【51CTO獨家特稿】在進入IT化的各個行業當中，金融行業無疑是最最謹慎、最注重穩定性、可靠性、一致性、尤其是安全性的行業。鑒于金融行業中各種數據的重要性，金融IT系統的安全防護和災難備份是相關系統維護工作中最為根本的元素。然而世界上的事情往往是，即使所有人都知道某件事很重要，但因為最基本的安全防護沒做好（如管理員密碼只設了4位）或者備份沒做好（備份根本沒做對，或者異地備份沒做對）而造成慘痛問題的事情仍然每年都會發生。

頻道推薦：系統運維秘訣大分享：什么該做什么不該做

最近一周，一則有關韓國農協銀行因系統癱瘓導致金融服務中斷的新聞在國內外媒體平臺上傳的沸沸揚揚，在上周日觀看CCTV的朋友們應該也看到了這則新聞。由于這次癱瘓與IT系統和維護人員有很大的關系，也引起了IT業內人士的關注。銀行系統癱瘓的事件，全球各國的各個銀行其實多少也都遇到過，但是由于本次事件的數據丟失情況特別嚴重，絕對值得所有業內人士，尤其是系統運維人士、數據庫管理員和安全運維人士警醒。

那么，這次事件到底是怎么一回事？下面筆者嘗試用QA的方式，將本次事件的大致情況介紹一下。

Q：韓國農協銀行是誰？

A：韓國農協銀行（NH Bank），號稱韓國最大的銀行，韓國四大銀行之一，由韓國農業協會（Nonghyup）所擁有。國內有說法（比如CCTV）稱其為“韓國農信社”。農協銀行的顧客數量在全國有約3000萬名，共有約5000家分行，擁有韓國境內最大的銀行網絡。

Q：銀行癱瘓事件是怎么回事？

A：2011年4月12日下午，農協銀行的電腦網絡開始出現故障，導致客戶無法提款、轉賬、使用信用卡和取得貸款。系統故障一直持續了3天，直到4月15日才恢復部分服務，而有些服務直到4月18日仍然沒有恢復，以至于銀行不得不采用傳統的手寫交易單的方式進行服務。

根據農協銀行工作人員報告的情況，本次事件源于系統服務器數據被刪除造成的系統癱瘓和數據丟失。大約540萬名信用卡客戶的交易記錄被刪除。

Q：韓國農協銀行的IT架構和維護是怎樣的情況？

A：韓國農協銀行的IT架構運營由外包團隊負責，該外包團隊在2004年與農協銀行簽署了為期10年的外包合同。

Q：整個事件的技術細節是怎樣的情況？

A：根據農協銀行工作人員、韓國檢察官、金融監督院、以及中央銀行調查員的初步調查，4月12日下午4:30到5點之間，某人在外包團隊中一位雇員的筆記本對銀行核心系統的275臺服務器下達了rm.dd命令，該命令會刪除服務器上的所有文件。被刪除的服務器包含重啟系統用的服務器。結果就是當天下午5:30左右開始，該銀行在全國1154個分行的服務中斷。

rm.dd是最高級別的系統命令，只有擁有最高安全權限的Super Root用戶才有權限執行，而且僅限銀行內網的特定IP段。農協銀行的IT副主管表示，Super Root權限只有制造這些服務器的IBM韓國公司的少數高層管理員才擁有，而銀行的550名IT工作人員是沒有這個權限的；但是根據調查員的確認，農協銀行IT部門應該也有4、5人擁有該權限。

根據調查員的進一步分析，認為整個事件是一次惡意黑客攻擊，rm.dd命令只是惡意軟件的一部分，不知道從什么時候開始安裝在了該員工的筆記本上。

農協銀行系統共有553臺服務器，其中有320臺與該筆記本有網絡連接。

在事故過程中，位于良才的中繼代理服務器以及位于安城的災備服務器都失效了（官方沒有說明具體原因，但是既然無法恢復數據，說明災備服務器上的數據也丟失了），結果就是系統恢復只能通過給553臺服務器重裝系統來解決。

筆記本的所有者表示刪除命令并非自己所下達。事發當時，該員工的筆記本放置在銀行的辦公室內。根據當天閉路電視的錄像，可能有20個人有機會接觸到這臺筆記本，這20人當中有一人擁有Super Root權限。

但是，也不排除有黑客從外部互聯網連接到這臺筆記本，再通過這臺筆記本做跳板對服務器下達指令的可能，因為該筆記本在當天的24小時內與外網是連通的。

Q：這次事件是獨立事件嗎？

A：不好說。類似的事件在韓國金融行業并非個案。剛剛在農協銀行事件過后的三天，現代汽車金融公司的數據也遭遇了客戶信息被黑客偷竊的事件。韓國政府近期將對金融行業的安全規范進行嚴查，以減少此類事件的發生。

51CTO總結

這次事件究竟是因為沒有嚴格執行安全規章所致？是災備措施沒有做到位？是黑客太厲害了？請看51CTO安全專家李洋的解析：從韓國農協銀行事件談信息安全工作的要點。

【51CTO.com獨家特稿，轉載請注明原文作者和出處。】

【編輯推薦】

1. Google系統管理員的技巧分享與碎碎念
2. 系統管理員易犯錯誤及解決方法匯總
3. 51CTO電子雜志《Linux運維趨勢》第6期發布，主題：備份

參考資料

1. NH blames IBM for network crash 
2. 韓最大銀行網絡遭遇黑客 農協銀行5000分行電腦癱瘓三天 
3. 最壞的農協金融計算機故障，只是單純的事故嗎？ 
4. No. of Nonghyup fiasco suspects narrowed to 20 
5. Nonghyup woes alarm IT security professionals
6. External hacker suspected in Nonghyup network crash 
7. Malicious server attack caused Nonghyup Bank glitch 
8. “rm.dd” — IT Security or the Lack of It 
9. Probe into online failure stepped up 
10. 【CCTV視頻】韓國農信社陷安全門