近日，某SaaS服務商(shāng)/微盟遭遇員(yuán)工(gōng)删庫跑路，服務器出現大(dà)面積故障，一(yī)時間讓平台上的幾百萬家商(shāng)戶生(shēng)意基本停擺。這一(yī)事件發生(shēng)後，不管是廠商(shāng)還是平台上的用戶，都在經曆着非常不容易的時刻。

        據官方公布信息，曆經了一(yī)周多的時間，數據已全面找回并且已恢複正式上線。針對事故給平台用戶造成的影響，公司準備了專門的賠付計劃。

        在社交媒體(tǐ)和專業論壇中(zhōng)，這次事件也成了很多技術人員(yuán)在讨論的話(huà)題，數據曆經一(yī)周多時間才恢複，有人推測可能備份數據庫也被同時删除了，本質上這也反映了數據安全管理機制不夠健全。

        作爲一(yī)名多年堅守在IT技術領域的從業者，聽(tīng)到這個消息的時候還是比較震驚的，數據庫被惡意删除，恢複時間漫長，很清楚這對企業用戶意味着什麽。我(wǒ)也想從這次的警醒，和大(dà)家聊聊，雲時代，我(wǒ)們在災備建設與數據安全方面的考驗與防護。

        SaaS應用，被忽視的數據安全

        本來新冠肺炎防控需要，帶動了全中(zhōng)國2億人的雲辦公，相較于各種花哨的營銷大(dà)戰，此次删庫事件更值得警醒，這已不僅僅是一(yī)家雲服務廠商(shāng)的市值蒸發，還有幾百萬用戶的經濟損失，更是因爲這裏暴露出來的網絡安全債，是國内很多企業以往普遍忽視的、不重視的。

        就以我(wǒ)自己工(gōng)作的領域來看，我(wǒ)已經在HR SaaS行業工(gōng)作十多年，從供給端和需求端兩個方面來看，很多公司在實踐過程中(zhōng)還是存在不少業務應用中(zhōng)的數據安全風險。

        比如，國内很多SaaS廠商(shāng)認爲運維團隊是成本中(zhōng)心，不重視信息安全，從而在這個方面不斷地縮減投入，隻有在遇到傷痛的時候，才會臨時增加投入來彌補損失。但我(wǒ)們知(zhī)道，真的發生(shēng)了的話(huà)，每一(yī)次的代價都将是慘痛的。 

        而在需求方，很多企業在選擇SaaS産品時，會更多關注産品看起來好不好看、用起來好不好用，卻容易忽略安全性的考量。另外(wài)也有一(yī)些企業爲了保證安全性，進行本地化部署，但往往本地化之後，系統安全性會變得更加脆弱。

        中(zhōng)國的互聯網發展速度非常快，SaaS是雲計算市場的最大(dà)細分(fēn)市場，這幾年繁榮發展，越來越多的組織轉向了軟件即服務（SaaS），把它做爲解決企業需求的一(yī)種方法。此次疫情更是對國内企業采購SaaS應用起到了推波助瀾的作用。

        雲端過渡，數據安全也是優先事項

        對于我(wǒ)們從業者來說，非常樂于看到越來越多的中(zhōng)國企業采購SaaS産品來提高生(shēng)産力，但還是誠懇建議采購時需要将數據隐私和安全性作爲不可忽視的優先事項。分(fēn)享一(yī)些我(wǒ)們作爲SaaS服務商(shāng)，日常的做法對策：

        第一(yī)，分(fēn)散控制權限，做好人員(yuán)分(fēn)工(gōng)

        做好最小(xiǎo)程度的權限管理（最小(xiǎo)權限原則），3個人3把鑰匙，每人隻能打開(kāi)自己盒子，3個人同時在一(yī)起才能打開(kāi)完整的盒子。在日常管理上重點關注特殊權限賬戶和VPN權限管理。

        第二，加強生(shēng)産系統訪問的安全控制

        建立數據安全治理制度并不斷持續優化，對運維行爲進行事前審批、事中(zhōng)控制、事後審計、定期報表，避免運維人員(yuán)惡意操作和誤操作的行爲，确保高效審批及準确執行。

        不允許研發人員(yuán)對數據層面進行直接篡改，每次生(shēng)産系統的直接訪問必須通過特定審批，并且由專職運維人員(yuán)協調進行隻讀操作。配套的流程管理制度和審批機制，确保關鍵負責人了解每一(yī)次的聯機操作，并做好操作日志(zhì)保存。

        第三，技術上做好預防措施，重視數據資(zī)産保護

        與專業的安全廠商(shāng)配合定期進行安全掃描，加強生(shēng)産系統的軟硬件安全防控能力。

        定期進行對生(shēng)産環境進行數據備份，肯耐珂薩的數據中(zhōng)心采用容災技術，具備2地3備份體(tǐ)系，保障系統高可用。傳統的備份系統将數據從B端還原至A端，過程中(zhōng)數據容量、傳輸速度、磁盤性能等諸多方面都會制約其還原時間。容災技術則可以實現B端直接運行可用系統，極大(dà)程度縮短停機時間。

        定期的安全演練也能提高團隊在面對突發事件時能應對能力，過程中(zhōng)也能檢驗備份數據的完整性，避免有時候一(yī)切準備就緒時，卻發現備份數據損壞而導緻無法正常恢複。

        寫在最後的話(huà)

        數據安全的前題是什麽呢？是數據好好地被保存在服務器裏，系統良好地運行。如果這個前題沒有了，也就沒有所謂的數據安全了。 

————————————————

版權聲明：本文爲CSDN博主「CSDN雲計算」的原創文章，遵循 CC 4.0 BY-SA 版權協議，轉載請附上原文出處鏈接及本聲明。

原文鏈接：https://blog.csdn.net/FL63Zv9Zou86950w/article/details/104681414