半年多后再次对微盟删库事件做多元化的分析与反思

  9月20日媒体公开消息，今年2月发生的微盟“删库”事件主角贺某被判6年有期徒刑，贺某透露是酒后因生活不如意、无力偿还网贷等个人问题造成作出“删库”行为。

  上海市宝山区人民法院认为，贺某违反国家规定，删除计算机信息系统中存储的数据，造成很严重的后果，其行为已构成破坏计算机信息系统罪，应当依照法律来追究刑事责任。公诉机关指控的犯罪事实清楚，证据确实充分，罪名成立，依照《中华人民共和国刑法》第二百八十六条第二款、第六十七条第三款、第六十四条、《中华人民共和国刑事诉讼法》第十五条之规定，判决贺某犯破坏计算机信息系统罪，判处有期徒刑六年。

  事件具体起因是2020年2月25日，云端商业及营销解决方案提供商微盟集团发布《自愿公告SaaS业务生产环境和数据遭到破坏》的公告，称2月23日晚其SaaS(软件即服务)业务数据遭到员工人为破坏删除，服务发生故障，大面积服务集群无响应，已暂时无法向客户提供 SaaS 产品服务。

  微盟经过7天的7*24小时的努力，在3月1日晚将数据找回，经测试后于3月2正式将业务恢复上线。微盟正在拟定相关赔付方案来补偿因此次事故而遭受损失的商家。

  微盟事后对恶意破坏生产环境的嫌疑犯进行追踪分析，成功定位到嫌疑犯登录账号及IP地址后，并于2月24日向上海宝山区公安局报案，目前嫌疑犯已经被宝山区公安局进行刑事拘留。

  微盟成立于2013年4月，有员工超3200人，渠道代理商超1600家，注册商户超300万，是中国领军的中小企业云端商业及营销解决方案提供商，2019年1月在香港主板上市。根据微盟的财报数据，2018 年 SaaS 全年业务收入为 3.47 亿元， 占该财政年度集团收入 40.1%，SaaS 业务的毛利润为 2.94 亿元，占该财政年度集团毛利润总额 57.0%。

  此次删库事件导致微盟损失巨大，SaaS服务停摆导致微盟平台约300万个商家的小程序全部宕机，其中不乏洽洽、森马等知名公司及品牌，公司信誉形象大打折扣。财务损失方面，除拟用于赔付客户的1.5亿元外，其股价下跌超22%，累计市值蒸发超30亿港元。

  此事件是典型的运维安全事件倒灌公司经营危机，对蒸蒸日上的互联网产业及网络公司产生了新一轮的、更深远的影响，同时也是一次深深的警示教育，让人深刻警醒，因此借此事件的最终定论再来详细复盘本次事件。

  首先，抛开事件原因和动机，事件发生后，站在IT和安全的角度，不少人都会产生以下疑问：

  该事件从架构安全、员工行为、内外部风险、IT运维数据管控机制和制约环节等等方面都暴露出巨大问题，再一次拉响了内部风险的警报。本文尝试对此次恶意删库事件从IT架构设计、风险管理、法律责任层面进行推演分析，并进行反思与改进。首先来对事件经过进行简单回顾。

  2020年2月23日18时56分，微盟研发中心运维部运维人员贺某通过个人虚拟专用网登入公司内网跳板机，删除了微盟SAAS业务服务主备数据库(但没有做数据覆盖，否则数据不可能找回)。

  2月23日 19 时，微盟内部监控系统报警，SAAS业务出现大面积服务集群无法响应;IT运维人员开始紧急修复。

  2月25日7 时，生产环境和数据部分恢复，核心业务生产环境重新上线，暂时只有新用户使用不受影响。

  2月28日，微盟恢复了所有业务的线上生产环境，并且开放了老用户登录，以及恢复了微站产品的所有数据。

  “删库事件”发生7天后，3月1日，微盟集团宣布，截至3月1日晚8时，被删除的数据已全面找回。

  微盟事后对恶意破坏嫌疑人进行追踪分析，成功定位到嫌疑人登录账号及IP地址，并于24日向宝山公安局报案。嫌疑犯贺某被宝山区公安局刑事拘留，贺某承认了犯罪事实。

  暂且不论嫌疑人删库的动机，只来讨论一下为何一个运维人员的小操作就能使一个上市公司损失惨重、濒临倒闭?微盟在IT运维和管理上存在哪一些问题导致如此难以处理的后果的发生?

  从已经公开的资料分析，微盟此前已有了一些安全管控手段：1、有独立的虚拟专用网;2、有堡垒机;3、数据库也做了备份，具备了基本的安全设备和保障手段，那还存在哪些不足导致了如此严重的后果呢?

  首先，IT运维-权限管理存在漏洞，微盟没有依据数据重要程度对权限进行分级管理，对重要级别高的数据采取高级别的操作权限控制;没有针对核心业务、核心数据等通过动态工单授权申请审批机制和会话实时控制等方法，确保重点服务器任何时刻不能被单个账户直接操作。就好像银行给所有人员相同的访问权限导致保洁阿姨也能进入金库一样，不加区分的权限控制就会出现一个运维人员不加限制立即进入核心系统让一个行业巨头业务停摆几天的事件。

  其次，IT运维审计策略也存在不足。虽然通过堡垒机对运维过程实施了审计，事后通过运维审计提供详细的审计日志给公安机关作为权威证据，锁定恶意操作者，但从结果来看明显没有对数据库账户包括DBA高权限账户的数据库运维行为进行相对有效监控管理，没有对drop index、delete、rm、alias 等危险命令进行严格的制约，否则删库操作不会成功。如果严格设置审计策略，对一些比较敏感的高危险操作(查用户敏感数据、删除数据等)执行实时报警通报和二次授权审批，只有审批通过才能允许命令被执行，就能做到对高风险操作在事中的有效审计防控，让删库行为无从下手。

  微盟的数据备份和恢复机制也存在比较大问题，一家提供信息服务的公司，在数据被删除了，竟然需要用几天来恢复?暴露了微盟数据安全保护机制建设的落后和在数据保护方面投入不足。基本的数据备份和恢复机制首先应该是数据来进行全备+增量备份，依据业务需求设定恢复时间目标(RTO)和恢复点目标(RPO)。其次包含基本的两地三中心的CDP(持续数据保护)系统是肯定应该有的，如果因为经济原因做不到异地应用级双活形式CDP，本地数据级双活起码应该做到，但是从微盟数据需要几天才能恢复，能想象其数据保护机制建设的落后。

  究其根本，此事件发生的最终的原因是公司IT风险内控管理的巨大缺陷。虽然微盟声称此次事故虽由“人祸”引起，但公司管理层有着不可推卸的责任。其中，微盟公司董事会主席兼首席执行官孙涛勇没有对数据安全引起格外的重视，没有对数据安全保障方案进行深入的评估和审查，没有聘请外部专家顾问团队对数据安全做评估和测试，没有把数据安全管理纳入到日常管理范围。公司执行董事兼首席技术官黄骏伟作为公司技术负责人，没有对数据安全引起足够重视，没有严格按公司的内控管理制度，对运维人员的权限进行分级和分区管理，对于数据安全技术体系的建设和引入，缺乏全局和前瞻性设计，对于安全监控体系没有执行到位。公司执行董事兼智慧商业事业群总裁方桐舒，作为SaaS业务负责人，没有对数据安全引起格外的重视，没有严格执行公司内控管理制度并推动研发侧加强数据安全管理。

  对此微盟管理层进行了认真反思，并进行了相关整改活动：加强了内部流程控制管理，同时邀请外部数据安全专家一起来评估数据安全保障方案，并迅速制定了一份数据安全保障计划，采取三项主要整改措施以杜绝此类事故的再次发生：

  (1) 完善数据安全管理制度(涵盖权限、监控、审计方面)，严格执行授权审批制度;

  (2) 使用腾讯云CAM权限系统来进行云资源管理，严格执行分级授权和最小集权限制度，对高危险动作执行二次授权制度;

  (3) 建立科学、高效、安全的网络策略，对开发环境、测试环境和生产环境进行严格隔离;使用腾讯云堡垒机替换自建堡垒机，进行细粒度权限分级和授权管理，同时严格审计堡垒机操作日志，发送安全审计报表;

  (1) 建立多云灾备体系，在北京、上海、南京等地区建立全备份的冷备系统架构;

  (4) 所有非结构化数据，使用腾讯COS对象存储系统来进行归档保存，启用COS的多异地复制功能，数据存放多地，并且COS 冷存储，确保数据只增不减;

  (1) 借助腾讯云数据库MySQL的数据高可用和安全体系，逐步放弃自建数据库服务 ，迁移到腾讯云数据库(CDB)，快速具备数据库跨可用区和异地灾备的能力;

  对一般企业而言，恶意删库会引发严重的风险，包括安全风险和合规风险。微盟发生了恶意删库网络安全事件，要面临数据毁损丢失、系统不能正常运行、业务运营中断等风险，此为安全风险。同时根据《中华人民共和国网络安全法》(以下简称“《网络安全法》”)，微盟作为网络运营者负有网络安全保护义务，违反该等义务，将面临行政处罚、民事诉讼，甚至刑罚，此为合规风险。

  合规是法律的要求，同时也是安全底线;安全则是企业自身经营发展的需求，是更高的标准。对企业而言，首先应该依据法律要求采取各项合规措施，满足合规要求，避免合规风险;在此基础上，再依据自己的风险管理策略，运用适当的技术、商业和法律工具，尽可能地提高安全防护能力，以降低安全风险。这里我们引用著名律师事务所袁立志律师的文章(《恶意删库事件的法律推演》)从安全合规的角度分析此次事件中各层次可能面临的相关责任。

  根据《中华人民共和国刑法》第286条之一，网络服务提供者不履行法律、行政法规规定的信息网络安全管理义务，经监管部门责令采取改正措施而拒不改正，并有严重情节的，构成拒不履行信息网络安全管理义务罪。

  如果微盟没有就相关系统办理网络安全等级保护(以下简称“等级保护”)备案或测评，或者办理了备案但在网络安全监督检查中被发现未落实权限控制等措施，公安机关责令改正而企业没有改正，此时发生的恶意删库事件，则可能构成拒不履行信息网络安全管理义务罪。

  依据《网络安全法》第22条第2款，网络服务提供者应当为其产品或服务持续提供安全维护，保障服务稳定性。第60条规定，违反第22条第2款，并存在以下行为之一，网络运营者需为此承担警告、罚款等行政法律责任：

  在恶意删库事件中，微盟可能会承担违反网络服务安全维护义务的行政法律责任，除非事件发生后企业立即了采取补救措施，依规定及时告知用户并向有关主管部门报告。补救措施一般来说包括启动应急预案、调查事件原因、更改操作权限、启动备份恢复等。告知用户可采用书面通知，也可采用公告方式。网络安全的主管部门包括公安、工信以及网信等多个部门。由于恶意删库涉及刑事犯罪，一般而言，报告公安机关即可满足此处的合规要求，但有些行业还需要报告行业主管或其他监管部门。

  依据《网络安全法》第21条，网络运营者应当按照等级保护制度的要求，履行下列安全保护义务：

  依据第59条，网络运营者不履行网络安全保护义务的，由有关主管部门责令改正，给予警告;拒不改正或者导致危害网络安全等后果的，处一万元以上十万元以下罚款，对直接负责的主管人员处五千元以上五万元以下罚款。

  在发生恶意删库事件的情况下，可能会被认定未履行等级保护义务，除非公司已就相关系统办理定级备案并通过定期测评，这是是否合规的表面证据。如已完成备案并通过测评，则通常能认为其已经履行等级保护义务，免于承担行政法律责任，除非有证据证明没有履行相关的实体义务。

  根据《网络安全法》第42条第2款和第64条，网络运营者应确保用户信息安全，防止个人隐私信息泄露、损毁、丢失，否则面临警告、没收违法来得到的、罚款等处罚。如果微盟遭恶意删除的数据中包含个人隐私信息，则触发个人隐私信息保护义务，面临警告、没收违法来得到的、罚款。除非微盟已经履行等级保护义务，并参照《互联网个人隐私信息安全保护指南》和《信息安全技术个人信息安全规范》两份文件采取适当的保护的方法，则免于承担行政法律责任。

  根据《网络安全法》第25条，网络运营者应当制定网络安全事件应急预案，及时处置系统漏洞、计算机病毒、网络攻击、网络侵入等安全风险;在发生危害网络安全的事件时，立即启动应急预案，采取对应的补救措施，并依规定向有关主管部门报告。

  对于发生恶意删库事件的微盟，可能会被认定违反应急管理义务的责任，依据《网络安全法》第59条，企业将面临责令改正、警告、一万元以上十万元以下罚款等行政处罚。除非已按照上述规定履行事先与事后的义务，则无需承担行政法律责任。

  对于提供企业级服务(2B)的企业而言，如果恶意删库事件造成相关服务长时间没办法恢复正常，可能违反其与所服务的商户之间的协议。比如，云服务商的服务等级协议(以下简称“SLA”)一般会对其服务可用性作出明确约定，服务可用性保证通常达至99.9%乃至更高，如果微盟恶意删库事件致使服务长时间不能回到正常状态，则违反SLA的约定，需承担赔偿责任。

  企业与商户之间的SLA或其他协议可能包含免责条款，如由于网络中断、人为原因等导致服务不可用，企业免责。但是在恶意删库事件中，微盟一般很难依赖这类条款免责，因为不同于黑客攻击等无外部因素，删库事件是企业内部的人为破坏，而微盟对内部人员负有监督管理义务(在合同下该义务标准高于下文对消费的人侵权责任的法定义务标准)。

  对于直接面向消费者服务(2C)的企业而言，消费者的地位与上述商户的地位相似，微盟需向消费者承担违约责任。

  对于2B的企业而言，企业与消费者之间不存在直接的合同关系。如果恶意删库对消费的人的权益造成影响，消费者只能提起侵权之诉。依据《中华人民共和国侵权责任法》，认定企业构成侵权，需满足侵犯权利的行为四要件，其中核心是企业是不是真的存在过错。判断过错的标准，一为是否违反法定义务，二为是否违反一般注意义务。除非微盟依法履行了等级保护义务，并参照《互联网个人隐私信息安全保护指南》《信息安全技术个人隐私信息安全规范》等采取了适当的个人信息保护的方法，则会认定未违反法定义务和一般注意义务，不存在过错，故无需对消费的人承担侵权责任。

  依据刑法286条，违反国家规定，对计算机信息系统中存储、处理或者传输的数据和应用程序进行删除、修改、增加的操作，后果严重的，构成破坏计算机信息系统罪。

  根据《最高人民法院、最高人民检察院关于办理危害计算机信息系统安全刑事案件应用法律若干问题的解释》第4条，所谓“后果严重”，是指(一)造成十台以上计算机信息系统的主要软件或者硬件不能正常运行的;(二)对二十台以上计算机信息系统中存储、处理或者传输的数据来进行删除、修改、增加操作的;(三)违法来得到的五千元以上或者造成经济损失一万元以上的;(四)造成为一百台以上计算机信息系统提供域名解析、身份认证、计费等基础服务或者为一万以上用户更好的提供服务的计算机信息系统不能正常运行累计一小时以上的;(五)造成其他难以处理的后果的。

  恶意删库是很典型的破坏计算机信息系统的行为，“后果严重”的要件容易触发，因此，恶意删库者通常会被以破坏计算机信息系统罪定罪处罚。从最终审判结果看确实如此。

  法律规定如果恶意删库行为导致雇主企业遭受损失，雇主企业可要求该恶意删库者赔偿损失。

  在恶意删库事件中，一般企业管理的人在通常情况下不涉及刑事责任。但参照上述对刑事法律责任的分析，在特殊情况下，若企业构成拒不履行信息网络安全管理义务罪，除企业本身面临罚金外，企业直接负责的主管人员和其他直接责任人员，也面临三年以下的有期徒刑、拘役或者管制以及罚金等刑事责任。此事件中的“直接负责的主管人员”是指微盟任命的网络安全负责人。

  参照上述对企业的行政法律责任的分析，根据《网络安全法》第59条、第64条，若企业违反等级保护、个人隐私信息保护或应急管理义务，直接负责的主管人员将面临五千元以上五万元以下或一万元以上十万元以下的罚款等行政处罚。根据此规定，微盟网络安全负责人还将罚款的行政处罚。

  在恶意删库事件中，如果对违规操作的恶意删库者负有监督管理义务的微盟公司主管人员没有正确履行职责，微盟能要求其承担对应的赔偿责任。

  纵观整件事情，我们大家可以从微盟删库此类事件中得到一些思考。对于中国蒸蒸日上的互联网公司的决策者来说，微盟删库事件的警示意义不仅是一家知名度极高的云服务企业发生了重大数据违反相关规定的行为，导致股票市值暴跌，也不仅是因为千千万万微盟SaaS商户蒙受了无法估算的巨大经济损失，而是因为该事件暴露的“网络安全债”，在大多数企业中都都会存在。这类事件在历史上发生过不止一次(见附录：最近几年的国内外数据库误操作和删库事件)，必须得说很多网络公司过份追求快速地发展，而某些特定的程度上忽略了系统运行的稳定性以及安全性。有IT业内专家在几年前去腾讯、阿里交流安全时，发现在他们IT内部没有过多的内控机制，比如登录某个系统查询了某个用户的数据是不会被审计的。反观国内的银行、电信运营商，在这一个方面做的安全控制措施的确要比网络公司更好，因为这些央企面临监管合规压力较大，很重视用户数据保护与社会影响。不过这几年在国家重视数据安全、个人隐私信息保护的基础上，网络公司，尤其BAT改进了很多。

  可能从公司/老板角度来说，追求公司加快速度进行发展是应该的，但是如果换一个角度来看，那么保证数据安全、业务持续稳定发展也是应该的。发展速度与内控管理是不可调和的矛盾体，是加快速度进行发展还是稳健发展，作为企业决策者又该如何平衡呢?平衡发展与管理是企业决策者的事，作为IT管理者又是否能反思一个问题，如果删库事件发生在本公司，自己又会有咋样的表现和结果呢?

  事件发生后，在IT和安全业内引发剧烈震荡，各个专家、机构和厂商们各抒已见，纷纷发表见解与主张，探讨应该怎么做才有可能尽可能的避免类似删库事件的发生。经过整理分析，至少有以下几个方向值得去深化和探索：

  根据业务使用、系统维护需求，将数据库分库分表配置权限，遵从最小化权限原则执行，同时对数据库主机的操作权限也要最小化，并且限制自由使用rm等危险命令。可以借鉴电信运营商的“金库模式”管控方法，金库模式简单来说就是针对一些比较敏感的操作(查用户敏感数据、删除数据等)，需要两个人配合，一人操作+另一人审批，只有审批通过才能允许命令被执行，确保重点服务器任何时刻不能被单个账户直接操作。

  权限的动态控制，即对于每一个用户长期不使用的系统权限进行“冷回收”，就是如果访问权限长期没用，则暂时回收锁定，若需要再次使用则要重新进行身份验证和审批以重新激活使用权，这样做才能够让权限更合理的最小化。

  对运维人员的访问过程进行细粒度的授权、全过程的操作记录及控制、全方位的操作审计、并对事后操作的流程回放，实现运维过程的“事前预防、事中控制、事后审计”。合理设置审计与告警策略，设定每个用户能使用的黑、白命令集，自动审计识别用户输入命令的安全性，对应采取阻断、告警、放行等操作。事后也能够给大家提供详细的审计日志给公安机关作为权威证据，锁定恶意操作者追究其责任。

  从数据被删就能导致公司几乎倒闭来看，数据资产的价值慢慢的变成了大多数网络公司的核心价值，数据安全已经是信息安全体系的重要环节，然而许多组织机构并不充分了解自身的数据价值和数据安全能力，犹如手拿珠宝的儿童在闹市上玩耍而对危险浑不自知。以数据为核心价值的企业，尤其是互联网公司应该按照数据安全能力成熟度DSMM的方法论，依据数据生命周期，从组织建设、制度流程、技术工具、人员能力四个安全能力维度的建设做综合考量，全方面对数据安全进行能力建设，发现数据安全能力短板，查漏补缺，最终提升互联网行业的整体安全管理上的水准和产业竞争力，促进数字化的经济发展。

  始创于谷歌的零信任架构核心思想是不再区分内、外网，要求对任何试图接入信息系统的访问做验证，消灭特权帐户。将以网络为中心的访问控制改变为以身份为中心的动态访问控制，遵循最小权限原则，构筑端到端的逻辑身份边界，引导安全体系架构从“网络中心化”走向“身份中心化”，可以轻松又有效的避免内部人员的恶意操作。

  参考业内或国内外有关标准建设完善的数据备份与容灾体系，设计细致的数据备份架构与策略，设定RTO与RPO指标，实现数据级容灾或应用级容灾。并制定应急演练预案，模拟不同故障场景定期演练，保障业务的持续性。

  定期对系统的安全来进行评估，提前发现、封堵漏洞，同时建设日志分析与态势感知系统，对操作日志、流量日志进行审计分析，提前感知相关威胁，可能会挽救下一个“删库故事”。

  严格落实网络安全等级保护，包括定级备案和定期测评，并按照等级保护要求完善权限控制和重要数据备份，妥善留存网络日志，做好个人隐私信息保护;制定应急预案，定期开展应急演练;若发生恶意删库事件，立即启动应急预案，采取调查事件原因、更改操作权限、启动备份恢复等补救措施，并及时向公安机关、行业主管部门等报告。

  微盟删库事件暴露的只是企业内部威胁的“冰山一角”，企业面临的最大威胁往往不是外部攻击，而是内部威胁。因此在落实合规义务、确保安全底线的基础上，建立以人为核心的企业内控体系，明确权限控制和数据安全责任，持续对员工开展教育培训，包括法律和法规普及、网络安全培训以及企业文化培训。分析制定内部威胁成熟度参考框架，在企业战略和风险管理设计层面将安全作为重要的原生要素考虑。

  2019年12月，由于Elasticsearch数据库技术人员的疏忽，小米生态链企业，智能家居产品制造商Wyze泄露了超过240万北美用户数据，导致Wyze在北美市场业务和品牌声誉蒙受巨大损失。

  2018年8月，顺丰公司一员工接到一个变更需求，因为选错了实例，将一数据库删除。因工作不严谨导致该系统上临时车线上发车功能没办法使用并持续约590分钟。事后该员工被开除。

  2018年4月，VPS服务商Kuriko因机房技术人员 rm -rf /*，宿主机上所有数据丢失了。

  2017年9月，某企业技术工程师帮助广西移动进行扩容割接(即增加系统容量)时，不小心将HSS设备里面的用户数据格式化删除，导致广西移动近80 万用户数据丢失。

  2017年6月，Reddit网站的一位实习程序员手滑误删了网站的全部生产数据，险些将这个过去五年全球最成功的兴趣社交网站从网络上抹掉。当Reddit准备起诉该员工时，整个硅谷的技术大咖都一致指责Reddit，认为该公司自身糟糕的安全管理才是根本原因。

  2017年6月，一家荷兰海牙的云主机商一名前任管理员删光了该公司全部客户的数据，并且擦除了大多数服务器上面的内容。

  2018年北京一软件工程师徐某离职后因公司未能如期结清工资，便利用其在所设计的网站中安插的后门文件将网站源代码全部删除。最终徐某因破坏计算机信息系统罪成立，获刑五年。

  2018年杭州科技公司的首席技术官邱某因不满企业裁员，远程登录服务器删除了数据库上的一些关键索引和部分表格，造成该企业直接经济损失225万元，后被判赔偿公司8万元，判刑2年6个月，缓刑三年。