把支付寶服務器炸了，花唄還用還嗎？

蔚可雲

這是一個很有意思的問題。2018年ATEC大會上，螞蟻金服CTO胡喜演示了一套容災系統，在支付寶多個機房同時出現問題，40%的服務器無法工作時，僅僅26秒後，系統完成智能切換，用戶資金、數據0丟失。

問題來了，如果支付寶100%的服務器被破壞，數據會不會在地球上消失？這樣一來，花唄是不是不用還了？

因為我們沒辦法知道支付寶容災系統到底長什麼樣，所以只能進行簡單的假設。如果在簡單的假設下，我們仍然無法完全炸掉服務器，肯定也攻不破真實複雜的容災系統。

假設如下：

1.支付寶采用主流的兩地三中心部署架構（事實上它采用了三地五中心）；2.支付寶按照對低配置的金融信息系統設計；3.攻擊者知道支付寶所有服務器的物理位置，並且一炸一個准；

攻擊開始！首先攻擊者面臨的第一個坎：兩地三中心。

兩地三中心指的是在同城有兩個數據中心，外加一個異地容災中心。

先說同城的兩個數據中心，它們有兩種災備方案，一種叫“雙活”，一種叫“熱備份。”

雙活的意思是讓兩個數據中心同時承擔用戶的業務，並且互相實時備份。當其中一個數據中心出現問題時，另一個數據中心能承接業務。

如果只炸了其中一個數據中心，顯然不會產生什麼影響。

熱備份指的是在數據庫運行的情況下進行備份。如果其中一個數據中心被炸掉，會自動切換到另外一個數據中心繼續工作，顯然也不能只炸一個。

得出的結果是，必須兩個全部炸掉。但是即便兩個都被炸了，還有一個異地的容災中心，此時它便會開始工作，切換和恢複數據。

把三個數據中心炸了，不就行了？

還不行！冷備份了解一下。冷備份指的是在關閉數據庫，並且數據庫不能更新的情況下進行備份。

如果容災系統到了用冷備份的時候，就會受到一些影響，因為冷備份不是實時的，它會每隔一段時間備份一次。

假設在剛剛備份完成，到下一次備份開始時的這段時間，有用戶使用了花唄，是不是就不會有借款的數據了？

也不是……只是支付寶暫時不能提供花唄服務而已，因為冷備份肯定不止一份，一段時間後，數據仍然會恢複。

哪怕把所有冷備份全部炸掉，支付寶還可以找各大銀行和金融機構要數據……當然，損失一些只有自己知道的數據，肯定是會沒掉，這個無法避免。

911事件發生後，美國的一家國際金融服務公司摩根士丹利，在世貿大廈的數據中心全部被摧毀，但因為有成熟的容災系統，第二天就恢複了全部業務。有些公司卻因為備用災備系統，最終不得不申請破產。

此後，所有公司都意識到災備的重要性，相關技術迅猛發展。如今想要完全摧毀一家金融機構的全部數據，已經成為幾乎不可能的事情了。

我們提前做了三個假設，仍然很難摧毀支付寶的所有服務器，現實就更別提了。像金融行業的數據中心，從機房的選址開始，就極為苛刻，周圍不能有鐵路、公路、化工廠等存在安全隱患的設施，還要有抗洪、抗震的能力。

不要說炸毀，就算切換數據中心的供電也極其困難。

數據中心會有兩個發電站同時為其供電，另一個是備份的電力供應，與兩地三中心有異曲同工之妙。就算這三個發電站全部無法工作，還有獨立的配電室。

配電室完了，還有ups室可以短時間為數據中心供電。

ups室沒了，還有發電機和儲油罐……

所以，花唄還是老老實實還吧……