資訊專欄INFORMATION COLUMN
摘要:建立后臺觸發熔斷操作入口,人工錄入熔斷配置或資損防控檢測出異常新增并生效熔斷配置,應急情況生效熔斷,日常支付鏈路不會過熔斷判斷。確認無誤或故障處理完成后,觸發解熔斷操作,業務繼續處理或駁回。
1. 資損盲區
隨著有贊支付體量的增大,資產部門承擔的資金管理,風險把控的責任也越大。我們一方面要小步快跑,快速支撐業務,又要穩住底盤,守好底線。支付業務底線就是守護用戶的每一分錢,不能有資金損失。在我們搭建這套體系前,有贊支付資金類的線上監控是個盲區,缺乏自我發現的能力。業務成功了,但內部對用戶的資金操作可能是錯誤的,導致資損。而且故障發生到發現的時間很長,且大部分是用戶上報,導致故障的影響面擴大,用戶的信任度降低。
預防資損有很多種手段,除了事前線下通過各種測試手段保障資金安全外,線上也是非常重要的一環。除了發現問題,相應的,出現故障時,資損止血的能力也需要配套跟上。
舉一個最基本的支付業務場景,在有贊內部會經歷以下幾個系統之間的交互:
通過上圖可以看出每個系統的處理結果,會依據系統建立的模型存儲在數據庫中,部分關鍵信息會傳輸給下層系統。系統之間處理的重要信息如金額、賬戶不一致就會導致資損。目前我們也內部對賬會發現這些問題,但是內部對賬都是每天跑批執行一次。如果依靠內部對賬來發現這個問題,資損早就發生了。需要調用很大的人力物力去追款,大部分情況下還追不回來。我們分析了有贊近一年來的資損場景,結合歷史的經驗,總結出資損類故障發生有幾下幾大類:
1)有正確的輸入,錯誤的輸出:比如系統與系統之間的金額存儲單位不一致,或者自己處理金額正確,傳輸給下游的金額錯誤,導致后面交易金額錯誤;
2)上下游系統的數據不一致:該處理的沒處理,該到達終態的單據沒有到達終態;
3)冪等控制失效,多扣款或多入賬;
4)系統內部邏輯錯誤,無對外輸出;
5)人工修復異常場景,產生資損。
基于解決以上問題的目的,我們設計了實時防控資損體系。總體設計思路圍繞以下幾點:
1)發現問題的實時性,減少故障的影響面;
2)信息流一致性兩兩比對、資金流平衡型檢查;
3)全方位監控:業務觸發、人工變更資金檢測、歷史數據檢測;
4)檢測的準確性,無誤報;
5)和支付鏈路解藕,不影響主鏈路。
平臺能力是基礎,檢測規則是其靈魂。基于對業務的豐富經驗,我們可以沉淀一些業務資金規則,從旁路來約束和檢測系統邏輯的正確性。比如支付金額-退款金額應該==結算金額,退款金額不能大于支付金額,憑證支付、現金支付無資金流類型不用調用賬務,支付和賬務之間會經過結算的處理,賬務累計出入金額和支付的金額應該要相等。
3. 系統設計: 3.1 總體設計的架構圖如下:系統定位于事前線下測試環境兜底,事中一致性檢測,事后資金兜底,不對業務造成入侵,完全旁路運行。觸發點有 2 個,業務事件消息和數據庫變更 binlog 信息。
分三類信息處理:
1) 基于各個業務事件比如支付完成事件、退款完成事件、確認收貨時結算完成事件,賬務收支明細變更事件等,觸發運行系統內配置的依賴此事件的規則;
2) 通過監聽 binlog 變更,可以檢測到人為操作類變更, 按定義好的邏輯生成對應的檢查點,每個檢查點有包含多個鏈路檢測。觸發對應的規則運行檢測全鏈路數據的一致性、資金的平衡性;
3) 人工處理歷史數據前,對歷史數據的質量進行前置檢測。保證不產生二次資損。
通過系統間兩兩核對數據一致性,或者抽象出系統內的業務規則、資金規則旁路自檢來發現故障。并且實時獲取數據,實時運行,對于業務處理上有滯后和緩沖的場景,我們提供了異步運行的機制,以及三次重試的機會。全面提供系統整體的容錯性,無因系統設計問題導致的誤報。
經過系統的沉淀之后,我們將過程中的數據存儲到了 hbase,把整個支付過程落地成了可視化試圖,可清晰的查看每個環節的數據形態,具體數據就不展示了。
比如一筆訂單可以看到,當前已經是退款完成狀態,對應的支付成功時支付、結算、計費、賬務數據形態:
退款完成環節支付、結算、計費、賬務數據形態:
熔斷的處理流程圖如下:
基于我們之前建立的異常發現能力,同時我們需要具備資金止損能力。建立后臺觸發熔斷操作入口,人工錄入熔斷配置或資損防控檢測出異常新增并生效熔斷配置,應急情況生效熔斷,日常支付鏈路不會過熔斷判斷。
熔斷支持按業務碼緯度、指定的單號、商戶號熔斷;
目前我們在業務方接入的熔斷埋點有 3 個點:退款、結算、出金。為什么考慮這三個地方埋點呢?
1) 我們整個系統的定位都是不侵入主鏈路,對用戶無感知的,所以支付環節不考慮埋點。且錢不能流出有贊的體系外,一旦流出則無法追回。
2) 在支付鏈路產生的故障,考慮在退款、結算環節來做攔截,且支付完成后,錢停留在有贊的中間戶,此時訂正支付鏈路數據,對商戶來說無感知。
3) 一旦在結算環節出現問題,則考慮最后一道兜底,出金報送銀聯前進行攔截。
確認無誤或故障處理完成后,觸發解熔斷操作,業務繼續處理或駁回。
建立了這一整套體系后,半年時間內,我們已經在線下環境聯調時就成功兜底資金處理 bug,線上也避免了多起問題。并定期的進行故障演練來檢測平臺能力。
本文主要介紹大體的設計和實現思路,后續會有詳細的技術細節介紹,敬請期待。資損防控路漫漫,共勉。
文章版權歸作者所有,未經允許請勿轉載,若此文章存在違規行為,您可以聯系管理員刪除。
轉載請注明本文地址:http://m.specialneedsforspecialkids.com/yun/11436.html
摘要:信息泄漏嚴重,詐騙金額一路上升年至年上半年,根據錢盾監控的案件數據表明,單次詐騙金額逐月上漲,從元上漲到元,上漲。詳細版錢盾安全報告版,請點擊這里下載下載地址 一、摘要 近年來電信詐騙案件頻發,從2011年至2015年,全國電信詐騙案件數量從10萬件飆升至約60萬件。而在今年,電信詐騙的數量依然在上升,政府部門在各種公開場合強調必須依法嚴厲打擊,減少其對人民群眾財產安全和合法權益的損害...
摘要:然而業務安全場景,識別用戶身份評估用戶信譽是業務風控的重要依據。數據風控服務的價值回歸到文章開始的問題,業務安全防控如何成為業務促進者,數據風控服務能否達成這個目標答案是肯定的。 你們安全不要阻礙業務發展、這個安全策略降低用戶體驗,影響轉化率——這是甲方企業安全部門經常聽到合作團隊抱怨。但安全從業者加入公司的初衷絕對不是阻礙業務發展,那么安全解決方案能否成為業務促進者,而非業務阻礙者呢...
摘要:支付寶瘋起來連自己都打的項目就是紅藍軍技術攻防演練,他們不僅每周進行全棧級別的演練,每年還會舉行規模極大的期中考試和期末考試。在支付寶,藍軍從屬于螞蟻金服技術風險部,而紅軍則包括及各業務部門的技術團隊。 摘要:?紅軍 VS 藍軍,誰是更強者? ?小螞蟻說: 自古紅藍出CP,在螞蟻金服就有這樣兩支相愛相殺的隊伍——紅軍和藍軍。藍軍是進攻方,主要職責是挖掘系統的弱點并發起真實的攻擊,俗稱...
閱讀 967·2021-11-24 09:39
閱讀 3396·2021-10-27 14:20
閱讀 2326·2019-08-30 14:08
閱讀 3368·2019-08-29 16:34
閱讀 2182·2019-08-26 12:14
閱讀 2110·2019-08-26 11:54
閱讀 2779·2019-08-26 11:44
閱讀 2480·2019-08-26 11:38
