知识屋:更实用的电脑技术知识网站
所在位置:首页 > 网络安全 > 安全资讯

从韩国农协银行瘫痪再看安全与灾备的重要性

发布时间:2014-08-13 15:58:27作者:知识屋

最近一周,一则有关的新闻在国内外媒体平台上传的沸沸扬扬,在上周日观看CCTV的朋友们应该也看到了这则新闻。由于这次瘫痪与IT系统和维护人员有很大的关系,也引起了IT业内人士的关注。银行系统瘫痪的事件,全球各国的各个银行其实多少也都遇到过,但是由于本次事件的数据丢失情况特别严重,绝对值得所有业内人士,尤其是系统运维人士、数据库管理员和安全运维人士警醒。

那么,这次事件到底是怎么一回事?下面笔者尝试用QA的方式,将本次事件的大致情况介绍一下。

Q:韩国农协银行是谁?
A:韩国农协银行(NH Bank),号称韩国最大的银行,韩国四大银行之一,由韩国农业协会(Nonghyup)所拥有。国内有说法(比如CCTV)称其为“韩国农信社”。农协银行的顾客数量在全国有约3000万名,共有约5000家分行,拥有韩国境内最大的银行网络。

Q:银行瘫痪事件是怎么回事?
A:2011年4月12日下午,农协银行的电脑网络开始出现故障,导致客户无法提款、转账、使用信用卡和取得贷款。系统故障一直持续了3天,直到4月15日才恢复部分服务,而有些服务直到4月18日仍然没有恢复,以至于银行不得不采用传统的手写交易单的方式进行服务。

根据农协银行工作人员报告的情况,本次事件源于系统服务器数据被删除造成的系统瘫痪和数据丢失。大约540万名信用卡客户的交易记录被删除。

Q:韩国农协银行的IT架构和维护是怎样的情况?
A:韩国农协银行的IT架构运营由外包团队负责,该外包团队在2004年与农协银行签署了为期10年的外包合同。

Q:整个事件的技术细节是怎样的情况?
A:根据农协银行工作人员、韩国检察官、金融监督院、以及中央银行调查员的初步调查,4月12日下午4:30到5点之间,某人在外包团队中一位雇员的笔记本对银行核心系统的275台服务器下达了rm.dd命令,该命令会删除服务器上的所有文件。被删除的服务器包含重启系统用的服务器。结果就是当天下午5:30左右开始,该银行在全国1154个分行的服务中断。

rm.dd是最高级别的系统命令,只有拥有最高安全权限的Super Root用户才有权限执行,而且仅限银行内网的特定IP段。农协银行的IT副主管表示,Super Root权限只有制造这些服务器的IBM韩国公司的少数高层管理员才拥有,而银行的550名IT工作人员是没有这个权限的;但是根据调查员的确认,农协银行IT部门应该也有4、5人拥有该权限。

根据调查员的进一步分析,认为整个事件是一次恶意攻击,rm.dd命令只是恶意软件的一部分,不知道从什么时候开始安装在了该员工的笔记本上。

农协银行共有553台服务器,其中有320台与该笔记本有网络连接。

在事故过程中,位于良才的中继代理服务器以及位于安城的灾备服务器都失效了(官方没有说明具体原因,但是既然无法恢复数据,说明灾备服务器上的数据也丢失了),结果就是系统恢复只能通过给553台服务器重装系统来解决。

笔记本的所有者表示删除命令并非自己所下达。事发当时,该员工的笔记本放置在银行的办公室内。根据当天闭路电视的录像,可能有20个人有机会接触到这台笔记本,这20人当中有一人拥有Super Root权限。

但是,也不排除有黑客从外部互联网连接到这台笔记本,再通过这台笔记本做跳板对服务器下达指令的可能,因为该笔记本在当天的24小时内与外网是连通的。

Q:这次事件是独立事件吗?

A:不好说。类似的事件在韩国金融行业并非个案。刚刚在农协银行事件过后的三天,现代汽车金融公司的数据也遭遇了客户信息被黑客偷窃的事件。韩国政府近期将对金融行业的安全规范进行严查,以减少此类事件的发生。

总结
试想,如果韩国农协银行的运维机制合理到位并且严格执行,如果韩国农协银行的灾备措施到位,那么,这样的事故就不会发生,即便发生了,损失也不会如此之大。但是,这一切也只是“如果”而已。这件事情足以为我们这些企业级技术人提出警醒,类似这种“如果”的声音,不应该出现在我们的实际工作当中,慎矣,慎矣。


 

(免责声明:文章内容如涉及作品内容、版权和其它问题,请及时与我们联系,我们将在第一时间删除内容,文章内容仅供参考)
收藏
  • 人气文章
  • 最新文章
  • 下载排行榜
  • 热门排行榜