大家如何看待这两天在微盟删库跑路的那个员工?
微盟在近日发生了一起严重的事故,而事故的起因就是因为系统运维员工恶意的“删库”导致。而腾讯云也与微盟一起在努力的恢复遭到破坏的数据库,尽量将损失降到最低。这已经不是第一起“删库跑路”事件了,我估计也不会是最后一例。在这个信息化的时代,数据可以说是很多企业立命之本。而信息安全也成为了被提到最多的一个话题。
不过,虽然很多公司已经把系统安全的问题看得很重了,但依旧会出现类似的“删库跑路”事件。为什么类似事件总是屡禁不止呢?首先,还是因为互联网发展到现在,时间还不是很久,响应的法律法规还不是非常的健全。即使我们在部分领域有相关的立法,但是这些法律法规的宣传和学习还并不到位,导致很多人还不清楚“删库跑路”的后果。
就好像曾经的酒驾一样,在国家没有严打酒驾,酒驾的后果没有有效的宣传的时候,其实很多人都不知道酒驾到底会有什么严重的后果,而总会有侥幸的心理。甚至有些人就认为,酒驾的量刑标准就是交通肇事罪,最高也就7年以上。但是直到国家开始严打酒驾,媒体开始宣传的时候,很多人才知道,原来酒驾是可以使用危害公共安全罪来量刑的,最高会被判处死刑。
而“删除跑路”也是一样,可能作为一个员工,遇到了不顺心的事情,他需要有一些途径发泄。在他心里,删库跑路算不上什么很严重的行为,所以他就干了。真的想要减少乃至杜绝这类事件,首要的还是需要加强立法,加强宣传,让人们知道如果你做了这样的事情,后果会是怎么样?这样,才能够在人的心中拉起一条警戒线。但是,仅仅是这样肯定是不够的,有时候人疯狂起来,那就是什么后果都不顾了。
所以,管理上也需要加强权限控制。当然,所谓的管理上加强控制还是只能针对于一些原本权限管理不严格的公司。其实大部分公司的权限管理已经做得很好了。而这次的微盟事故是由于运维人员造成的,一般运维人员的权限是比较高的,基本产品线上的服务器都是可以绝对的操控的。毕竟很多时候,运维人员需要一些比较高的权限来对服务器进行配置管理。
权限低了,很多工作就无法完成,我们通常的管理上,也只是把权限控制到这个人,并且一些监控和追踪机制建立好,事后可以追查,但是要预防上确实很难。既然预防难度大,那么就只有考虑好一旦发生问题,如何处理的机制了。通常来说,数据的备份就非常重要了。而线上数据库的运维和数据备份最好分为两个不同的运维人员来负责。这样,即使有一个运维人员想做出一些危险行为,那么至少他也只能影响到固定的范围,我们还有应对这样灾难的后续方案。
当然,这就需要在管理和各个方面都要能够有所约束了,一旦备份数据和生产数据都交给一个人手上了,那么一旦出现事故,那可能就是不可挽回的了。而对于这个“删库”的员工,我只能说过于不理智了由于自己个人的一些原因,拉着公司一起来买单,还把自己的下半辈子也搭上去了。2019年上半年,微盟的SaaS业务收入为2.19亿元,毛利1.99亿元,这一次的删库,直接可能导致微盟的业务出现下滑,对于利润的影响可以说是巨大的。
而对于品牌这种无形资产来说,那肯定损失就更无法估量了。而这个损失,估计不是一个运维技术人员可以承担得了的,除此之外,这位员工还将面对的是牢狱之灾。根据《刑法》第286条规定:对计算机信息系统功能进行删除、修改、增加、干扰,造成计算机信息系统不能正常运行,后果严重的,处五年以下有期徒刑或者拘役;后果特别严重的,处五年以上有期徒刑。
微盟系统被员工删库,这事到底有多严重?相关各方将会面临什么样的处境?
听到这个消息,让我这个写了7年程序的互联网老兵震惊不已。我其实觉得这件事真的不是这么简单,我从以下几个方面给大家分析一下。一、微盟管理这么差?我08年就开始从事软件工作,直到17年后才没有写程序。虽然没有进过大厂,但是对于软件开发的管理规范还是非常熟悉的。我最早入行的时候,还没有云服务,都是公司自己架的服务器。
有一台服务器是专门做程序和数据库的备份。那个时候我是经理,每天晚上下班前,我都要把数据同步到备份服务器里面,备份服务器只有我们进。机房也必须要公司的证明才能进,所以从理论上来说,如果要删库的话,只有我一个人有权限。当然,这个大家也都可以想到,所以我也给老板提了建议,我每天把程序和数据库除了导到备份服务器外,还会导出到本地,然后发给老板。
这样就算遇到意外,最多也就损失一天的数据。后来去了几家大公司后,就更加严格,每一层的权限都控制的很死,老板手上一定自己管理着一个备份。即使后来使用了云服务器,也会做一个备份,让老板管理。每天都要检查文件是不是最新的。微盟也算是做的挺大的一个公司,难道老板或者总监不知道要自己掌握好备份吗?我真的感觉这个太不可思议了,因为数据库和源文件,对于一个互联网公司就是命根。
二、程序员会不会做这种事?我从业的经验来说,从来没有遇到一个程序员会真的这么干,虽然嘴上有时候会抱怨,但是大家都知道这是违法的。我做管理的时候,也是因为有这种担心,所以会把备份做到极为周全。也会经常给下面的人强调,有任何不满,可以走法律程序,但是如果删源代码或者删库,那就是属于违法行为,要坐牢的,自己掂量清楚这个轻重关系。
所以我从来没有遇到一个程序员会真的做这种事,而且代价多大,大家心里都很清楚,我身边的朋友或者公司,也从来没有遇到这个现象,最有肯定就是批量操作出错,把数据弄乱了,但是数据回滚一下就行了。三、总结根据我自己的经验判断,这么大的一个公司,一个小小的程序员就能拿到数据库的最大操作权限,这种事情的可能性很小。
