微动天下毛磊关于系统安全的浅谈 2月23日晚,微盟集团置身舆论漩涡,大批

　　摘要:“删库跑路”这个程序员之间的日常调侃话题竟成了真事。

　　2月23日晚,微盟集团置身舆论漩涡,大批商家发现微盟服务器出现故障,对于微盟的老用户而言,疫情期间超过5天的系统故障简直就是双重致命打击。针对该行业出现的系统安全事件,很多业内人士以及商家朋友都来咨询微动天下,希望了解微动天下是否有风控措施,遇到这类问题应该如何处理,微动天下的系统如何做到稳定与安全......针对这些问题,我们请来了微动天下联合创始人,也是微动天下产研总负责人毛磊毛总为大家进行解答。

----微动天下毛磊关于系统安全的浅谈//----

　　问题一:我们注意到SAAS行业内某公司出现了一些严重的系统安全事件,请问您是如何看待该事件的?

　　毛磊:关于微盟数据被删除事件,我觉得暴露了两个问题,第一,管理问题。微盟作为SAAS行业的明星企业,拥有庞大的技术团队,这么重要的数据,居然能被一个运维人员删除,这就暴露了他们的管理问题。比如微动天下,我们是需要多方确认的,运维只有一部分权限,他的经理,总监在后台不做操作,一个运维人员是不可能删除全部重要数据的,甚至是CEO,也没有权限一人操作。

　　第二,技术问题。对互联网公司来说,数据就是资产,长达一周的修复时长,也暴露了微盟在技术积累和存储方面还是存在问题的。

　　问题二:从预防的角度,请讲一下应该如何避免出现此类问题?

　　毛磊:关于如何避免此类问题,微盟只是给我们同行敲响了警钟,数据安全、系统稳定这是SAAS行业的命根子。首先,需要加强管理,在权限的划分上要明确,开发只有开发的权限,运维只有运维的权限,如果真的没法做到最小授权,可以使用主机安全管控软件,或者堡垒机,各个云厂商都有,类似rm -rf 、fdisk、drop等等这样的高危命令是可以实时拦截掉的。

　　其次,备份、备份、备份,目前市面上云服务器还是比较安全的,如果资金允许,可以多云备份,比如在阿里云和腾讯云都备份了数据,一方出现问题,在修复期间,另一方数据就能响应。

　　第三,风险预警,一旦有人进行删库动作的时候,技术负责人应该立马收到信息,采取阻止措施。如果发生问题,应该第一时间为客户进行说明,如果反应慢,市场就会给你答案。

　　最后,关心员工,人是最不稳定的因素,再完美的技术,也防不住人。特别是现在互联网都是些年轻人,可能遇到些事情会比较冲动和极端,公司需要多关心多观察,对于运维和数据库好一点,如果发现异常,要及早做调整。