微盟SaaS业务数据遭运维员工破坏,保障用户数据安全不能只靠道德

2020-02-25 17:35:07来源: 热度:
2月25日一早,微盟集团发布公告称,SaaS业务数据遭到一名员工“人为破坏”,已向上海警方报案,该员工已被刑事拘留。
 

 
随后微盟公司立即召集相关技术人员进行排查,并与腾讯云技术团队一起研究制定修复方案。

 
微盟在公告中表明了这几点:
 
1、紧急修复:根据公告,截止到2月25日7点,微盟的生产环境和数据修复都在有序的进行,预计2月25日晚上24点前生产环境将全部修复完成,微盟所有新用户将可恢复服务,老用户由于数据修复时间问题,微盟将提供临时过渡方案,预计老用户数据修复将可在2月28日24点前完成。
 
2、拟定赔付方案:针对此次事故深表歉意,微盟正在拟定相关赔付方案,以补偿因此次事故而遭受损失的商家,微盟集团对此次因人为造成的事故灾难无比愧疚,今后将一定吸取这个惨痛的教训,加强对线上运维的治理,同时也对因远程办公而疏忽对员工的精神状态的关注而深表痛惜。
 
另外,经过此事,企业应该重新审视自己的防范预案是否合理,一定要在在技术、制度和流程规范这三个方面进行加强,保障用户的数据安全。
 
在技术层面,企业要注意完善备份恢复体系,使得恢复能够可控,高效,比如数据库增备和基于 binlog 的闪回技术;集群环境的恢复是系统薄弱环节,系统服务之间互相依赖,这是之前很少有人关注的;使用回收站技术,杜绝人为恶意,误删除;服务权限设置,需指定客户端权限;
 
在流程方面,企业可以完善故障演练流程,作为一项共同目标来请协做完成,做到忙而不乱;完善故障响应流程,明确不同等级问题系统的具体负责人,并且运维操作需要报备;引入审计流程,实现独立的服务审计机制;业务异常预警,需要同步相关链路层。
 
在制度方面,企业的服务访问权限需要审批;定期清理无效权限或者调整密码;备份可用性检测和审计流程衔接。
 
最近几年,由于技术人员故意或者有意造成的事故不计其数。2018 年 3 月,Stack Overflow 发布了他们的开发者调查报告,并首次提出了有关道德的问题。对于“开发人员是否有义务考虑代码的道德影响”这个问题,有近 80%的人回答“是”。不过,只有 20%的人认为他们最终在为不道德的代码负责,40%的人会在被要求的情况下写不道德的代码,只有 50%的人表示在发现不道德的代码时会举报。
 
技术在大部分时候都是为业务服务,虽说开发者的话语权是拗不过盈利这条大腿的。但是,遵守职业道德是最后的底线,如果技术人员做不到这一点,那保护用户数据的最后一道防线就会崩塌。

责任编辑:倪迎春

为您推荐

日本各大运营商云计算战略生意经

日本的运营商目前纷纷推出各自的云计算布局,运营商认为,他们可以发挥在可靠性和安全性上的优势,在云计算市场上一显身手。NTT进入以知识为服务的KaaS阶段NTT集团2009年已明确将云计算和SaaS业务作为整个集团盈利的主要工作。从2009年夏天开始,NTT集团把原来各自开展SaaS业务的NTT数据公司和NTT通信公司的力量统合起来,建立NTT集团的云计算平台,集全集团之力,大力推进云计算。目前,NTT集团已成为日本运营商开展云计算的领头羊。2010年春,NTT正式推出云计算平台Setten,提供公开的API(应用程序界面),使外部用户和企业可利用其BizCITY的功能,独立开发自己的应用软件,