支付宝的备灾能力为何引发争议

本篇文章2461字，读完约6分钟

5月27日下午5点，拥有近3亿活跃用户的支付宝遭遇了大规模接入失败。全国许多省市的支付宝用户都存在无法登录支付宝和余额不正确等问题。至于事件的原因，蚂蚁金服的解释还没有被金融界和互联网界广泛接受。

蚂蚁金服在对《财经》的官方回复中表示，问题的原因是市政建设导致杭州某处光缆被切断，影响了支付宝一个主要机房的正常运行。当日下午约19时，即事故发生后约两小时，支付宝服务恢复正常。

蚂蚁金服表示，它无法准确统计在故障期间使用支付宝的用户数量。

支付宝是中国最大的第三方交易平台，交易总量超过4万亿年，约占中国社会总消费的六分之一。失败发生后，用户普遍担心账户资金的安全，一些用户回应账户余额不同步。

蚂蚁金服回应称，支付宝拥有完善的技术和措施来保护用户资金的安全。支付宝的任何交易都会同时有多条记录，数据可靠性极高。如果存在不同步事务的用户，后续问题将得到正确解决。

蚂蚁金融服务对《财经》的官方回应还指出，支付宝的多站点和多生命系统架构在这起事故中扮演了重要角色。一方面，它没有影响到所有的用户，因为光缆断了。另一方面，当务之急是将故障机房的流量切换到其他机房。当那天晚上7点支付宝服务恢复时，破损的光缆还没有修复。

蚂蚁金服的一名高管告诉《财经》，当涉及资金时，很难实时切换大容量网站，而且有必要将用户数据，尤其是资金数据，安全地切换到其他机房，因此切换操作需要更多时间。从技术上讲，可以实现更快的恢复。速度较慢的原因是为了确保没有数据丢失。

蚂蚁金服对事故的内部总结是，它花了更多的时间来验证数据，并且害怕丢失数据。内部的观点是，这是一个安全但不漂亮的备灾实战，就像潜水，起飞好，空行动是可以的，但水压喷雾不够好。

《财经》记者了解到，支付宝在不同的地方使用两种工作的系统架构，并且有多个计算机房。因此，支付宝杭州机房网络的中断只影响到一个机房，其他机房的业务没有受到影响。

然而，这仍然受到外界的质疑。有两个问题:第一，恢复时间应该长达两个小时；第二个是，是否是由于资金的安全性而主动放慢速度，还是支付宝的应急计划存在漏洞？

一家大型国有银行的内部人士告诉《财经》，如果该银行的支付系统出现大规模故障超过2小时，这已经是一起重大安全事故，很可能会上报国务院备案。

他向《财经》记者强调，传统金融机构出现此类全国性安全问题的概率非常小，因为我行涉及用户资金的重要系统备灾计划非常完整，一般是两地三中心的备份计划，保证了同城备灾和异地备灾的结合，旨在防范重大灾害或战争等极端情况。

上述大型国有银行的内部人士认为，正因为如此，如果一个数据中心因支付宝在银行系统中的光缆断裂而关闭，用户流量和系统将被切换到同一城市或不同地方的其他数据中心。即使不是实时移交，也不会花太长时间。在同一个城市可能会更快，也就是说，用户根本不会感觉到延迟。

《财经》记者采访的一些电信技术人员支持这一说法。中国电信的一位高级技术官员分析说，服务故障转移机制应该是自动的。根据一定的预设策略，不需要人工干预，业务切换后可以手动重新定义流量分流方式。

该消息人士称，支付宝的多中心网络架构设计不同于普通用户接入光缆宽带服务。不可能只使用一个小的地区性计算机房。如果光缆损坏，服务将被中断。支付宝机房服务应该有很多路线。不可能只连接一个操作员。即使只有一个运营商，也肯定是多路接入。数据路由就像电源一样，来自不同的变压器，并且能够就位。

一位曾在汤森路透工作的阿里巴巴程序员也告诉《财经》记者，汤森路透自称是世界上最大的金融网络，处理实时全球金融数据，即使在自然灾害或战争的情况下也不需要停机。他们的计算机房是这样建造的:来自不同电信公司的两条电缆和来自不同电力公司的电缆分别从计算机房的两个方向进入，同一计算机房中的所有系统被实时备份和双重备份，两个不同城市(巴黎和日内瓦)的计算机房被建造成同时实时处理相同的数据。

一位大型国有企业网络运营维护人员表示，从技术角度来看，支付宝的事故可能是由于内部应用模块出现问题。未经严格验证的应用程序升级后，会意外触发未知状态，从而导致此类问题。

上述运维人员也表示，经过观察，支付宝数据库管理员(数据管理人员)紧急恢复了RPO = 10天的完整数据(RPO，恢复点目标，指恢复服务后恢复数据对应的时间点，理想状态为RPO=0，故障会立即恢复，但需要很大的投资)，并持续进行分段增量数据恢复，持续时间约2小时，这是应用模块的问题。

上述中国电信技术人员认为，这种问题的可能性在于支付宝的多个数据中心之间的自动流量切换机制存在问题，只允许人工干预。还有另外三个可能的原因:第一，支付宝可能会受到攻击；其次，支付宝的路由配置瘫痪了。第三，支付宝的云服务器瘫痪了，亚马逊也遇到了这个问题。阿里云系统自称是最先进、最安全的，但它并不支持自己的业务。

对于上述相关问题，来自《财经》的记者询问了蚂蚁金服的情况。蚂蚁金服回应说，具体的技术分析正在加强，但需要一些时间才能得出结论。

蚂蚁金服早前在媒体上的回应中巧妙地表示，之所以需要很长时间，是因为当流量转移到支付宝在深圳的数据中心时，交换系统也受到光纤断裂的影响，所以需要一些时间进行交换。这与技术上他们可以更快恢复的说法不一致，他们之所以更慢是为了确保他们不会丢失数据。

业内其他人士评论称，该事件反映出支付宝仍需提高故障切换能力和应急响应速度，反映出互联网公司普遍缺乏应急响应能力，互联金融系统的运行稳定性并不像此前宣称的那样完美。支付宝遭遇大规模瘫痪后，互联网公司的运营和维护人员成立了微信小组对此进行讨论。

随着云计算和大数据的逐渐普及，以及人们在互联网应用中日益沉重的资产负担，信息技术领域普遍呼吁互联网公司改变其尽力服务承诺和网络架构，向传统电信和信息技术领域99.999%的5 9安全等级靠拢。

蚂蚁金服表示，支付宝将不断提高备灾切换的速度，希望这种切换能让用户在未来没有感知或最小化感知。

至于事故造成的具体损失金额，蚂蚁金服表示，目前还没有统计数据。