从韩国农协银行瘫痪再看安全与灾备的重要性

　　最近一周，一则有关韩国农协银行因系统瘫痪导致金融服务中断的新闻在国内外媒体平台上传的沸沸扬扬，在上周日观看CCTV的朋友们应该也看到了这则新闻。由于这次瘫痪与IT系统和维护人员有很大的关系，也引起了IT业内人士的关注。银行系统瘫痪的事件，全球各国的各个银行其实多少也都遇到过，但是由于本次事件的数据丢失情况特别严重，绝对值得所有业内人士，尤其是系统运维人士、数据库管理员和安全运维人士警醒。

　　那么，这次事件到底是怎么一回事?下面笔者尝试用QA的方式，将本次事件的大致情况介绍一下。

　　Q：韩国农协银行是谁?

　　A：韩国农协银行(NH Bank)，号称韩国最大的银行，韩国四大银行之一，由韩国农业协会(Nonghyup)所拥有。国内有说法(比如CCTV)称其为“韩国农信社”。农协银行的顾客数量在全国有约3000万名，共有约5000家分行，拥有韩国境内最大的银行网络。

　　Q：银行瘫痪事件是怎么回事?

　　A：2011年4月12日下午，农协银行的电脑网络开始出现故障，导致客户无法提款、转账、使用信用卡和取得贷款。系统故障一直持续了3天，直到4月15日才恢复部分服务，而有些服务直到4月18日仍然没有恢复，以至于银行不得不采用传统的手写交易单的方式进行服务。

　　根据农协银行工作人员报告的情况，本次事件源于系统服务器数据被删除造成的系统瘫痪和数据丢失。大约540万名信用卡客户的交易记录被删除。

　　Q：韩国农协银行的IT架构和维护是怎样的情况?

　　A：韩国农协银行的IT架构运营由外包团队负责，该外包团队在2004年与农协银行签署了为期10年的外包合同。

　　Q：整个事件的技术细节是怎样的情况?

　　A：根据农协银行工作人员、韩国检察官、金融监督院、以及中央银行调查员的初步调查，4月12日下午4:30到5点之间，某人在外包团队中一位雇员的笔记本对银行核心系统的275台服务器下达了rm.dd命令，该命令会删除服务器上的所有文件。被删除的服务器包含重启系统用的服务器。结果就是当天下午5:30左右开始，该银行在全国1154个分行的服务中断。

　　rm.dd是最高级别的系统命令，只有拥有最高安全权限的Super Root用户才有权限执行，而且仅限银行内网的特定IP段。农协银行的IT副主管表示，Super Root权限只有制造这些服务器的IBM韩国公司的少数高层管理员才拥有，而银行的550名IT工作人员是没有这个权限的;但是根据调查员的确认，农协银行IT部门应该也有4、5人拥有该权限。

　　根据调查员的进一步分析，认为整个事件是一次恶意黑客攻击，rm.dd命令只是恶意软件的一部分，不知道从什么时候开始安装在了该员工的笔记本上。

　　农协银行系统共有553台服务器，其中有320台与该笔记本有网络连接。

　　在事故过程中，位于良才的中继代理服务器以及位于安城的灾备服务器都失效了(官方没有说明具体原因，但是既然无法恢复数据，说明灾备服务器上的数据也丢失了)，结果就是系统恢复只能通过给553台服务器重装系统来解决。

　　笔记本的所有者表示删除命令并非自己所下达。事发当时，该员工的笔记本放置在银行的办公室内。根据当天闭路电视的录像，可能有20个人有机会接触到这台笔记本，这20人当中有一人拥有Super Root权限。

　　但是，也不排除有黑客从外部互联网连接到这台笔记本，再通过这台笔记本做跳板对服务器下达指令的可能，因为该笔记本在当天的24小时内与外网是连通的。

　　Q：这次事件是独立事件吗?

　　A：不好说。类似的事件在韩国金融行业并非个案。刚刚在农协银行事件过后的三天，现代汽车金融公司的数据也遭遇了客户信息被黑客偷窃的事件。韩国政府近期将对金融行业的安全规范进行严查，以减少此类事件的发生。

　　总结

　　试想，如果韩国农协银行的运维机制合理到位并且严格执行，如果韩国农协银行的灾备措施到位，那么，这样的事故就不会发生，即便发生了，损失也不会如此之大。但是，这一切也只是“如果”而已。这件事情足以为我们这些企业级技术人提出警醒，类似这种“如果”的声音，不应该出现在我们的实际工作当中，慎矣，慎矣。