Nav
大话灾备 |程序员因奖金不到位怒改代码报复公司,而事实...
2020-12-22 发布在 新闻动态

事实上 公司并未承诺奖金,程 序员王某被判拘役五个月,只为一份被驳回的奖金要求。

这究竟是怎么一回事?小编带大家一探究竟。

>>>案件复盘

2020 年 4 月 13 日,王某因某网络科技有限公司驳回其开发的 OBS 对象存储服务代码的奖金要求,心怀不满,便产生了报复公司的想法。

当日 11 时许,王某在该公司使用 root 超级管理员账户登录至华为云服务器的 FTP(File Transfer Protocol),修改了其开发的 OBS 对象存储服务代码,导致 2020 年 4 月 14 日 8 时至 9 时 35 分,某平台运行异常,该公司代发的政府电子消费劵领取受阻,直至当日 10 时 43 分,11225 名会员才领取完当日电子消费劵,给该平台声誉及会员收益造成严重影响。

法院判决 ,王某作为山西某网络科技有限公司的精通计算机技术的专业人员,为了泄愤报复,私自修改计算机信息系统应用程序中存储服务代码,造成了为用户提供服务的平台不能正常运行的严重后果,其行为侵犯了计算机信息系统的安全,构成破坏计算机信息系统罪,判处拘役五个月,缓刑六个月。

>>>谁之过?

出了这样的事,双方都有责任。

一方面,对于程序员来说,修改代码、删库这些操作都是很容易的,但一时泄愤敲敲键盘之后所要承担的风险却是巨大的。王某作为开发人员,本是行业人才,而他严重违反了程序员的基本职业操守。

恶意改代码是程序员所不齿之事,断送的不仅仅是本人的前途,还危害了无数商家的利益。虽然在网络上,“删库跑路”作为一个梗,经常被程序员挂在嘴边调侃。但现实中,“删库”这件事不管是从职业道德还是法律的角度,都是行业之大不韪。

《中华人民共和国刑法》第二百八十六条对“破坏计算机信息系统罪”明确定义:

违反国家规定,对计算机信息系统功能进行删除、修改、增加、干扰,造成计算机信息系统不能正常运行,后果严重的,处五年以下有期徒刑或者拘役;后果特别严重的,处五年以上有期徒刑。

另一方面 ,该公司在数据安全的监管权限设置上,有不可推卸的责任。对公司而言,数据的账号授权管理、认证审计权限等设置都应当慎之又慎。 王某作为开发人员,竟然掌握 root 口令可以直接接触线上生产环境代码。 上万人使用的云平台,没有多 重认证及审计,代码想改就改,可以说是毫无安全意识。

员工的“删库”可能是一时冲动,但是规章制度的完善完全可以将这些避免 。毕竟遇到不可控事件,不苛责个人对错,而去思索制度不足,正视痛点,往往更能进步。

>>>云平台安全如何保障?

跳出对案件本身的分析,近年来随着信息技术的飞速发展,类似的“破坏计算机信息系统”案件越来越多,从技术角度来看,企业应当如何保障云平台安全呢?

1.谁访问?谁审计?

首先需要对权限进行设置,如何管理账户、用户、角色,如何设置云平台接入方式,如何控制账户下角色的资源访问程度,交接工作时访问权限如何中止,都需要好好规划设计。 企业对所使用的平台的了解和理解很大程度上决定了云环境的保护程度。 强大的云服务供应商应该给企业员工提供相应的技术培训,实时监控诸如 0day 攻击等的潜在威胁。 企业内部 IT 安全团队可能缺乏相关的专业知识,云供应商应当采取措施处理各种来源的攻击,包括电子邮件、恶意链接等,这些都应该出现在培训和认知项目中。

2.云灾备如何建设?

无论是设备故障、 勒索软件,还是人为误操作等,均是信息安全的潜在威胁。 云平台一旦发生宕机,如果没有合理的数据备份和恢复计划,在灾难发生时无法及时应变,业 务连续性就会受到中断。研究表明,灾难发生后,如果无法在 14 天内恢复业务,有 75% 的公司业务会完全停顿,20% 的企业在两年之内被迫宣告破产。

当“上云”成为常态,“云灾备”已成为大势所趋。云灾备采用云基础设施,或者灾备即服务(如英方 i2yun.com)的模式,允许用户自由选定重要的系统和数据。底层架构被其它采用同样云计算解决方案的公司所共有,共同分担成本,用户只需为实际所使用的资源付费。

云灾备采用的云平台一般具有高可靠高标准的异地云数据中心等基础设施,使得备份被安全地存储在异地。当灾难发生时,可以在可接受停机时间内实现快速恢复。同时,基于虚拟化技术,在主节点发生异常而无法提供服务时,云端系统仍然可以可以稳定运行,具备高度机动性和灵活性。

云灾备结合云计算、存储、带宽等优势,相比本地灾备具有降低成本、高机动性、高灵活性、恢复快速等突出优势。

企业的云灾备建设涉及到多方因素,包括企业的业务规模、系统架构、IT 资源等等,常见的数据安全保护手段有数据实时复制、CDP 持续数据保护、业务高可用保护等,详情 可见➡微盟宕机导致11亿市值蒸发,企业数据安全何去何从?

>>>总结

云安全问题任重道远,数据作为企业的 核心资产,其安全是重中之重,切忌侥幸心理,一时疏忽酿成大错。中小型企业需要重视,大型企业亦甚,家大业大如 AWS ,也会因为灾备不到位导致“翻车”➡ 黑五临近,AWS又崩了,故障持续数小时未能恢复。

灾备建设作为企业的信息基础设施,需要不断改进、持续投入,只要做好相应的防护和恢复建设,此类事件也并不是不可挽回的。