從微盟系統(tǒng)被刪庫(kù)事件來看定制開發(fā)有多重要

2020-02-27 13:38:25

    在當(dāng)今這個(gè)時(shí)代,數(shù)據(jù)已經(jīng)成為一家公司最有價(jià)值的資產(chǎn)。經(jīng)營(yíng)公司就是經(jīng)營(yíng)數(shù)據(jù),公司開發(fā)軟件系統(tǒng),用來規(guī)范企業(yè)的運(yùn)營(yíng)和分析日常經(jīng)營(yíng)過程中的問題。另外電商平臺(tái)和各種第三方平臺(tái)已經(jīng)成為企業(yè)必不可少的軟件系統(tǒng)工具。如淘寶、百度和這次事件的主角:微盟,一個(gè)機(jī)遇SaaS的基于微信公眾賬號(hào)、微信小程序的電商平臺(tái)。

微盟數(shù)據(jù)庫(kù)被刪事件

    此次事件最無辜的當(dāng)屬微盟的眾多商戶和代理商。商戶在微盟平臺(tái)上的數(shù)據(jù)是花了大力氣大價(jià)錢積累起來的,莫名其妙的一夜之間就打回了解放前。小溪暢流一直的觀點(diǎn)是當(dāng)公司的業(yè)務(wù)壯大之后應(yīng)該及時(shí)定制開發(fā)自己電商平臺(tái)或者公司管理軟件。為的就是能夠自主決定軟件的功能和系統(tǒng)的所有數(shù)據(jù)。

    小溪暢流一直是企業(yè)的第三方技術(shù)部門和數(shù)據(jù)分析部門。我們也曾經(jīng)經(jīng)歷過被攻擊的情況,知道數(shù)據(jù)對(duì)于企業(yè)的價(jià)值有多大。我們積累了系統(tǒng)安全的實(shí)戰(zhàn)經(jīng)驗(yàn),也完善了數(shù)據(jù)安全制度。當(dāng)然,這都是出于對(duì)小溪暢流的軟件定制開發(fā)客戶的系統(tǒng)安全考慮。大致說一下我們公司的數(shù)據(jù)安全規(guī)范吧。

    ​1. 服務(wù)器遠(yuǎn)程密碼定時(shí)更新,而且只有關(guān)鍵負(fù)責(zé)人有權(quán)限,建立敏感數(shù)據(jù)操作的雙人復(fù)核機(jī)制

​    線上數(shù)據(jù)的操作是所有業(yè)務(wù)操作中風(fēng)險(xiǎn)最高的一種。很多公司為了提升效率,對(duì)DBA開放了很大的權(quán)限,DBA可以操作線上的所有數(shù)據(jù)庫(kù)實(shí)例和數(shù)據(jù)。但是對(duì)于一些高風(fēng)險(xiǎn)的操作(比如刪庫(kù),刪表,大批量插入/更新/刪除數(shù)據(jù)等等)還是應(yīng)該要有雙人審批。我沒有用過騰訊云,不知道騰訊數(shù)據(jù)庫(kù)是不是有這種管理權(quán)限,但在我了解過的一些中/大型互聯(lián)網(wǎng)公司中,都有這種限制。

    ​設(shè)想一下,如果微盟的DBA管理有這樣的流程,就不會(huì)因?yàn)槟骋粋(gè)人的有意操作而導(dǎo)致這樣毀滅性事件的發(fā)生了。

    ​2. 建立數(shù)據(jù)實(shí)時(shí)備份

​    微盟作為一個(gè)注冊(cè)商戶達(dá)到300w+,渠道代理商超過1600家的SaaS服務(wù)商,在23號(hào)19點(diǎn)刪庫(kù)后竟然要等到28號(hào)才能恢復(fù)數(shù)據(jù)?紤]到騰訊云的數(shù)據(jù)庫(kù)是基于開源MySQL的,而這種數(shù)據(jù)庫(kù)一般都是一主多從(一般一主三從),應(yīng)該可以推測(cè)這名運(yùn)維老哥把幾臺(tái)服務(wù)器的庫(kù)都干掉了(好徹底,這是多大的仇啊~。。但即便如此,微盟要重新恢復(fù)數(shù)據(jù)(說是恢復(fù),但我估計(jì)不會(huì)完全恢復(fù))還要近5天時(shí)間,充分說明沒有對(duì)數(shù)據(jù)進(jìn)行線上異地災(zāi)備。

    ​3. 關(guān)鍵應(yīng)用業(yè)務(wù)的刪庫(kù)監(jiān)控機(jī)制

​微盟作為騰訊云上一個(gè)大型使用者,當(dāng)其發(fā)生巨量數(shù)據(jù)庫(kù)刪除的操作時(shí),騰訊云應(yīng)該有對(duì)應(yīng)的事中監(jiān)控機(jī)制。這里和大家舉一個(gè)金融行業(yè)中的例子,比如我某次出國(guó)(東南亞國(guó)家)時(shí)在一家商店刷卡消費(fèi),當(dāng)時(shí)刷卡后等了很久都沒有通過,正在我詫異時(shí)接到發(fā)卡行打來的確認(rèn)電話,原來銀行發(fā)現(xiàn)我在一個(gè)從未消費(fèi)過的國(guó)家要支付一筆較大金額,而且這個(gè)國(guó)家還是信用卡盜刷的高發(fā)地,所以銀行當(dāng)時(shí)做了管控,一定要電話確認(rèn)后才確認(rèn)交易。

程序員的煩惱

    小溪暢流多年從事軟件的定制開發(fā),軟件開發(fā)服務(wù)只是最基礎(chǔ)的最初的服務(wù),正式的服務(wù)是長(zhǎng)期的技術(shù)支持。從軟件的迭代升級(jí)到數(shù)據(jù)的安全,定制開發(fā)有無可取代的優(yōu)勢(shì)。業(yè)務(wù)咨詢:18954195455(同微信)。