News
新聞資訊
公司動態
刪庫跑路事件發生 ,SaaS雲服務如何守護數據安全
發布時間  :2020-03-11

        近日 ,某SaaS服務商/微盟遭遇員工刪庫跑路 ,服務器出現大麵積故障 ,一時間讓平台上的幾百萬家商戶生意基本停擺 。這一事件發生後 ,不管是廠商還是平台上的用戶 ,都在經曆著非常不容易的時刻 。

        據官方公布信息 ,曆經了一周多的時間 ,數據已全麵找回並且已恢複正式上線 。針對事故給平台用戶造成的影響 ,公司準備了專門的賠付計劃 。

        在社交媒體和專業論壇中 ,這次事件也成了很多技術人員在討論的話題 ,數據曆經一周多時間才恢複 ,有人推測可能備份數據庫也被同時刪除了 ,本質上這也反映了數據安全管理機製不夠健全 。

        作為一名多年堅守在IT技術領域的從業者 ,聽到這個消息的時候還是比較震驚的 ,數據庫被惡意刪除 ,恢複時間漫長 ,很清楚這對企業用戶意味著什麽 。我也想從這次的警醒 ,和大家聊聊 ,雲時代 ,我們在災備建設與數據安全方麵的考驗與防護 。

        SaaS應用 ,被忽視的數據安全

        本來新冠肺炎防控需要 ,帶動了全中國2億人的雲辦公 ,相較於各種花哨的營銷大戰 ,此次刪庫事件更值得警醒 ,這已不僅僅是一家雲服務廠商的市值蒸發 ,還有幾百萬用戶的經濟損失 ,更是因為這裏暴露出來的網絡安全債 ,是國內很多企業以往普遍忽視的 、不重視的 。

        就以我自己工作的領域來看 ,我已經在HR SaaS行業工作十多年 ,從供給端和需求端兩個方麵來看 ,很多公司在實踐過程中還是存在不少業務應用中的數據安全風險 。

        比如 ,國內很多SaaS廠商認為運維團隊是成本中心 ,不重視信息安全 ,從而在這個方麵不斷地縮減投入 ,隻有在遇到傷痛的時候 ,才會臨時增加投入來彌補損失 。但我們知道,真的發生了的話 ,每一次的代價都將是慘痛的 。 

        而在需求方 ,很多企業在選擇SaaS產品時 ,會更多關注產品看起來好不好看 、用起來好不好用 ,卻容易忽略安全性的考量 。另外也有一些企業為了保證安全性 ,進行本地化部署 ,但往往本地化之後 ,係統安全性會變得更加脆弱 。

        中國的互聯網發展速度非常快 ,SaaS是雲計算市場的最大細分市場 ,這幾年繁榮發展 ,越來越多的組織轉向了軟件即服務(SaaS),把它做為解決企業需求的一種方法 。此次疫情更是對國內企業采購SaaS應用起到了推波助瀾的作用 。

        雲端過渡 ,數據安全也是優先事項

        對於我們從業者來說 ,非常樂於看到越來越多的中國企業采購SaaS產品來提高生產力 ,但還是誠懇建議采購時需要將數據隱私和安全性作為不可忽視的優先事項 。分享一些我們作為SaaS服務商 ,日常的做法對策 :

        第一 ,分散控製權限 ,做好人員分工

        做好最小程度的權限管理(最小權限原則) ,3個人3把鑰匙 ,每人隻能打開自己盒子 ,3個人同時在一起才能打開完整的盒子 。在日常管理上重點關注特殊權限賬戶和VPN權限管理 。

        第二,加強生產係統訪問的安全控製

        建立數據安全治理製度並不斷持續優化 ,對運維行為進行事前審批 、事中控製 、事後審計 、定期報表 ,避免運維人員惡意操作和誤操作的行為 ,確保高效審批及準確執行 。

        不允許研發人員對數據層麵進行直接篡改 ,每次生產係統的直接訪問必須通過特定審批 ,並且由專職運維人員協調進行隻讀操作 。配套的流程管理製度和審批機製 ,確保關鍵負責人了解每一次的聯機操作 ,並做好操作日誌保存 。

        第三 ,技術上做好預防措施 ,重視數據資產保護

        與專業的安全廠商配合定期進行安全掃描 ,加強生產係統的軟硬件安全防控能力 。

        定期進行對生產環境進行數據備份 ,肯耐珂薩的數據中心采用容災技術 ,具備2地3備份體係 ,保障係統高可用 。傳統的備份係統將數據從B端還原至A端 ,過程中數據容量 、傳輸速度 、磁盤性能等諸多方麵都會製約其還原時間 。容災技術則可以實現B端直接運行可用係統 ,極大程度縮短停機時間。

        定期的安全演練也能提高團隊在麵對突發事件時能應對能力 ,過程中也能檢驗備份數據的完整性 ,避免有時候一切準備就緒時 ,卻發現備份數據損壞而導致無法正常恢複 。

        寫在最後的話

        數據安全的前題是什麽呢 ?是數據好好地被保存在服務器裏 ,係統良好地運行 。如果這個前題沒有了 ,也就沒有所謂的數據安全了 。 

————————————————

版權聲明 :本文為CSDN博主「CSDN雲計算」的原創文章 ,遵循 CC 4.0 BY-SA 版權協議 ,轉載請附上原文出處鏈接及本聲明 。

原文鏈接 :


公正性聲明
X

公正性聲明

本公司為提高服務質量 ,維護客戶合法權益 ,使客戶保持對公司的良好信心 ,特作如下聲明 :
(1)本公司具有獨立開展檢驗檢測業務的資格 ,遵守國家法律法規和認證認可機構的要求 ,應當遵守法律 、行政法規 、部門規章的規定 ,遵循客觀獨立 、公平公正 、誠實信用原則 ,恪守職業道德 ,承擔社會責任 。嚴格遵守國家法律法規 ,堅持科學公正的立場 ,遵循良好的職業規範 ,對出具的測評/測試報告負法律責任 ;
(2)行為公正 ,為所有的測評/測試委托單位提供同樣的優質服務 ;
(3)嚴格按照CNAS-CI01:2012《檢驗機構能力認可準則》 、CNAS-CI01-G001:2021《檢驗機構能力認可準則的應用說明》 、CNAS-CL01:2018《檢測和校準實驗室能力認可準則》 、CNAS-CL01-G001 :2018《CNAS-CL01《檢測和校準實驗室能力認可準則》應用要求》 、RB/T 214-2017《檢驗檢測機構資質認定能力評價 檢驗檢測機構通用要求》 、《檢驗檢測機構資質認定管理辦法》(總局163號令2021年版) 、《檢驗檢測機構監督管理辦法》(國家市場監督管理總局令第39號令) 、CNAS-CL01-A019:2018《檢測和校準實驗室能力認可準則在軟件檢測領域的應用說明》和相關認可領域 、行業相關法律法規的要求 ,保證測評/測試工作的獨立性 、準確性和公正性性 ;
(4)保證嚴格按照國家標準進行測評/測試 ,確保測評/測試數據的準確性 ;
(5)行政管理人員不得利用職權隨意幹預測評/測試工作的正常進行 ,不得對測評/測試人員施加財務和其他方麵的壓力和影響 ,不得強製或暗示測評/測試人員變更測評/測試測結果 ,以確保測評/測試過程和結果的科學性 、可靠性 。
(6)公司工作人員保證自覺抵製經濟利益的誘惑或來自行政方麵的幹擾 ,不以權謀私 ,不受任何來自內外部的不正當的商業 、財務和其他方麵的壓力和影響 ,防止商業賄賂 ,以保證測評/測試工作的公正性 、獨立性和嚴肅性 。
(7)本公司對在測評/測試活動中獲得的國家秘密 、商業秘密和技術秘密包括客戶的技術 、資料 、數據 、所有權進行嚴格保密 ,以維護客戶和公司的合法權益 。對客戶的相關技術資料 、測評/測試信息負保密責任 ,未經客戶授權不得以任何形式擴散 。
(8)公司工作人員不得在與被測項目及工作範圍內的有關單位或其他檢測業務相同或相似的檢驗檢測機構兼職 ,且不得從事任何有損於公司公正形象的活動 ,公司管理層行為不得違背公正性聲明 。
以上聲明 ,敬請客戶和社會各界給予監督 。

成都市新2會員手機管理端信息安全技術有限公司