微盟删库事件折射出多重管理机制缺失

通信产业网|2020-03-09 17:46:02
作者:隗丹丹 钟新龙 来源:赛迪智库

赛迪智库信息化与软件产业研究所 隗丹丹 钟新龙

2月25日晨间,微盟发布公告称,公司自2月23日19点起出现服务故障,大面积服务集群无法响应,生产环境及数据遭受严重破坏。经查,本次故障是由微盟核心运维人员因个人精神、生活等原因通过个人VPN登录公司内网跳板机进而将公司数据库删除导致。事件造成微盟平台搭载的小程序全部宕机,近300万商家数据丢失,仅一家负责社区团购的商家就表示23日的订单延误共造成约30万损失,事故当天微盟更是股价大跌,市值蒸发近10亿。

一、微盟删库事件造成的影响

微盟是中小企业云端商业解决方案提供商,也是腾讯社交网络服务平台精准营销服务提供商,微盟成立于2013年4月,于2019年1月在港交所正式挂牌上市,集团营收达到6.57亿元人民币,核心业务是SaaS产品,主要围绕商业云、营销云、销售云打造智慧云端生态体系,为企业提供微商城、智慧零售、智慧餐厅、智营销、微站等全场景全链路的SaaS产品,餐饮业知名品牌如林清轩、百草味,以及众多餐饮公司点餐小程序均由微盟提供服务。

删库事件对入驻商家业务开展及数据存储造成重大影响。入驻商家依托微盟平台开展线上业务,尤其在疫情防控期间,线下业务普遍受阻,线上业务成为商家主要订单来源,微盟宕机会造成商家订单延误甚至丢失。由于微盟平台存储大量商家用户信息,若核心数据无法找回,对商家将是毁灭性打击。

删库事件导致了微盟公司市值蒸发和品牌信誉严重受损。“删库跑路”事件发生当日微盟股价应声下跌4.55%,市值损失约9.63亿港元,事件的持续发酵也导致微盟公司26日、27日、28日股票分别大跌8%、4%和12.2%,自2月23日删库事件发生,微盟累计市值蒸发超30亿港元。删库事件的发生也说明整个企业在运营、管理和技术安全上的问题,企业社会形象和商业业态普遍遭受社会质疑,微盟社会公信力陷入危机,许多商家转移到微盟竞品平台,造成客户流失。

删库事件导致SaaS产业安全及企业上云安全引起社会关注。近年来,我国SaaS产业发展迅速,下游应用用户突破20万户,据T研究数据,国内企业SaaS市场规模呈现稳步增长状态,2019年中国SaaS产业市场规模达到237.4亿元,与此同时企业上云转入快速发展阶段,80%企业显露上云意愿,云安全尤其是SaaS服务与数据安全备受瞩目,微盟删库事件的发生无疑将SaaS产业安全及企业上云推上了风口浪尖。

二、微盟删库事件的发生源自于多重管理机制的缺失

微盟删库事件的发生,属于一场典型的“人祸”,本质原因是我国部分云服务提供商存在对安全重视程度不够、疏忽员工心理健康、运维管理权限设定不当等问题。深究微盟事件的原因,主要是以下四点管理机制的缺失。

一是企业安全管理与预警机制的缺失。微盟事件的爆发,将SaaS产业与企业上云推上了风口浪尖,但数据丢失不能归咎于云服务模式以及SaaS产业的不安全、不稳定,企业数据安全管理意识的薄弱以及安全预警响应机制的缺失才应该为此次事件买单。数据安全本身就是企业信息化进程的关键一环,企业防范外部网络攻击的同时强化内部安全管理机制才是正解,加快部署多重备份机制、优化数据系统权限体系、完善数据安全管理制度、强化预警反应机制,才能将内部风险扼杀在摇篮。

二是员工心理健康管理机制的缺失。微盟事件归根究底是内部员工因个人精神压力的过激之举,在一定程度上反映了企业对于员工心理健康管理的忽视。国内企业对于营收与绩效产出的过度重视,往往造成员工高强度、持续性的工作与心理压力,反观国外企业如Oracle、微软、Google均充分重视员工心理健康管理,通过开展心理咨询及时发现并解决员工心理问题。因此完善国内企业员工心理健康管理机制,开辟心理咨询项目、重视心理健康体检、做好工作情绪疏导,方能提升企业人性化管理水平。

三是中小企业运维管理机制的缺失。微盟事件暴露出企业上云进程中小企业运维困境,完善中小企业运维机制是关键。大企业具备资金、规模优势,可实现多重运维与DBA管理,按照业务分层授权;面对类似恶意删库事件,可以通过合理部署数据操作权限,完善分层管理制度来规避风险。反观中小企业,因受限于自身体量、资金以及业务条件,导致一个运维或DBA负责整个系统,权限管理过于集中。针对中小企业运维困境,强化安全预警机制,识别拦截高危命令才为解决问题之道。

四是SaaS应用数据安全管理机制的缺失。微盟删库事件直接造成了入驻商家的经济损失与业务流失,也在一定程度上引发了用户对SaaS应用云端数据安全的担忧。当SaaS服务商将数据转移到云端,IaaS等公有云服务商、SaaS提供商、用户、提供云安全服务的网络安全公司均成为云上SaaS数据安全责任主体的构成部分,当数据安全出现问题后具体分析、划清责任也就变得更为紧迫。明确安全责任划分准则、完善安全责任共担机制、共同构建安全实施策略,才能更好的抵御与应对风险。

【欢迎关注通信产业网官方微信(微信号:通信产业网)】

版权声明:凡来源标注有“通信产业报”或“通信产业网”字样的文章,凡标注有“通信产业网”或者“www.ccidcom.com”字样的图片版权均属通信产业报社,未经书面授权,任何人不得复制、摘编等用于商业用途。如需转载,请注明出处“通信产业网”。

关于通信产业网
通信产业网是通信产业报社主办的面向通信行业的新锐网络媒体,以“资讯专业 社区活跃 资料实用”的特色报道通信产业趋势,服务通信行业发展。