2020年02月23微盟研发中心运维部核心运维人员通过VPN登入服务器,并对线上生产环境进行了恶意破坏。微盟内部系统监控报警,出现大面积服务集群无法响应,目前犯罪嫌疑人已被宝山区公安局刑事拘留,承认了犯罪事实。受此影响,微盟集团市值约蒸发12.53亿港元。
微盟删库事件在IT圈引起了广泛关注讨论,尤其是运维、网络信息安全的从业者中。今天我们从网络信息安全等级保护的思路去分析讨论微盟删库事件对我们的启示。由于资料有限,难免会有不妥之处,这里仅做一些理论层面的分析,供大家参考。
微盟企业负责人视角
首先是经济上的惨痛损失。本次事件对微盟自身及行业都有较大影响,据相关统计,截至2020年2月25日10点整,微盟集团报5.620港元,跌幅5.23%。2月24日至2月25日10点整,微盟集团市值因此约蒸发12.53亿港元。
对于微盟的老用户,将面临超过5天的系统故障。对疫情期间本来正在经受门店歇业重创的商家来说,则是双重致命打击,真可谓雪上加霜。该部分的经济损失不可估量。
然后是微盟的社会公信力受到较大影响。此事件或将极大影响微盟的社会形象和商业生态。难免会让公众质疑其管理、服务和技术。
最后,如何加强对员工的关怀,尤其是核心员工的关注及必要的帮助,也是各单位需高度重视的工作。这方面必须向我党学习!
删库者视角
可能面临的法律惩罚:
1、根据《网络安全法》第二十七条: 任何个人和组织不得从事非法侵入他人网络、干扰他人网络正常功能、窃取网络数据等危害网络安全的活动;不得提供专门用于从事侵入网络、干扰网络正常功能及防护措施、窃取网络数据等危害网络安全活动的程序、工具;明知他人从事危害网络安全的活动的,不得为其提供技术支持、广告推广、支付结算等帮助。
第六十三条:违反本法第二十七条规定,从事危害网络安全的活动,或者提供专门用于从事危害网络安全活动的程序、工具,或者为他人从事危害网络安全的活动提供技术支持、广告推广、支付结算等帮助,尚不构成犯罪的,由公安机关没收违法所得,处五日以下拘留,可以并处五万元以上五十万元以下罚款;情节较重的,处五日以上十五日以下拘留,可以并处十万元以上一百万元以下罚款。
单位有前款行为的,由公安机关没收违法所得,处十万元以上一百万元以下罚款,并对直接负责的主管人员和其他直接责任人员依照前款规定处罚。
违反本法第二十七条规定,受到治安管理处罚的人员,五年内不得从事网络安全管理和网络运营关键岗位的工作;受到刑事处罚的人员,终身不得从事网络安全管理和网络运营关键岗位的工作。
2、《刑法》第二百八十六条:违反国家规定,对计算机信息系统功能进行删除、修改、增加、干扰,造成计算机信息系统不能正常运行,后果严重的,处五年以下有期徒刑或者拘役;后果特别严重的,处五年以上有期徒刑。
对从业者的警示:
坊间流传了各种版本的事情起因,我们这里无法考究也不想八卦。只是想提醒大家,不要采用类似的一时爽的自残方式处理。公司的经济损失有可能能挽回,但最终的严重后果只能自己承担,而这些后果一旦产生无法弥补,无法挽回。
运营者视角
抓紧翻开《网络安全等级保护基本要求》GB/T 22239-2019复习一下,并逐一自查一下是否落实到位。(这里只选取了部分关联的要求项,并对个别要求项做简要解读,如需 全面了解请联系我们,获取等级保护测评工具书,以获得全面的指导)
以第三级安全计算环境为例,我们从安全事件的预防、安全事件的处置和安全事件的善后处理三个维度对需要加强的要求项进行了分类:
一、安全事件的预防:
1、访问控制
-
应对登录的用户分配账户和权限;
-
应授予管理用户所需的最小权限,实现管理用户的权限分离; (如新建管理员账号,且限制了全库删除等操作的话,再配合后续管理审批等工作可以一定程度避免微盟事件的发生)
以Windows和Linux为例,测评实施步骤主要包括:
Windows:查看管理用户的分组情况,是否分为系统管理员(如xxxadmin)、审计管理员(auditadmin)、安全策略管理员(securityadmin)三个账号;
Linux:查看管理用户的分组情况,是否分为系统管理员(如xxxadmin)、审计管理员(auditadmin)、安全策略管理员(securityadmin)三个账号,应避免直接使用root,通过建立管理用户,必要时su本地切换到超级用户root,系统管理时如果不需要root权限,就不要进入root用户下操作,以减少误操作对系统带来的损失。
-
应由授权主体配置访问控制策略,访问控制策略规定主体对客体的访问规则;
-
访问控制的粒度应达到主体为用户级或进程级,客体为文件、数据库表级。
2、数据备份恢复
-
应提供异地实时备份功能,利用通信网络将重要数据实时备份至备份场地;(这个对于大型互联网企业或关基单位尤为重要,但是很多单位认为没必要浪费钱,这个东西一般用不上,一旦用上就能力挽狂澜。利用集中的备份服务场地开展备份工作,其实费用和运维精力投入是可以接受的。如教育部信息管理中心专门建设了教育行业的灾备中心,各学校可以申请接入该项服务)
-
应提供重要数据处理系统的热冗余,保证系统的高可用性;
-
云服务客户应在本地保存其业务数据的备份。
3、人员配备
-
应配备一定数量的系统管理员、审计管理员和安全管理员等。(如超级管理员账号的登录口令等由两个人分别保管,可一定程度避免微盟事件的发生)
-
应配备专职安全管理员,不可兼任。 (万为单位的开支与亿为单位的损失相比较起来显得那么微不足道)
4、授权和审批
-
应针对系统变更、重要操作、物理访问和系统接入等事项建立审批程序,按照审批程序执行审批过程,对重要活动建立逐级审批制度。(不少单位的审批工作没有落实或者流于形式,是大意失荆州的重要原因之一)
-
应定期审查审批事项,及时更新需授权和审批的项目、审批部门和审批人等信息。
5、沟通和合作(业务连续性中的呼叫树,决定了响应的效率也决定了损失的大小)
-
应加强与网络安全职能部门、各类供应商、业界专家及安全组织的合作与沟通;
-
应建立外联单位联系列表,包括外联单位名称、合作内容、联系人和联系方式等信息。
6、安全意识教育和培训(合肥天帷可提供安全意识培训、技术内训、人员持证认证等服务)
-
应对各类人员进行安全意识教育和岗位技能培训,并告知相关的安全责任和惩戒措施;
-
应针对不同岗位制定不同的培训计划,对安全基础知识、岗位操作规程等进行培训;
-
应定期对不同岗位的人员进行技能考核。
7、网络和系统安全管理
-
应严格控制变更性运维,经过审批后才可改变连接、安装系统组件或调整配置参数,操作过程中应保留不可更改的审计日志,操作结束后应同步更新配置信息库。
8、备份与恢复管理
-
应规定备份信息的备份方式、备份频度、存储介质、保存期等;(备份策略一定要合理,符合需求)
-
应根据数据的重要性和数据对系统运行的影响,制定数据的备份策略和恢复策略、备份程序和恢复程序等。 (一定要定期不定期的对备份进行测试,以验证其有效性)
9、应急预案管理(天帷信息自2006年以来积累了丰富的应急预案制定、管理、演练等相关工作的项目实施经验,可帮助各单位根据实际情况,建立全场景应急预案体系,保障业务连续性)
-
应规定统一的应急预案框架,包括启动预案的条件、应急组织构成、应急资源保障、事后教育和 培训等内容;
-
应制定重要事件的应急预案,包括应急处理流程、系统恢复流程等内容;
-
应定期对系统相关的人员进行应急预案培训,并进行应急预案的演练;
10、服务供应商的选择
-
应与选定的安全服务商签订相关协议,明确整个服务供应链各方需履行的网络安全相关义务;
-
应在服务水平协议中规定云服务的各项服务内容和具体技术指标;
-
应在服务水平协议中规定云服务商的权限与责任,包括管理范围、职责划分、访问授权、隐私保护、行为准则、违约责任等。
11、漏洞和风险管理
-
应定期开展安全测评,形成安全测试报告,采取措施应对发现的安全问题。
二、安全事件的处置:
-
应提供重要数据的本地数据备份与恢复功能;
-
云服务商的云存储服务应保证云服务客户数据存在若干个可用的副本,各副本之间的内容应保持一致;
-
应及时向安全管理部门报告所发现的安全弱点和可疑事件;
-
应制定安全事件报告和处置管理制度,明确不同安全事件的报告、处置和响应流程,规定安全事件的现场处理、事件报告和后期恢复的管理职责等;
-
对造成系统中断和造成信息泄漏的重大安全事件应采用不同的处理程序和报告程序;
-
应建立外联单位联系列表,包括外联单位名称、合作内容、联系人和联系方式等信息;
-
应对云服务商和云服务客户在远程管理时执行的特权命令进行审计,至少包括虚拟机删除、虚拟机重启。
三、安全事件的总结
-
应在安全事件报告和响应处理过程中,分析和鉴定事件产生的原因,收集证据,记录处理过程,总结经验教训;
-
应定期对原有的应急预案重新评估,修订完善。
测评机构视角
1、 在实际测评过程中,如何不断提升重要指标的测评的颗粒度和强度,以帮助客户切实提升自身的网络安全能力。
2、 如何与客户做良好的沟通,争取客户的理解与配合,也需要各测评机构及主管部门共同努力。
监管者视角
1、 除了重点监管“关基单位“,这些上市公司、独角兽企业等一些涉及数据量较大、资金交易量较大、拥有较强的创新研发成果和能力的单位,能否通过互联网手段将其纳入监管范围,帮助他们把等级保护这底线工作落实好。
2、 除了监管之外,能否给这些单位送知识、送服务帮助他们提升网络安全人员的安全意识、专业技能等。
此次事件对IT圈,运维同行,远程办公等,都是一次深深的警示教育,让人深思,深刻警醒,也因此对运维发展,IT与企业业务关系都将产生深远影响。
以上抛砖引玉,欢迎理性探讨交流。
3331
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
