不被黑客惦记的平台不是好平台

文|左惟扬

作者很懒，什么也没留下。

今天不少P2P平台的服务器遭遇黑客攻击。作为一个IT男，给各位金融大咖普及点知识吧。目前P2P平台遇到的最常见的黑客行为有两种，一种是数据泄露，一种是黑客攻击。

先说数据泄露，根据个人经验，数据泄露只有两种原因，第一种是程序代码写得有问题，譬如最常见的SQL注入攻击，对于平台的老板或者CEO来说，其实不用关心具体是什么漏洞，只要找到个靠谱的技术负责人就行了，一般经验丰富的技术负责人，在上线前都会用这些工具做必要的检测。如果你家没做，那只能说明你家的CTO还不合格。

数据泄露的第二个常见原因，就是人，譬如说所谓“离职员工”或者“被女票拒绝的程序猿”。很多公司不重视IT方面的离职员工，其实这个是很不对的，作为互联网企业，特别是规模不大的企业，IT人员往往都会直接接触到公司的所有真实运营数据，所以，我个人的经验，对IT团队需要有严格的保密措施。不只是签保密协议，包括各种文档、资料、代码的归档管理，特别是各种权限的控制管理，譬如服务器的访问权限、数据库的访问权限等等。

我以前带团队的时候，对所有这些权限的分配都有详细的文档记录，随时更新。不允许低于某个级别的人具有高级别的权限。另外，我自己作为技术的负责人，权限也不是最高的。这些权限分配的记录，会保留一份纸质档，由董事会委托专人保管。PS：实际上就是存在财务的保险柜里。任何人员离职，如果涉及权限的，都必须及时由上一级申请修改密码或者取消账户。当然，还有一种情况，是未正式离职的员工，跟公司有矛盾，离职前黑公司一把，对于这种情况，第一是团队负责人的问题了，随时要掌握每个员工的情绪动态。第二就是前面有朋友提到的分而治之。我们采用的办法是，开发人员不管生产环境的程序部署，由专门的运维人员负责。而运维人员的服务器是做了限制的，只有固定的服务器才能做远程部署，在运维部有24小时的监控对着这些可以远程操作的服务器，其实主要还是靠人，负责人。

我们当时写了个脚本，每次正式上线前，最核心的数据库连接密码，都不是我们来设定，而是让老板来随机设置一个。所以，理论上除了老板，谁都不会知道这次的数据库密码。另外，程序里一定要有完善的日志记录，谁干了什么一目了然，日志系统跟主程序系统是分离的，当然，你还可以加上指纹验证之类的加密措施。其实，我接触的绝大部分程序猿，都是好孩子，程序猿的职业操守绝对比业务员高N倍，公司如果不是得罪死了程序猿，一般不会做出很恶意的行为。最后才是走法律途径。

说完了第一类，数据泄露，下面说第二类，黑客攻击。首先，纠正大家的误区，不要把黑客想得那么NB，咱们不是美国大片。对于黑客攻击，通常大家能遇到的有两类。

第一类是DDOS攻击，第二类是漏洞攻击。大家不是纯技术出身，咱们就不做名词解释了，直接打比方。

DDOS攻击，可以想象成有一个人（黑客）纠集了一大帮子人（通常叫肉鸡），以正常的方式来你的网站访问，好比我带着上万个小弟去万达，但是我不进去购物，就在门口晃悠，这样就会把其他正常想来万达买东西的顾客，都堵住，也就是所谓“拒绝服务”。

所以，从理论上来说，DDOS攻击是不可完全防止的，开门做生意，难免有小混混上门要收保护费，那么有什么办法可以做一些应对呢？

首先，我们要搞清楚，黑客纠集一帮小弟来堵门，也是需要成本的，譬如发个红烧肉加鸡腿的盒饭，目前黑市上的报价，1个G的流量攻击某个网站1小时，成本大概是50。量大可优惠。但请注意，这个是黑客圈内的报价，圈外的人未必能拿到这个价钱，当然，即便翻倍到100也不算太高。

然后，要多大的流量就能把门堵住呢？可以简单计算一下，一般P2P网站的带宽基本上都没有超过100M，具体带宽多少，大家可以去问问你们的IT部门，按我个人的经验值，100M带宽，1G的流量基本就能把门堵死了，那么我们能做的事情，无非这么几个：

1、服务器升级，增强处理能力。也就相当于万达发动员工来门口维持秩序，员工越多，能处理的小混混也就越多，但是请注意，服务器升级必然带来成本的增加，升级是有限度的；

2、增加带宽。类似像阿里云这样的服务器，是可以临时增加带宽的，如果实在不够，还可以找第三方协助，建议做P2P的跟这些第三方先打好关系，遇到事情了，可以及时应对。

3、常规的防范措施，也就是堵漏洞。如果用服务器，这个堵漏洞的工作就交给服务器的安全服务去做就行了，很多低水平的攻击可以直接被服务器的安全技术挡回去，这样如果黑客想真的攻击到你的服务器，所需的成本会更大。

我们需要分析下黑客的目的，个人接触过的，和听说过的，黑客攻击的目的无非有三：

第一种，是小白黑客，学了点黑客技能，就想来炫耀，譬如最常见的QQ盗号，这种黑客，一般跟平台没有恩怨也没有利益冲突，最多就是练练手，危害性不大。

第二种，是有目的性的，就是直接来要钱的。这种一般是有组织的，对付这类人，不到万不得已，千万不能妥协，妥协只会助长他们的嚣张气焰，一般的办法是加服务器、加带宽，硬扛，扛一段时间，这类黑客会因为成本过高，而放弃攻击。临时加服务器和带宽，成本还是可以控制的。我个人的意见是，宁可花更多的钱在加服务器和带宽上，也不能把钱给黑客，因为这种人是贪得无厌的，永远喂不饱，今天打发了，明天还会再来。

第三类黑客，就是我们所说的同业攻击了。竞争对手找了黑客做恶意的攻击，对于这类黑客的处理，我的建议是参照第二类，加服务器加带宽硬抗，但可以私下里做一些动作。我曾经给一个朋友的网站（不是P2P）遇到这种问题的时候做过一个策划，官方的表态是决不妥协，硬抗，承担全部用户的损失，但私下里，找相熟的媒体来发小道消息，把他们可能的对手全部针对一遍，也找黑客来对其他平台做一些尝试性的攻击，把水搅浑，让用户觉得这是行业性的问题，不是他们网站一家，然后扛一段时间，就可以大事化小小事化了了。这个仅限于小众点的行业，或者说直接竞争对手明确的企业。

最后，我个人的一些建议。对于黑客，其实这个属于危机公关中的一种，危机并不可怕，因为黑客的攻击结果是可以提前预估的，所以可以提前做好应对的预案。技术方面，请大家务必在自有技术团队外，储备一些防黑客的外围技术力量，包括网络安全、数据库安全等方面的技术专家，可以先交朋友，个别的可以请来做顾问。

另外，就是一些做网络安全的企业机构，一定要提前有接触，最好是先做一些浅层次的合作，这个比较适合已经到了一定量的平台。

先分享到这里，最后送大家一句话：不被黑客惦记的平台，不是好平台。

标签：