程中的调试信息面临安全风险，这一漏洞被揭引起轩然大波，更被业界指为“低级技术错误”，对数据安全的重视程度可见一斑。

在互联网扩张风潮之下，每一家互联网公司都在大谈商业模式，技术让位于业务也是互联网界的普遍现象。重视业务当然没错，但如果因此而忽略了技术甚至难以抵御安全风险，无论对于公众还是互联网公司都非常危险。越大的互联网公司越应该注重技术安全，因为影响面太广，一旦瘫痪不只是互联网界的重大安全事故，数据丢失甚至被篡改，尤其涉及私人财产，还很可能成为公共安全事故。

如支付宝这样的系统性重要机构，不只是一个第三方支付平台，其背后的阿里正以它为圆心发展着互联网银行以及O2O业务。阿里的民营银行牌照已紧握在手，互联网银行是未来的重要发展方向，而风险控制是银行的根本。根据有关部门对商业银行的规定，支付宝瘫痪超过120分钟而没超过240分钟，已属于重大安全事故。2006年，银联突发网络故障系统持续瘫痪7小时，波及面辐射全球至少34万家商户以及6万台A T M机，以阿里互联网银行未来的发展，波及面很可能等同甚至超出，而对于完全依赖互联网的银行而言，能不能保障技术安全将决定其寿命长短。而O2O显然也是阿里未来发展的重头戏，支付宝瘫痪的第二天恰好是“支付宝日”，客户可以通过多个城市的多家商铺进行支付宝付款而获得优惠，阿里显然希望发展出线下的“双十一”，如果在线下大型抢购期间出现支付瘫痪，可能引发比资金安全、数据丢失更严重的后果。

在DT时代，不钻研商业模式、不能讲好故事的互联网公司没有未来，但如果只顾大谈商业模式而无法保障技术安全，一旦出现安全事故，很可能在根子上被挖掉。应对攻击和自然灾害等意外状况的备灾能力，对于互联网公司而言至关重要，越大的公司越是如此，关乎公众利益，也决定着公司的生死存亡。