25日早間,微盟集團向港交所發布公告稱,2020年2月23日19:00左右收到系統監控警報SaaS業務服務出現故障,經調查,24日確定為集團研發中心運維部一位核心運維員工人為破壞,該員工已經被寶山區公安局進行刑事拘留。微盟表示,2月25日晚上24:00前微盟對SaaS業務生產環境將修復完成,新用戶將可繼續使用公司的SaaS業務。老用戶的數據修復預計將在2月28日晚上24:00前完成。
業內分析人士指出,從微盟的公告看,故障的發現到生產環境的修復大概需要用53小時,用戶數據的修復大概需要5天。反映出微盟在三個方面的重要短板:首先是員工對《國家網絡安全法》等相關法律法規的認識不足,IT部門對《信息安全技術網絡安全等級保護基本要求》2.0(以下簡稱:等保2.0)的重視程度嚴重不足;其次,公司對數據審計嚴重缺失;最后,在運維和實操中對災備和災備演練嚴重不到位。
IT部門對等保2.0的重視嚴重不足
員工人為破壞數據的案例已不是第一次,早在2018年就有相關的案件發生。國家為應對大數據、物聯網、移動互聯網等新興技術對安全帶的挑戰,2019年將等保標準升級到2.0版,將數據安全建設列為核心內容之一。
從身份認證、用戶授權、當問控制、安全審計以及動態監測預警和快速響應等各控制環節都做了明確規定。尤其在針對本地的備份和恢復方面,一共分了四個等級,這四個等級隨著級別的升高,對數據和業務連續行的要求也就越高,除了備份還要求有數據及業務系統的異地容災和本地可用的策略,并要求定時或實施對重要業務信息、系統數據及軟件系統進行備份。此次事件充分反映出還是有很多企業,不乏有大型上市公司沒有將等保相關規定落到實處。
數據審計嚴重缺失
審計的作用在于監視并記錄對數據庫服務器的各類操作行為,并對關鍵業務或數據庫危險操作進行告警并觸發相應攔截。在《計算機信息系統安全等級保護數據庫管理技術要求》、《企業內部控制規范》中明確提出了對工作人員行職責分離,系統設置了權限角色分離,充分發揮數據審計的安全作用。微盟在公告中表示,員工通過VPN登入內網跳板機進行破壞,顯然對他的數據庫危險操作并未進行相關審計并得到有效攔截。
數據審計通過對數據的分析,實時地、智能地解析對數據庫服務器的各種操作,并記入審計數據庫中以便日后進行查詢、分析、過濾,實現對目標數據庫系統的用戶操作的監控和審計。有效防止由維護人員的操作監控失效,以及離職員工的后門導致的安全事件發生。此外還能防止安全漏洞:如溢出,降低數據庫日志文件被篡改的風險。但仍有不少企業存在僥幸心理,缺失審計或繞過審計操作的情況時有發生。
災備及災備演練不到位
即便有了災備和災備預案,平時演練也十分重要。此次事件中,生產環境的修復大概需要用53小時,用戶數據的修復長達5天。顯然,微盟的災備演練不到位。在等保2.0中從二級到四級的管理要求都要求制定演練和災難恢復計劃,確保災備系統的可用、可靠,遭遇應急事件時可快速恢復業務,等級越高對恢復點目標(RPO)和恢復時間目標(RTO)的要求越高,業務恢復的時間是災備建設的關注重點。
RTO/RPO與災難恢復能力等級 《信息系統災難恢復規范》(GB/T 20988-2007)
企業要在不影響災難備份和恢復功能的前提下需要加強災難恢復“平時”的應急演練,確保在突發事件發生時能有效響應,同時要充分利用災難備份設施的各類資源,將日常運營和應急災備需求結合起來綜合排練發揮最大效益。
為確保備份數據的有效性,災備系統應提供自動的災備演練機制,異地機房災備數據中心的災備演練容災機應和生產系統的環境應保持一致,確保演練環境與生產環境的真實性。
總結:
在數據時代,數據就是企業的生命線,此次事件應充分引起企業和IT供應商的重視。不論是IT部門還是企業員工應該及時學習相關的法律法規。IT部門應完善相應的數據安全管理制度、審計程序,嚴格按照操作規程工作。
同時,災備演練要形成制度化、進行周期性演練。每季度有條件的可以每月甚至每周進行一次演練,及時查看生產系統的最近狀態,避免人為疏忽;當業務系統出現問題時便可快速定位問題及時間點,并根據正確的時間點啟動接管機,避免造成損失。
京公網安備 11010502049343號