“从入门到删库到跑路”!
原本一个口头禅笑话 ,居然神奇般的发生了,而且还是一个有着3700员工、在香港上市的公司。
这童话般事件的发生了,暴露了从技术到管理、安全合规,风险管理甚至公关都有很大的问题。不知道这3700名员工中有多少人是在这些部门,不过我认为这些部门的人90%都可以开除了。
管理上方面员工管理,员工岗位培训、安全保障培训有没有到位,安全和保密协议都有没有签,人力资源对员工状态了解够不够,有没有专门指导和帮助机制?员工权限控制做到了么?运维、开发、安全和DBA有没有分工,有没有专职人员?员工有没有操作互备和相互确认机制?
从技术上方面架构系统架构上首先不合理:数据库为啥没有做多层架构(数据库,缓存、内存数据),没有分布式架构(分区,分库,文件系统分布式存储)。
备份
数据备份机制有没有,数据备份检查有没有?数据回复机制有没有,灾难演练有么有做过?冗余热备库有没有?
审计和告警
监控告警有没有、操作和数据审计有没有。
从公告中内容,操作审计是没有,以至于要大量时间反向追踪查找IP和用户。正常情况下应该是在事故发生时间,异常登陆和操作发出告警。然后是服务器、和数据应用告警,然后是业务上告警。在业务发生告警时候,应该马上就能查到什么时间、来源IP,谁操作了什么。
一般来一个合格的跳板机或者堡垒机都可以实现操作审计,对异常和破坏性操作予以告警和预先阻止,一个大型的公司应该是必须满足的,有专门商业产品可供选择。
小公司和团队也可以选择开源软件方案,也能满足绝大多数的审计和告警需求。比如Gravitational的Teleport工具就可以满足对SSH会话的安全审计,有关这个工具可以参考虫虫最新一篇文章介绍,Teleport用BPF增强SSH会话的安全审计技术方案。
安全合规,风险管理方面
在数据备份上和告警上,审计上都没有做到,说明安全和合规团队是不存在或者完全失职的。按照国家对一个在线商务运营的资质要求来说合规方面应该都要有相关资质要求和措施年检要求,至于怎么拿到资质备案和满足年检这也是值得要问的问题。
公关方面从涉事后公告中直接暴露了和各种细节方面的问题来说公关团队的也是失职的。还有晚上爆了的该员工、其媳妇以及公司高管方面种种小道爆料来说说明公关方面也做的不到位。
20M的电信,移动或者是联通,对比200M的宽带,使用体验有什么样的不同? 首先,你用宽带是做什么?假设是用来下载使用,那么区别就大了,20M的宽带理论下载速度最多也就是二点5M每秒,和200M的宽带...
流量是指在服务器上所传输的数据的总量.包含了上传和下载的数据总量.比如说你在服务器上面通过网络下载一个文件.文件的大小是100M.那么你下载这个文件就消耗掉了100M的流量.目前服务器基本上都是限制的...
一个电子商务类网站或一个广告联盟网站服务器租用,可一次从以下几个方面来判断: 1.流量——也就是指用户网站的访问数量(即一个月内允许用户网站被调用数据的总和),服务器租用服务商同样是基于让服务器资源得...
1.视频服务器租用要选择高带宽 大家都知道视频网站就是一个提供用户看视频的地方,缓存视频的快慢就看带宽的给不给力了!现在的网络视频质量是越来越好了,基本上都是480P、720P、1024P、108...
阿里云云服务器配置网站环境可以根据自己需求选择nginx或者apache,作为web服务器。现在一般是用nginx作为web服务器或者负载均衡转发到应用服务器。远程登录到阿里云服务器,安装nginx,...
今天给各位分享cn域名过期的知识,其中也会对cn域名过期多久可以抢注进行解释,如果能碰巧解决你现在面临的问题,别忘了关注本站,现在开始吧!文章目录列表: 1、为什么cn域名到期了也不能注册为什么cn域...
今天给各位分享b2b2c电商平台网站的知识,其中也会对b2b2c模式的电商平台进行解释,如果能碰巧解决你现在面临的问题,别忘了关注本站,现在开始吧!文章目录列表: 1、专属订货商城系统_全渠道触达下游...
亲他们是骗人的。我做了一个月交了680元,当初是那个推销人员看我迟迟不肯做推广给我打的折扣。刚开始我那件衣服还卖了几件怎么做了推广反而一件没有卖出去。而且访问那件衣服的人还是不少。我就很纳闷于是我就点...
构系统架构上首先不合理:数据库为啥没有做多层架构(数据库,缓存、内存数据),没有分布式架构(分区,分库,文件系统分布式存储)。备份数据备份机制有没有,数据备份检查有没有?数据回复机制有没有,灾难演练有么有做过?冗余热备库有没有?审计和告警监控告警有没有、操作和数据审计有没有
有分工,有没有专职人员?员工有没有操作互备和相互确认机制?从技术上方面架构系统架构上首先不合理:数据库为啥没有做多层架构(数据库,缓存、内存数据),没有分布式架构(分区,分库,文件系统分布式存储)。备份数据备份机制有没有,数据备份检查有没
SSH会话的安全审计技术方案。安全合规,风险管理方面在数据备份上和告警上,审计上都没有做到,说明安全和合规团队是不存在或者完全失职的。按照国家对一个在线商务运营的资质要求来说合规方面应该都要有相关资质要求和措施年检要求,至于怎么拿到资质备案和满足年检这也是值得要问的问题。公关方面从涉事后
ational的Teleport工具就可以满足对SSH会话的安全审计,有关这个工具可以参考虫虫最新一篇文章介绍,Teleport用BPF增强SSH会话的安全审计技术方案。安全合规,风险管理方面在数据备份上和告警上,审计上都没有做到,说明安全和合规团队是不存在或
,不过我认为这些部门的人90%都可以开除了。管理上方面员工管理,员工岗位培训、安全保障培训有没有到位,安全和保密协议都有没有签,人力资源对员工状态了解够不够,有没有专门指导和帮助机制?员工权限控制做到了么?运维、开发、安全和DBA有没有分工,