9月20日媒體公開消息，今年2月發(fā)生的微盟“刪庫”事件主角賀某被判6年有期徒刑，賀某透露是酒后因生活不如意、無力償還網(wǎng)貸等個人原因?qū)е伦鞒?ldquo;刪庫”行為。

上海市寶山區(qū)人民法院認(rèn)為，賀某違反國家規(guī)定，刪除計(jì)算機(jī)信息系統(tǒng)中存儲的數(shù)據(jù)，造成特別嚴(yán)重的后果，其行為已構(gòu)成破壞計(jì)算機(jī)信息系統(tǒng)罪，應(yīng)當(dāng)依法追究刑事責(zé)任。公訴機(jī)關(guān)指控的犯罪事實(shí)清楚，證據(jù)確實(shí)充分，罪名成立，依照《中華人民共和國刑法》第二百八十六條第二款、第六十七條第三款、第六十四條、《中華人民共和國刑事訴訟法》第十五條之規(guī)定，判決賀某犯破壞計(jì)算機(jī)信息系統(tǒng)罪，判處有期徒刑六年。

事件具體起因是2020年2月25日，云端商業(yè)及營銷解決方案提供商微盟集團(tuán)發(fā)布《自愿公告SaaS業(yè)務(wù)生產(chǎn)環(huán)境和數(shù)據(jù)遭到破壞》的公告，稱2月23日晚其SaaS(軟件即服務(wù))業(yè)務(wù)數(shù)據(jù)遭到員工人為破壞刪除，服務(wù)出現(xiàn)故障，大面積服務(wù)集群無響應(yīng)，已暫時(shí)無法向客戶提供 SaaS 產(chǎn)品服務(wù)。

微盟經(jīng)過7天的7*24小時(shí)的努力，在3月1日晚將數(shù)據(jù)找回，經(jīng)測試后于3月2正式將業(yè)務(wù)恢復(fù)上線。微盟正在擬定相關(guān)賠付方案來補(bǔ)償因此次事故而遭受損失的商家。

微盟事后對惡意破壞生產(chǎn)環(huán)境的犯罪嫌疑人進(jìn)行追蹤分析，成功定位到犯罪嫌疑人登錄賬號及IP地址后，并于2月24日向上海寶山區(qū)公安局報(bào)案，目前犯罪嫌疑人已經(jīng)被寶山區(qū)公安局進(jìn)行刑事拘留。

微盟成立于2013年4月，有員工超3200人，渠道代理商超1600家，注冊商戶超300萬，是中國領(lǐng)軍的中小企業(yè)云端商業(yè)及營銷解決方案提供商，2019年1月在香港主板上市。根據(jù)微盟的財(cái)報(bào)數(shù)據(jù)，2018 年 SaaS 全年業(yè)務(wù)收入為 3.47 億元， 占該財(cái)政年度集團(tuán)收入 40.1%，SaaS 業(yè)務(wù)的毛利潤為 2.94 億元，占該財(cái)政年度集團(tuán)毛利潤總額 57.0%。

此次刪庫事件導(dǎo)致微盟損失巨大，SaaS服務(wù)停擺導(dǎo)致微盟平臺約300萬個商家的小程序全部宕機(jī)，其中不乏洽洽、森馬等知名公司及品牌，公司信譽(yù)形象大打折扣。財(cái)務(wù)損失方面，除擬用于賠付客戶的1.5億元外，其股價(jià)下跌超22%，累計(jì)市值蒸發(fā)超30億港元。

此事件是典型的運(yùn)維安全事件倒灌公司經(jīng)營危機(jī)，對蓬勃發(fā)展的互聯(lián)網(wǎng)產(chǎn)業(yè)及互聯(lián)網(wǎng)公司產(chǎn)生了新一輪的、更深遠(yuǎn)的影響，同時(shí)也是一次深深的警示教育，讓人深刻警醒，因此借此事件的最終定論再來詳細(xì)復(fù)盤本次事件。

首先，拋開事件原因和動機(jī)，事件發(fā)生后，站在IT和安全的角度，不少人都會產(chǎn)生以下疑問：

• 微盟的數(shù)據(jù)備份策略是否不完善導(dǎo)致數(shù)據(jù)找回困難?
• 權(quán)限管理是否存在問題導(dǎo)致運(yùn)維人員可以直接對數(shù)據(jù)庫進(jìn)行操作?
• IT監(jiān)控審計(jì)系統(tǒng)策略是否存在不足導(dǎo)致沒有對危險(xiǎn)操作發(fā)出報(bào)警并控制?
• 公司IT架構(gòu)是否存在冗余能力不足導(dǎo)致業(yè)務(wù)連續(xù)性受損?
• 公司是否制定過業(yè)務(wù)連續(xù)性策略?是否設(shè)定過RTO和RPO等業(yè)務(wù)連續(xù)性指標(biāo)?
• IT系統(tǒng)是否有足夠的安全技術(shù)保障設(shè)施?如果有為什么沒發(fā)揮作用?
• 公司及其管理人員存在哪些合規(guī)法律責(zé)任?
• 此事件是否又一次證明了最大安全威脅來自內(nèi)部?

該事件從架構(gòu)安全、員工行為、內(nèi)外部風(fēng)險(xiǎn)、IT運(yùn)維數(shù)據(jù)管控機(jī)制和制約環(huán)節(jié)等等方面都暴露出巨大問題，再一次拉響了內(nèi)部風(fēng)險(xiǎn)的警報(bào)。本文嘗試對此次惡意刪庫事件從IT架構(gòu)設(shè)計(jì)、風(fēng)險(xiǎn)管理、法律責(zé)任層面進(jìn)行推演分析，并進(jìn)行反思與改進(jìn)。首先來對事件經(jīng)過進(jìn)行簡單回顧。

事件回顧

2020年2月23日18時(shí)56分，微盟研發(fā)中心運(yùn)維部運(yùn)維人員賀某通過個人虛擬專用網(wǎng)登入公司內(nèi)網(wǎng)跳板機(jī)，刪除了微盟SAAS業(yè)務(wù)服務(wù)主備數(shù)據(jù)庫(但沒有做數(shù)據(jù)覆蓋，否則數(shù)據(jù)不可能找回)。

2月23日 19 時(shí)，微盟內(nèi)部監(jiān)控系統(tǒng)報(bào)警，SAAS業(yè)務(wù)出現(xiàn)大面積服務(wù)集群無法響應(yīng);IT運(yùn)維人員開始緊急修復(fù)。

2月25日7 時(shí)，生產(chǎn)環(huán)境和數(shù)據(jù)部分恢復(fù)，核心業(yè)務(wù)生產(chǎn)環(huán)境重新上線，暫時(shí)只有新用戶使用不受影響。

2月28日，微盟恢復(fù)了所有業(yè)務(wù)的線上生產(chǎn)環(huán)境，并且開放了老用戶登錄，以及恢復(fù)了微站產(chǎn)品的所有數(shù)據(jù)。

“刪庫事件”發(fā)生7天后，3月1日，微盟集團(tuán)宣布，截至3月1日晚8時(shí)，被刪除的數(shù)據(jù)已經(jīng)全面找回。

微盟事后對惡意破壞嫌疑人進(jìn)行追蹤分析，成功定位到嫌疑人登錄賬號及IP地址，并于24日向?qū)毶焦簿謭?bào)案。犯罪嫌疑人賀某被寶山區(qū)公安局刑事拘留，賀某承認(rèn)了犯罪事實(shí)。

暫且不論嫌疑人刪庫的動機(jī)，只來討論一下為何一個運(yùn)維人員的小操作就能使一個上市公司損失慘重、瀕臨倒閉?微盟在IT運(yùn)維和管理上存在哪些問題導(dǎo)致如此嚴(yán)重后果的發(fā)生?

問題分析

從已經(jīng)公開的資料分析，微盟此前已有了一些安全管控手段：1、有獨(dú)立的虛擬專用網(wǎng);2、有堡壘機(jī);3、數(shù)據(jù)庫也做了備份，具備了基本的安全設(shè)備和保障手段，那還存在哪些不足導(dǎo)致了如此嚴(yán)重的后果呢?

首先，IT運(yùn)維-權(quán)限管理存在漏洞，微盟沒有根據(jù)數(shù)據(jù)重要程度對權(quán)限進(jìn)行分級管理，對重要級別高的數(shù)據(jù)采取高級別的操作權(quán)限控制;沒有針對核心業(yè)務(wù)、核心數(shù)據(jù)等通過動態(tài)工單授權(quán)申請審批機(jī)制和會話實(shí)時(shí)控制等方法，確保重點(diǎn)服務(wù)器任何時(shí)刻不能被單個賬戶直接操作。就好像銀行給所有人員相同的訪問權(quán)限導(dǎo)致保潔阿姨也能進(jìn)入金庫一樣，不加區(qū)分的權(quán)限控制就會出現(xiàn)一個運(yùn)維人員不加限制直接進(jìn)入核心系統(tǒng)讓一個行業(yè)巨頭業(yè)務(wù)停擺幾天的事件。

其次，IT運(yùn)維審計(jì)策略也存在不足。雖然通過堡壘機(jī)對運(yùn)維過程實(shí)施了審計(jì)，事后通過運(yùn)維審計(jì)提供詳細(xì)的審計(jì)日志給公安機(jī)關(guān)作為權(quán)威證據(jù)，鎖定惡意操作者，但從結(jié)果來看明顯沒有對數(shù)據(jù)庫賬戶包括DBA高權(quán)限賬戶的數(shù)據(jù)庫運(yùn)維行為進(jìn)行有效監(jiān)控管理，沒有對drop index、delete、rm、alias 等危險(xiǎn)命令進(jìn)行嚴(yán)格的制約，否則刪庫操作不會成功。如果嚴(yán)格設(shè)置審計(jì)策略，對一些比較敏感的高危險(xiǎn)操作(查用戶敏感數(shù)據(jù)、刪除數(shù)據(jù)等)執(zhí)行實(shí)時(shí)報(bào)警通報(bào)和二次授權(quán)審批，只有審批通過才能允許命令被執(zhí)行，就可以做到對高風(fēng)險(xiǎn)操作在事中的有效審計(jì)防控，讓刪庫行為無從下手。

微盟的數(shù)據(jù)備份和恢復(fù)機(jī)制也存在較大問題，一家提供信息服務(wù)的公司，在數(shù)據(jù)被刪除了，竟然需要用幾天來恢復(fù)?暴露了微盟數(shù)據(jù)安全保護(hù)機(jī)制建設(shè)的落后和在數(shù)據(jù)保護(hù)方面投入不足?；镜臄?shù)據(jù)備份和恢復(fù)機(jī)制首先應(yīng)該是數(shù)據(jù)進(jìn)行全備+增量備份，根據(jù)業(yè)務(wù)需求設(shè)定恢復(fù)時(shí)間目標(biāo)(RTO)和恢復(fù)點(diǎn)目標(biāo)(RPO)。其次包含基本的兩地三中心的CDP(持續(xù)數(shù)據(jù)保護(hù))系統(tǒng)是肯定應(yīng)該有的，如果因?yàn)榻?jīng)濟(jì)原因做不到異地應(yīng)用級雙活形式CDP，本地?cái)?shù)據(jù)級雙活起碼應(yīng)該做到，但是從微盟數(shù)據(jù)需要幾天才能恢復(fù)，可以想象其數(shù)據(jù)保護(hù)機(jī)制建設(shè)的落后。

究其根本，此事件發(fā)生的根本原因是公司IT風(fēng)險(xiǎn)內(nèi)控管理的巨大缺陷。雖然微盟聲稱此次事故雖由“人禍”引起，但公司管理層有著不可推卸的責(zé)任。其中，微盟公司董事會主席兼首席執(zhí)行官孫濤勇沒有對數(shù)據(jù)安全引起高度重視，沒有對數(shù)據(jù)安全保障方案進(jìn)行深入的評估和審查，沒有聘請外部專家顧問團(tuán)隊(duì)對數(shù)據(jù)安全進(jìn)行評估和測試，沒有把數(shù)據(jù)安全管理納入到日常管理范圍。公司執(zhí)行董事兼首席技術(shù)官黃駿偉作為公司技術(shù)負(fù)責(zé)人，沒有對數(shù)據(jù)安全引起足夠重視，沒有嚴(yán)格按照公司的內(nèi)控管理制度，對運(yùn)維人員的權(quán)限進(jìn)行分級和分區(qū)管理，對于數(shù)據(jù)安全技術(shù)體系的建設(shè)和引入，缺乏全局和前瞻性設(shè)計(jì)，對于安全監(jiān)控體系沒有執(zhí)行到位。公司執(zhí)行董事兼智慧商業(yè)事業(yè)群總裁方桐舒，作為SaaS業(yè)務(wù)負(fù)責(zé)人，沒有對數(shù)據(jù)安全引起高度重視，沒有嚴(yán)格執(zhí)行公司內(nèi)控管理制度并推動研發(fā)側(cè)加強(qiáng)數(shù)據(jù)安全管理。

對此微盟管理層進(jìn)行了認(rèn)真反思，并進(jìn)行了相關(guān)整改活動：加強(qiáng)了內(nèi)部流程控制管理，同時(shí)邀請外部數(shù)據(jù)安全專家一起來評估數(shù)據(jù)安全保障方案，并迅速制定了一份數(shù)據(jù)安全保障計(jì)劃，采取三項(xiàng)主要整改措施以杜絕此類事故的再次發(fā)生：

措施一：數(shù)據(jù)安全管理機(jī)制全面加固與整改，加強(qiáng)運(yùn)維平臺治理

(1) 完善數(shù)據(jù)安全管理制度(涵蓋權(quán)限、監(jiān)控、審計(jì)方面)，嚴(yán)格執(zhí)行授權(quán)審批制度;

(2) 使用騰訊云CAM權(quán)限系統(tǒng)進(jìn)行云資源管理，嚴(yán)格執(zhí)行分級授權(quán)和最小集權(quán)限制度，對高危險(xiǎn)動作執(zhí)行二次授權(quán)制度;

(3) 建立科學(xué)、高效、安全的網(wǎng)絡(luò)策略，對開發(fā)環(huán)境、測試環(huán)境和生產(chǎn)環(huán)境進(jìn)行嚴(yán)格隔離;使用騰訊云堡壘機(jī)替換自建堡壘機(jī)，進(jìn)行細(xì)粒度權(quán)限分級和授權(quán)管理，同時(shí)嚴(yán)格審計(jì)堡壘機(jī)操作日志，發(fā)送安全審計(jì)報(bào)表;

(4) 加強(qiáng)運(yùn)維安全流程學(xué)習(xí)，職業(yè)道德學(xué)習(xí)，法律學(xué)習(xí)等。

措施二：加強(qiáng)災(zāi)備體系的建設(shè)，做到多云異地冷備

(1) 建立多云災(zāi)備體系，在北京、上海、南京等地區(qū)建立全備份的冷備系統(tǒng)架構(gòu);

(2) 借助騰訊云的IAAS的底層服務(wù)能力，建立高可用的同城雙活架構(gòu);

(3) 云上所有的云主機(jī)，啟用每天的快照策略，保證全量和增量備份;

(4) 所有非結(jié)構(gòu)化數(shù)據(jù)，使用騰訊COS對象存儲系統(tǒng)進(jìn)行歸檔保存，啟用COS的多異地復(fù)制功能，數(shù)據(jù)存放多地，并且COS 冷存儲，確保數(shù)據(jù)只增不減;

(5) 建立月、季度級別的定期演練機(jī)制和制度 。

措施三：基礎(chǔ)設(shè)施全力上云

(1) 借助騰訊云數(shù)據(jù)庫MySQL的數(shù)據(jù)高可用和安全體系，逐步放棄自建數(shù)據(jù)庫服務(wù) ，遷移到騰訊云數(shù)據(jù)庫(CDB)，快速具備數(shù)據(jù)庫跨可用區(qū)和異地災(zāi)備的能力;

(2) 黑石1.0物理機(jī)全面升級黑石2.0，全面使用云主機(jī)。

合規(guī)責(zé)任分析

對一般企業(yè)而言，惡意刪庫會引發(fā)嚴(yán)重的風(fēng)險(xiǎn)，包括安全風(fēng)險(xiǎn)和合規(guī)風(fēng)險(xiǎn)。微盟發(fā)生了惡意刪庫網(wǎng)絡(luò)安全事件，要面臨數(shù)據(jù)毀損丟失、系統(tǒng)不能正常運(yùn)行、業(yè)務(wù)運(yùn)營中斷等風(fēng)險(xiǎn)，此為安全風(fēng)險(xiǎn)。同時(shí)根據(jù)《中華人民共和國網(wǎng)絡(luò)安全法》(以下簡稱“《網(wǎng)絡(luò)安全法》”)，微盟作為網(wǎng)絡(luò)運(yùn)營者負(fù)有網(wǎng)絡(luò)安全保護(hù)義務(wù)，違反該等義務(wù)，將面臨行政處罰、民事訴訟，甚至刑罰，此為合規(guī)風(fēng)險(xiǎn)。

合規(guī)是法律的要求，同時(shí)也是安全底線;安全則是企業(yè)自身經(jīng)營發(fā)展的需求，是更高的標(biāo)準(zhǔn)。對企業(yè)而言，首先應(yīng)當(dāng)根據(jù)法律要求采取各項(xiàng)合規(guī)措施，滿足合規(guī)要求，避免合規(guī)風(fēng)險(xiǎn);在此基礎(chǔ)上，再根據(jù)自身的風(fēng)險(xiǎn)管理策略，運(yùn)用適當(dāng)?shù)募夹g(shù)、商業(yè)和法律工具，盡可能地提高安全防護(hù)能力，以降低安全風(fēng)險(xiǎn)。這里我們引用著名律師事務(wù)所袁立志律師的文章(《惡意刪庫事件的法律推演》)從安全合規(guī)的角度分析此次事件中各層次可能面臨的相關(guān)責(zé)任。

一、微盟公司的法律責(zé)任

(一) 刑事法律責(zé)任

根據(jù)《中華人民共和國刑法》第286條之一，網(wǎng)絡(luò)服務(wù)提供者不履行法律、行政法規(guī)規(guī)定的信息網(wǎng)絡(luò)安全管理義務(wù)，經(jīng)監(jiān)管部門責(zé)令采取改正措施而拒不改正，并有嚴(yán)重情節(jié)的，構(gòu)成拒不履行信息網(wǎng)絡(luò)安全管理義務(wù)罪。

如果微盟沒有就相關(guān)系統(tǒng)辦理網(wǎng)絡(luò)安全等級保護(hù)(以下簡稱“等級保護(hù)”)備案或測評，或者辦理了備案但在網(wǎng)絡(luò)安全監(jiān)督檢查中被發(fā)現(xiàn)未落實(shí)權(quán)限控制等措施，公安機(jī)關(guān)責(zé)令改正而企業(yè)沒有改正，此時(shí)發(fā)生的惡意刪庫事件，則可能構(gòu)成拒不履行信息網(wǎng)絡(luò)安全管理義務(wù)罪。

(二) 行政法律責(zé)任

1. 違反網(wǎng)絡(luò)服務(wù)安全維護(hù)義務(wù)的責(zé)任

依據(jù)《網(wǎng)絡(luò)安全法》第22條第2款，網(wǎng)絡(luò)服務(wù)提供者應(yīng)當(dāng)為其產(chǎn)品或服務(wù)持續(xù)提供安全維護(hù)，保障服務(wù)穩(wěn)定性。第60條規(guī)定，違反第22條第2款，并存在以下行為之一，網(wǎng)絡(luò)運(yùn)營者需為此承擔(dān)警告、罰款等行政法律責(zé)任：

• 設(shè)置惡意程序的;
• 對其產(chǎn)品、服務(wù)存在的安全缺陷、漏洞等風(fēng)險(xiǎn)未立即采取補(bǔ)救措施，或者未按照規(guī)定及時(shí)告知用戶并向有關(guān)主管部門報(bào)告的;
• 擅自終止為其產(chǎn)品、服務(wù)提供安全維護(hù)的。

在惡意刪庫事件中，微盟可能會承擔(dān)違反網(wǎng)絡(luò)服務(wù)安全維護(hù)義務(wù)的行政法律責(zé)任，除非事件發(fā)生后企業(yè)立即了采取補(bǔ)救措施，按照規(guī)定及時(shí)告知用戶并向有關(guān)主管部門報(bào)告。補(bǔ)救措施一般包括啟動應(yīng)急預(yù)案、調(diào)查事件原因、更改操作權(quán)限、啟動備份恢復(fù)等。告知用戶可采用書面通知，也可采用公告方式。網(wǎng)絡(luò)安全的主管部門包括公安、工信以及網(wǎng)信等多個部門。由于惡意刪庫涉及刑事犯罪，一般而言，報(bào)告公安機(jī)關(guān)即可滿足此處的合規(guī)要求，但有些行業(yè)還需要報(bào)告行業(yè)主管或其他監(jiān)管部門。

2. 違反網(wǎng)絡(luò)安全等級保護(hù)義務(wù)的責(zé)任

依據(jù)《網(wǎng)絡(luò)安全法》第21條，網(wǎng)絡(luò)運(yùn)營者應(yīng)當(dāng)按照等級保護(hù)制度的要求，履行下列安全保護(hù)義務(wù)：

• 制定內(nèi)部安全管理制度和操作規(guī)程，確定網(wǎng)絡(luò)安全負(fù)責(zé)人，落實(shí)網(wǎng)絡(luò)安全保護(hù)責(zé)任;
• 采取防范計(jì)算機(jī)病毒和網(wǎng)絡(luò)攻擊、網(wǎng)絡(luò)侵入等危害網(wǎng)絡(luò)安全行為的技術(shù)措施;
• 采取監(jiān)測、記錄網(wǎng)絡(luò)運(yùn)行狀態(tài)、網(wǎng)絡(luò)安全事件的技術(shù)措施，并按照規(guī)定留存相關(guān)的網(wǎng)絡(luò)日志不少于六個月;
• 采取數(shù)據(jù)分類、重要數(shù)據(jù)備份和加密等措施;
• 法律、行政法規(guī)規(guī)定的其他義務(wù)。

依據(jù)第59條，網(wǎng)絡(luò)運(yùn)營者不履行網(wǎng)絡(luò)安全保護(hù)義務(wù)的，由有關(guān)主管部門責(zé)令改正，給予警告;拒不改正或者導(dǎo)致危害網(wǎng)絡(luò)安全等后果的，處一萬元以上十萬元以下罰款，對直接負(fù)責(zé)的主管人員處五千元以上五萬元以下罰款。

在發(fā)生惡意刪庫事件的情況下，可能會被認(rèn)定未履行等級保護(hù)義務(wù)，除非公司已就相關(guān)系統(tǒng)辦理定級備案并通過定期測評，這是是否合規(guī)的表面證據(jù)。如已經(jīng)完成備案并通過測評，則一般可以認(rèn)為其已經(jīng)履行等級保護(hù)義務(wù)，免于承擔(dān)行政法律責(zé)任，除非有證據(jù)證明沒有履行相關(guān)的實(shí)體義務(wù)。

3. 違反個人信息保護(hù)義務(wù)的責(zé)任

根據(jù)《網(wǎng)絡(luò)安全法》第42條第2款和第64條，網(wǎng)絡(luò)運(yùn)營者應(yīng)確保用戶信息安全，防止個人信息泄露、損毀、丟失，否則面臨警告、沒收違法所得、罰款等處罰。如果微盟遭惡意刪除的數(shù)據(jù)中包含個人信息，則觸發(fā)個人信息保護(hù)義務(wù)，面臨警告、沒收違法所得、罰款。除非微盟已經(jīng)履行等級保護(hù)義務(wù)，并參照《互聯(lián)網(wǎng)個人信息安全保護(hù)指南》和《信息安全技術(shù)個人信息安全規(guī)范》兩份文件采取適當(dāng)?shù)谋Ｗo(hù)措施，則免于承擔(dān)行政法律責(zé)任。

4. 違反應(yīng)急管理義務(wù)的責(zé)任

根據(jù)《網(wǎng)絡(luò)安全法》第25條，網(wǎng)絡(luò)運(yùn)營者應(yīng)當(dāng)制定網(wǎng)絡(luò)安全事件應(yīng)急預(yù)案，及時(shí)處置系統(tǒng)漏洞、計(jì)算機(jī)病毒、網(wǎng)絡(luò)攻擊、網(wǎng)絡(luò)侵入等安全風(fēng)險(xiǎn);在發(fā)生危害網(wǎng)絡(luò)安全的事件時(shí)，立即啟動應(yīng)急預(yù)案，采取相應(yīng)的補(bǔ)救措施，并按照規(guī)定向有關(guān)主管部門報(bào)告。

對于發(fā)生惡意刪庫事件的微盟，可能會被認(rèn)定違反應(yīng)急管理義務(wù)的責(zé)任，依據(jù)《網(wǎng)絡(luò)安全法》第59條，企業(yè)將面臨責(zé)令改正、警告、一萬元以上十萬元以下罰款等行政處罰。除非已按照上述規(guī)定履行事先與事后的義務(wù)，則無需承擔(dān)行政法律責(zé)任。

(三) 民事法律責(zé)任

1. 微盟對商戶的責(zé)任

對于提供企業(yè)級服務(wù)(2B)的企業(yè)而言，如果惡意刪庫事件造成相關(guān)服務(wù)長時(shí)間無法恢復(fù)正常，可能違反其與所服務(wù)的商戶之間的協(xié)議。比如，云服務(wù)商的服務(wù)等級協(xié)議(以下簡稱“SLA”)一般會對其服務(wù)可用性作出明確約定，服務(wù)可用性保證通常達(dá)至99.9%乃至更高，如果微盟惡意刪庫事件致使服務(wù)長時(shí)間不能恢復(fù)正常，則違反SLA的約定，需承擔(dān)賠償責(zé)任。

企業(yè)與商戶之間的SLA或其他協(xié)議可能包含免責(zé)條款，如由于網(wǎng)絡(luò)中斷、人為原因等導(dǎo)致服務(wù)不可用，企業(yè)免責(zé)。但是在惡意刪庫事件中，微盟一般很難依賴這類條款免責(zé)，因?yàn)椴煌诤诳凸舻葻o外部因素，刪庫事件是企業(yè)內(nèi)部的人為破壞，而微盟對內(nèi)部人員負(fù)有監(jiān)督管理義務(wù)(在合同下該義務(wù)標(biāo)準(zhǔn)高于下文對消費(fèi)者侵權(quán)責(zé)任的法定義務(wù)標(biāo)準(zhǔn))。

2. 微盟對消費(fèi)者的責(zé)任

對于直接面向消費(fèi)者服務(wù)(2C)的企業(yè)而言，消費(fèi)者的地位與上述商戶的地位相似，微盟需向消費(fèi)者承擔(dān)違約責(zé)任。

對于2B的企業(yè)而言，企業(yè)與消費(fèi)者之間不存在直接的合同關(guān)系。如果惡意刪庫對消費(fèi)者的權(quán)益造成影響，消費(fèi)者只能提起侵權(quán)之訴。依據(jù)《中華人民共和國侵權(quán)責(zé)任法》，認(rèn)定企業(yè)構(gòu)成侵權(quán)，需滿足侵權(quán)行為四要件，其中核心是企業(yè)是否存在過錯。判斷過錯的標(biāo)準(zhǔn)，一為是否違反法定義務(wù)，二為是否違反一般注意義務(wù)。除非微盟依法履行了等級保護(hù)義務(wù)，并參照《互聯(lián)網(wǎng)個人信息安全保護(hù)指南》《信息安全技術(shù)個人信息安全規(guī)范》等采取了適當(dāng)?shù)膫€人信息保護(hù)措施，則會認(rèn)定未違反法定義務(wù)和一般注意義務(wù)，不存在過錯，故無需對消費(fèi)者承擔(dān)侵權(quán)責(zé)任。

二、惡意刪庫者的法律責(zé)任

(一)刑事法律責(zé)任

依據(jù)刑法286條，違反國家規(guī)定，對計(jì)算機(jī)信息系統(tǒng)中存儲、處理或者傳輸?shù)臄?shù)據(jù)和應(yīng)用程序進(jìn)行刪除、修改、增加的操作，后果嚴(yán)重的，構(gòu)成破壞計(jì)算機(jī)信息系統(tǒng)罪。

根據(jù)《最高人民法院、最高人民檢察院關(guān)于辦理危害計(jì)算機(jī)信息系統(tǒng)安全刑事案件應(yīng)用法律若干問題的解釋》第4條，所謂“后果嚴(yán)重”，是指(一)造成十臺以上計(jì)算機(jī)信息系統(tǒng)的主要軟件或者硬件不能正常運(yùn)行的;(二)對二十臺以上計(jì)算機(jī)信息系統(tǒng)中存儲、處理或者傳輸?shù)臄?shù)據(jù)進(jìn)行刪除、修改、增加操作的;(三)違法所得五千元以上或者造成經(jīng)濟(jì)損失一萬元以上的;(四)造成為一百臺以上計(jì)算機(jī)信息系統(tǒng)提供域名解析、身份認(rèn)證、計(jì)費(fèi)等基礎(chǔ)服務(wù)或者為一萬以上用戶提供服務(wù)的計(jì)算機(jī)信息系統(tǒng)不能正常運(yùn)行累計(jì)一小時(shí)以上的;(五)造成其他嚴(yán)重后果的。

惡意刪庫是比較典型的破壞計(jì)算機(jī)信息系統(tǒng)的行為，“后果嚴(yán)重”的要件容易觸發(fā)，因此，惡意刪庫者通常會被以破壞計(jì)算機(jī)信息系統(tǒng)罪定罪處罰。從最終審判結(jié)果看確實(shí)如此。

(二)民事法律責(zé)任

法律規(guī)定如果惡意刪庫行為導(dǎo)致雇主企業(yè)遭受損失，雇主企業(yè)可要求該惡意刪庫者賠償損失。

三、微盟管理者法律責(zé)任

(一)刑事法律責(zé)任

在惡意刪庫事件中，一般企業(yè)管理者在通常情況下不涉及刑事責(zé)任。但參照上述對刑事法律責(zé)任的分析，在特殊情況下，如果企業(yè)構(gòu)成拒不履行信息網(wǎng)絡(luò)安全管理義務(wù)罪，除企業(yè)本身面臨罰金外，企業(yè)直接負(fù)責(zé)的主管人員和其他直接責(zé)任人員，也面臨三年以下的有期徒刑、拘役或者管制以及罰金等刑事責(zé)任。此事件中的“直接負(fù)責(zé)的主管人員”是指微盟任命的網(wǎng)絡(luò)安全負(fù)責(zé)人。

(二)行政法律責(zé)任

參照上述對企業(yè)的行政法律責(zé)任的分析，根據(jù)《網(wǎng)絡(luò)安全法》第59條、第64條，如果企業(yè)違反等級保護(hù)、個人信息保護(hù)或應(yīng)急管理義務(wù)，直接負(fù)責(zé)的主管人員將面臨五千元以上五萬元以下或一萬元以上十萬元以下的罰款等行政處罰。根據(jù)此規(guī)定，微盟網(wǎng)絡(luò)安全負(fù)責(zé)人還將罰款的行政處罰。

(三)民事法律責(zé)任

在惡意刪庫事件中，如果對違規(guī)操作的惡意刪庫者負(fù)有監(jiān)督管理義務(wù)的微盟公司主管人員沒有正確履行職責(zé)，微盟可以要求其承擔(dān)相應(yīng)的賠償責(zé)任。

反思與探索改進(jìn)

縱觀整件事情，我們可以從微盟刪庫此類事件中得到一些思考。對于中國蓬勃發(fā)展的互聯(lián)網(wǎng)企業(yè)的決策者來說，微盟刪庫事件的警示意義不僅是一家知名度極高的云服務(wù)企業(yè)發(fā)生了重大數(shù)據(jù)違規(guī)行為，導(dǎo)致股票市值暴跌，也不僅是因?yàn)榍f萬微盟SaaS商戶蒙受了無法估算的巨大經(jīng)濟(jì)損失，而是因?yàn)樵撌录┞兜?ldquo;網(wǎng)絡(luò)安全債”，在大多數(shù)企業(yè)中都普遍存在。這類事件在歷史上發(fā)生過不止一次(見附錄：最近幾年的國內(nèi)外數(shù)據(jù)庫誤操作和刪庫事件)，不得不說很多互聯(lián)網(wǎng)公司過份追求高速發(fā)展，而一定程度上忽略了系統(tǒng)運(yùn)行的穩(wěn)定性以及安全性。有IT業(yè)內(nèi)專家在幾年前去騰訊、阿里交流安全時(shí)，發(fā)現(xiàn)在他們IT內(nèi)部沒有過多的內(nèi)控機(jī)制，比如登錄某個系統(tǒng)查詢了某個用戶的數(shù)據(jù)是不會被審計(jì)的。反觀國內(nèi)的銀行、電信運(yùn)營商，在這個方面做的安全控制措施的確要比互聯(lián)網(wǎng)公司更好，因?yàn)檫@些央企面臨監(jiān)管合規(guī)壓力較大，很重視用戶數(shù)據(jù)保護(hù)與社會影響。不過這幾年在國家重視數(shù)據(jù)安全、個人信息保護(hù)的基礎(chǔ)上，互聯(lián)網(wǎng)公司，尤其BAT改進(jìn)了很多。

可能從公司/老板角度來說，追求公司快速發(fā)展是應(yīng)該的，但是如果換一個角度來看，那么保證數(shù)據(jù)安全、業(yè)務(wù)持續(xù)穩(wěn)定發(fā)展也是應(yīng)該的。發(fā)展速度與內(nèi)控管理是不可調(diào)和的矛盾體，是快速發(fā)展還是穩(wěn)健發(fā)展，作為企業(yè)決策者又該如何平衡呢?平衡發(fā)展與管理是企業(yè)決策者的事，作為IT管理者又是否能反思一個問題，如果刪庫事件發(fā)生在本公司，自己又會有什么樣的表現(xiàn)和結(jié)果呢?

事件發(fā)生后，在IT和安全業(yè)內(nèi)引發(fā)劇烈震蕩，各個專家、機(jī)構(gòu)和廠商們各抒已見，紛紛發(fā)表見解與主張，探討應(yīng)該怎么做才有可能盡量避免類似刪庫事件的發(fā)生。經(jīng)過整理分析，至少有以下幾個方向值得去深化和探索：

1. 更加細(xì)致完善的權(quán)限管理

根據(jù)業(yè)務(wù)使用、系統(tǒng)維護(hù)需求，將數(shù)據(jù)庫分庫分表配置權(quán)限，遵從最小化權(quán)限原則執(zhí)行，同時(shí)對數(shù)據(jù)庫主機(jī)的操作權(quán)限也要最小化，并且限制自由使用rm等危險(xiǎn)命令。可以參考電信運(yùn)營商的“金庫模式”管控方法，金庫模式簡單來說就是針對一些比較敏感的操作(查用戶敏感數(shù)據(jù)、刪除數(shù)據(jù)等)，需要兩個人配合，一人操作+另一人審批，只有審批通過才能允許命令被執(zhí)行，確保重點(diǎn)服務(wù)器任何時(shí)刻不能被單個賬戶直接操作。

權(quán)限的動態(tài)控制，即對于每一個用戶長期不使用的系統(tǒng)權(quán)限進(jìn)行“冷回收”，就是如果訪問權(quán)限長期沒有使用，則暫時(shí)回收鎖定，如果需要再次使用則需要重新進(jìn)行身份驗(yàn)證和審批以重新激活使用權(quán)，這樣可以讓權(quán)限更合理的最小化。

2. 運(yùn)維過程全量審計(jì)與告警

對運(yùn)維人員的訪問過程進(jìn)行細(xì)粒度的授權(quán)、全過程的操作記錄及控制、全方位的操作審計(jì)、并對事后操作過程回放，實(shí)現(xiàn)運(yùn)維過程的“事前預(yù)防、事中控制、事后審計(jì)”。合理設(shè)置審計(jì)與告警策略，設(shè)定每個用戶能夠使用的黑、白命令集，自動審計(jì)識別用戶輸入命令的安全性，對應(yīng)采取阻斷、告警、放行等操作。事后也可以提供詳細(xì)的審計(jì)日志給公安機(jī)關(guān)作為權(quán)威證據(jù)，鎖定惡意操作者追究其責(zé)任。

3. 以數(shù)據(jù)安全為核心的信息安全架構(gòu)

從數(shù)據(jù)被刪就能導(dǎo)致公司幾乎倒閉來看，數(shù)據(jù)資產(chǎn)的價(jià)值已經(jīng)成為大多數(shù)互聯(lián)網(wǎng)公司的核心價(jià)值，數(shù)據(jù)安全已經(jīng)是信息安全體系的重要環(huán)節(jié)，然而許多組織機(jī)構(gòu)并不充分了解自身的數(shù)據(jù)價(jià)值和數(shù)據(jù)安全能力，猶如手拿珠寶的兒童在鬧市上玩耍而對危險(xiǎn)渾不自知。以數(shù)據(jù)為核心價(jià)值的企業(yè)，尤其是互聯(lián)網(wǎng)企業(yè)應(yīng)該按照數(shù)據(jù)安全能力成熟度DSMM的方法論，根據(jù)數(shù)據(jù)生命周期，從組織建設(shè)、制度流程、技術(shù)工具、人員能力四個安全能力維度的建設(shè)進(jìn)行綜合考量，全方面對數(shù)據(jù)安全進(jìn)行能力建設(shè)，發(fā)現(xiàn)數(shù)據(jù)安全能力短板，查漏補(bǔ)缺，最終提升互聯(lián)網(wǎng)行業(yè)的整體安全管理水平和產(chǎn)業(yè)競爭力，促進(jìn)數(shù)字經(jīng)濟(jì)發(fā)展。

4. 引入零信任架構(gòu)

始創(chuàng)于谷歌的零信任架構(gòu)核心思想是不再區(qū)分內(nèi)、外網(wǎng)，要求對任何試圖接入信息系統(tǒng)的訪問進(jìn)行驗(yàn)證，消滅特權(quán)帳戶。將以網(wǎng)絡(luò)為中心的訪問控制改變?yōu)橐陨矸轂橹行牡膭討B(tài)訪問控制，遵循最小權(quán)限原則，構(gòu)筑端到端的邏輯身份邊界，引導(dǎo)安全體系架構(gòu)從“網(wǎng)絡(luò)中心化”走向“身份中心化”，可以有效的避免內(nèi)部人員的惡意操作。

5. 數(shù)據(jù)備份容災(zāi)與業(yè)務(wù)連續(xù)性管理

參考業(yè)內(nèi)或國內(nèi)外相關(guān)標(biāo)準(zhǔn)建設(shè)完善的數(shù)據(jù)備份與容災(zāi)體系，設(shè)計(jì)細(xì)致的數(shù)據(jù)備份架構(gòu)與策略，設(shè)定RTO與RPO指標(biāo)，實(shí)現(xiàn)數(shù)據(jù)級容災(zāi)或應(yīng)用級容災(zāi)。并制定應(yīng)急演練預(yù)案，模擬不同故障場景定期演練，保障業(yè)務(wù)的持續(xù)性。

6. 完善的安全評估機(jī)制

定期對系統(tǒng)的安全性進(jìn)行評估，提前發(fā)現(xiàn)、封堵漏洞，同時(shí)建設(shè)日志分析與態(tài)勢感知系統(tǒng)，對操作日志、流量日志進(jìn)行審計(jì)分析，提前感知相關(guān)威脅，可能會挽救下一個“刪庫故事”。

7. 重視合規(guī)

嚴(yán)格落實(shí)網(wǎng)絡(luò)安全等級保護(hù)，包括定級備案和定期測評，并按照等級保護(hù)要求完善權(quán)限控制和重要數(shù)據(jù)備份，妥善留存網(wǎng)絡(luò)日志，做好個人信息保護(hù);制定應(yīng)急預(yù)案，定期開展應(yīng)急演練;一旦發(fā)生惡意刪庫事件，立即啟動應(yīng)急預(yù)案，采取調(diào)查事件原因、更改操作權(quán)限、啟動備份恢復(fù)等補(bǔ)救措施，并及時(shí)向公安機(jī)關(guān)、行業(yè)主管部門等報(bào)告。

8. 建設(shè)內(nèi)控體系化解管理風(fēng)險(xiǎn)

微盟刪庫事件暴露的只是企業(yè)內(nèi)部威脅的“冰山一角”，企業(yè)面臨的最大威脅往往不是外部攻擊，而是內(nèi)部威脅。因此在落實(shí)合規(guī)義務(wù)、確保安全底線的基礎(chǔ)上，建立以人為核心的企業(yè)內(nèi)控體系，明確權(quán)限控制和數(shù)據(jù)安全責(zé)任，持續(xù)對員工開展教育培訓(xùn)，包括法律法規(guī)普及、網(wǎng)絡(luò)安全培訓(xùn)以及企業(yè)文化培訓(xùn)。分析制定內(nèi)部威脅成熟度參考框架，在企業(yè)戰(zhàn)略和風(fēng)險(xiǎn)管理設(shè)計(jì)層面將安全作為重要的原生要素考慮。

附錄：最近幾年的國內(nèi)外數(shù)據(jù)庫誤操作和刪庫事件

2019年12月，由于Elasticsearch數(shù)據(jù)庫技術(shù)人員的疏忽，小米生態(tài)鏈企業(yè)，智能家居產(chǎn)品制造商Wyze泄露了超過240萬北美用戶數(shù)據(jù)，導(dǎo)致Wyze在北美市場業(yè)務(wù)和品牌聲譽(yù)蒙受巨大損失。

2018年8月，順豐公司一員工接到一個變更需求，因?yàn)檫x錯了實(shí)例，將一數(shù)據(jù)庫刪除。因工作不嚴(yán)謹(jǐn)導(dǎo)致該系統(tǒng)上臨時(shí)車線上發(fā)車功能無法使用并持續(xù)約590分鐘。事后該員工被開除。

2018年4月，VPS服務(wù)商Kuriko因機(jī)房技術(shù)人員 rm -rf /*，宿主機(jī)上所有數(shù)據(jù)丟失了。

2017年9月，某企業(yè)技術(shù)工程師幫助廣西移動進(jìn)行擴(kuò)容割接(即增加系統(tǒng)容量)時(shí)，不小心將HSS設(shè)備里面的用戶數(shù)據(jù)格式化刪除，導(dǎo)致廣西移動近80 萬用戶數(shù)據(jù)丟失。

2017年6月，Reddit網(wǎng)站的一位實(shí)習(xí)程序員手滑誤刪了網(wǎng)站的全部生產(chǎn)數(shù)據(jù)，險(xiǎn)些將這個過去五年全球最成功的興趣社交網(wǎng)站從互聯(lián)網(wǎng)上抹掉。當(dāng)Reddit準(zhǔn)備起訴該員工時(shí)，整個硅谷的技術(shù)大咖都一致指責(zé)Reddit，認(rèn)為該公司自身糟糕的安全管理才是根本原因。

2017年6月，一家荷蘭海牙的云主機(jī)商verelox.com，一名前任管理員刪光了該公司所有客戶的數(shù)據(jù)，并且擦除了大多數(shù)服務(wù)器上面的內(nèi)容。

2018年，“前沿?cái)?shù)控”因生產(chǎn)云數(shù)據(jù)備份恢復(fù)失敗而瀕臨倒閉。

2018年北京一軟件工程師徐某離職后因公司未能如期結(jié)清工資，便利用其在所設(shè)計(jì)的網(wǎng)站中安插的后門文件將網(wǎng)站源代碼全部刪除。最終徐某因破壞計(jì)算機(jī)信息系統(tǒng)罪成立，獲刑五年。

2018年杭州科技公司的技術(shù)總監(jiān)邱某因不滿企業(yè)裁員，遠(yuǎn)程登錄服務(wù)器刪除了數(shù)據(jù)庫上的一些關(guān)鍵索引和部分表格，造成該企業(yè)直接經(jīng)濟(jì)損失225萬元，后被判賠償公司8萬元，判刑2年6個月，緩刑三年。