一、資損防控介紹

得物提供大量商品買賣等服務，資金流轉(zhuǎn)量大，任何由于設計缺陷、系統(tǒng)缺陷、系統(tǒng)故障、人為操作、安全漏洞等因素都會引發(fā)直接或間接資金損失。資損防控就是在項目全生命周期內(nèi)，引入多種資金分析和控制手段，預防資損故障或控制資損故障影響范圍。

那么在日常工作中，具體如何開展呢？主要可以從以下三個方面來做：

1.機制流程建設

在業(yè)務項目開始時，我們應該評定項目資金風險等級，比如高風險需要重點關注&投入，中風險需要投入多少資源，低風險又如何保障。

(資料圖片僅供參考)

在項目資金風險評定后，產(chǎn)品架構(gòu)設計時需要包括技術(shù)風險設計，比如冪等、分布式數(shù)據(jù)一致性、異地多活等。

然后對于高資金風險項目，我們需要出專門的資金風險系分，在得物重點關注資金流、信息流以及物流的流轉(zhuǎn)，比如業(yè)務的高保鏈路是怎么樣的，有哪些資損風險點等。

接下來就是對輸出的資損風險點進行布防，布防的形式主要是核對和監(jiān)控，核對為主，監(jiān)控作為兜底，因為前面輸出的資損風險點可能會有遺漏，監(jiān)控是業(yè)務異常的感知手段。日常我們也可以通過混沌工程進行風險挖掘&核對規(guī)則驗證。

最后我們需對資損風險告警進行應急，拉起應急小組排查確認風險并修復。

2.人員陣型建設

資損防控并不是靠某一個角色來承擔，而是需要架構(gòu)、研發(fā)、質(zhì)量和SRE一起來防控并嵌入日常工作流程中，從組織架構(gòu)視角，我們需要建立至少三道防線，即研發(fā)防線，質(zhì)量防線和SRE防線，相互兜底，合并共舉達到資損防控的目的。當然各角色在項目各個階段各有側(cè)重，比如SRE負責業(yè)務線上穩(wěn)定性，那么線上的資損防控投入相對大一些。

3.多體系防控

從發(fā)現(xiàn)資損風險時效視角來說，可以分為實時核對（T+0）、近實時核對（T+M）、離線核對(T+H, T+1)，每種核對方式都有其適配的業(yè)務場景，并不存在替代之說，比如不落庫的配置變更適用實時核對，業(yè)務定時任務適用離線核對等等。實際業(yè)務場景布防時需分析業(yè)務特點，然后再使用合適的核對體系工具。在組織分工方面，研發(fā)側(cè)重離線核對，測試側(cè)重近實時核對，SRE側(cè)重實時核對，當然實際工作中并不必這么界線分明，自己看到的風險點，可以選用合適的工具體系。

從核對是否影響業(yè)務運行視角看，可以分為旁路核對和主路核對，旁路核對的結(jié)果對業(yè)務運行不構(gòu)成影響，僅僅是風險揭示，而主路核對是有能力影響業(yè)務運行的，比如資損熔斷用的就是主路核對技術(shù)，在核對告警報出后中斷業(yè)務運行。目前公司已有的A、B平臺都屬于旁路核對體系。

在布防核對規(guī)則后，我們怎么檢驗布防的有效性，同時因為業(yè)務迭代發(fā)展，早前布防的核對規(guī)則需要調(diào)整核對邏輯來適配新的業(yè)務邏輯，也就是說我們?nèi)绾伪ｕr核對規(guī)則？這就需要混沌工程資損演練來支撐了。資損演練又分為有損演練和無損演練，比如在線上搞有損演練時經(jīng)常把金額數(shù)據(jù)加/減0.01，檢驗布防的核對規(guī)則是否發(fā)現(xiàn)，這樣即使發(fā)生了實際資損也在演練預算可以覆蓋的范圍內(nèi)，但在線上搞有損演練需謹慎評估影響范圍。資損防控無損演練關鍵在于生產(chǎn)庫的克隆，這樣在演練時做數(shù)據(jù)篡改并不影響線上業(yè)務運行。

二、資損防控技術(shù)體系

我們在做資損防控時，最重要的一步是風險識別，它是資損核對布防的源頭，可以這么說，如果沒有風險識別就沒有接下來核對布防。風險識別可以通過人工分析和智能系統(tǒng)推導兩種方式得到，從建設發(fā)展階段來說，人工分析通常是最開始采用的方式，在這個基礎上，再通過算法推導+專家經(jīng)驗發(fā)展出智能系統(tǒng)推導。下面依人工分析視角來展開，這里舉例一個簡化版得物系統(tǒng)的資損防控如何做。如下圖所示，左邊為商品交易業(yè)務鏈路，其中包括用戶下單交易和運營配置商品：

圖片

因為交易平臺落有訂單交易的金額和狀態(tài)，而匯金平臺對接各支付渠道，是支付的實際執(zhí)行者，這里就存在上下游訂單金額、狀態(tài)的一致性風險。

如用戶購買的商品在參加營銷活動，交易平臺會查詢商品運營平臺具體活動邏輯，比如營銷活動的預算、優(yōu)惠券使用的限次邏輯，這里可能存在活動預算、優(yōu)惠券使用的業(yè)務型風險。

運營人員配置某次營銷活動，在圈品、價格等關鍵參數(shù)上出現(xiàn)錯配、漏配等配置型風險。

上面所說的風險通常需要在分析PRD、技術(shù)實現(xiàn)文檔或代碼CR后才能識別出來，接下來看看我們?nèi)绾芜M行布防。

1.T+1/T+H核對

在整個資金防控體系的演進過程中，離線核對應該說是業(yè)界最先發(fā)展出來的核對手段，最初與很多銀行一樣，是靠人力做當前的金額跟全天總賬的對賬，之后通過自動的方式，將全量數(shù)據(jù)庫表導出后做計算來進行核對。目前在得物主要是通過ODPS來實現(xiàn)T+1、T+H離線核對，它的優(yōu)勢是不影響業(yè)務生產(chǎn)庫，并且因為是定時調(diào)度運行，所以對于業(yè)務定時任務等需較長時間數(shù)據(jù)回溯的場景比較適配。

圖片

2.T+M核對

通過數(shù)據(jù)庫Binlog可以實現(xiàn)分鐘級的資損核對，這種核對方式對于業(yè)務上下游一致性風險有非常好的發(fā)現(xiàn)能力，日常配合混沌工程的無損演練能力，對于未覆蓋到資損風險也可以很好的揭示出來，所以T+M核對適用于涉數(shù)據(jù)庫字段的一致性風險、蓋帽等業(yè)務場景。

圖片

3.T+0核對

隨著業(yè)務的發(fā)展，對于資損核對也提出更高要求，我們需要發(fā)展出實時核對能力。比如可以通過業(yè)務插樁的方式來實現(xiàn)同步/異步觸發(fā)，同時實時監(jiān)聽業(yè)務執(zhí)行消息，然后數(shù)據(jù)路由至具體業(yè)務域執(zhí)行核對邏輯，這種核對方式屬資損防控領域的重武器，適用于業(yè)務型風險、配置型風險，同時滿足復雜業(yè)務核對場景。目前SRE已經(jīng)在建設T+0實時核對系統(tǒng)。

圖片

4.資損演練

資損演練可以驗證布防的核對規(guī)則有效性，又可以用來挖掘未覆蓋到資損風險，所以資損演練是資損防控體系很重要的一環(huán)。資金無損演練有以下三個關鍵點：

資損防控落地的規(guī)則都是針對業(yè)務數(shù)據(jù)來執(zhí)行的資損防控無損演練的數(shù)據(jù)來自生產(chǎn)環(huán)境無損演練數(shù)據(jù)與生產(chǎn)環(huán)境數(shù)據(jù)實質(zhì)是隔離的

下圖為初步的資金無損演練方案：

圖片

三、得物業(yè)務實踐

作為支持得物業(yè)務的SRE主導了得物履約資金安全保障工作，由于得物履約的業(yè)務鏈路長，風險敞口大，我們認真考慮了業(yè)務穩(wěn)定性及其資損風險并實踐了前述的相關資損防控理念。

圖片

1.高保鏈路梳理

出價、下單、支付、發(fā)貨、結(jié)算、營銷、逆向7個業(yè)務域定義出高保業(yè)務鏈路，輸出資損點、變更點、新增表及字段以及相關監(jiān)控點。

2.工具選型

依托現(xiàn)有工具平臺進行布防，成本最優(yōu)解。

圖片

3.規(guī)則布防

資損防控通過核對規(guī)則落地，同時業(yè)務監(jiān)控配置告警規(guī)則，通過混沌工程演練驗證規(guī)則有效性。

4.觀測告警

a. 應急響應

b. 自動巡檢

i.每天自動巡檢重要指標推送到對應的工作群

5.演練

a.對相關規(guī)則進行保鮮

b. 未暴露風險挖掘

6.實時核對體系建設

a.業(yè)務插樁先旁路核對，后可阻斷核對。

四、總結(jié)&展望

在得物落地資損防控期間，作為SRE一直在宣導的理念：資損防控需要研發(fā)、測試、SRE三方相互協(xié)作，三道防線相互兜底，合并共舉達到資損防控的目標。未來，資損防控我們重點關注以下3個方面：

風險分析--目前我們主要還是基于專家經(jīng)驗，后續(xù)我們將通過數(shù)據(jù)染色，血緣分析，做到自動化的風險輸出。多體系防控--完善資損防控體系建設，抽象通用防控能力與可擴展的精細化防控能力，做到核對工具體系與業(yè)務場景相適配。資損演練--在大規(guī)模的業(yè)務體系之下，純靠人去做攻擊，其實是不太現(xiàn)實的，必須得靠智能化、數(shù)據(jù)化的方式去驅(qū)動。同一個故障，我們讓它在成百上千個系統(tǒng)上面去重放，這樣我們就可以非常高效地去實現(xiàn)大規(guī)模風險的挖掘，驗證風險防控規(guī)則的有效性以及已布防規(guī)則的保鮮。

關鍵詞：