当企业致力于防御来自外部的攻击时，内部的威胁有时也能杀个措手不及，给企业带来重大损失。前不久，链家数据库管理员删库一案最终被判刑7年，当事人因对公司积怨已久，一气之下删除了大量公司财务数据，致使该公司财务系统彻底无法访问，并影响员工的工资发放，公司为恢复数据及重新构建该系统共计花费人民币 18 万元。而两年前的微盟删库事件影响更甚，导致公司服务器故障时间长达8天，超过300家商户受到影响，市值仅一天就蒸发了10个亿。

可见，删库已成为企业面对来自内部的安全风险时不得不顾及的要素之一，在应对措施上，不仅要考虑对数据、账号权限方面的管理问题，对员工职业道德和职业心理健康的关注也成为不可忽视的一部分。本期话题围绕“删库”，就以上相关问题展开讨论。

（本文所有ID已做匿名处理）

1.针对链家数据库管理员删库一案，大家认为企业对于高风险或者高权限账号应该如何进行有效的管理？

@和风徐徐

对于高权限账号或者高风险账号，个人认为还是主要通过堡垒机进行管控，通过限制高危命令，如：rm -rf *等命令限制，然后做好日志留痕、视频审计等审计功能，然后做好备份，就算出现问题也能保证业务连续性、数据恢复。

@无心插柳

这部分其实很大程度涉及风控部门的流程设计和控制，由各企业内部环境决定，对高级运维来说，技术层面除了堡垒机做到事后追溯审计，其他手段很困难，知道是一回事，管理上很难做到完全的职责分离。

@最帅兵马俑

通过堡垒机或者特权管理平台，把安全运维做到实处，至少一些高危命令通过这种设备是能够禁止的；再一个管理上就是老生常谈的职责分离、最小权限+内控审计等要求了，当然这个能做好也不容易。最后就是建立备份恢复机制，把损失降到最低。

@无风

高风险操作一直以来都是依靠堡垒机解决方案，高权限账号应该也统一管理，这种基础设施应该是安全建设的第一步，如果没有只能说安全管理有漏洞。

@翱翔猫咪

可以通过4A——统一安全管理平台解决方案，很多大企业尤其是国企已经使用很多年了，集中帐号管理+集中认证管理+集中权限+集中审计管理，属于依托堡垒机扩展的平台。

@无心插柳

设备这种其实都是可以绕过。

@翱翔猫咪

只要确保防火墙设置，堡垒机是唯一登录的节点。

@无心插柳

这就属于职责分离的一部分，一旦网络也属于他的控制范围，很好绕过。审计有一个说法，一个人知道所有是最大的风险。

@翱翔猫咪

一般网络跟系统运维是分开的吧，防火墙要么属于网络维护单位，要么属于安全组。通过这种平台，严格意义你是没有直接登录到服务器，你是登录到堡垒机，堡垒机把你的命令推送过去，因此可以设置某些敏感命令是失效的。当然上传下载文件又是另说了。

@残阳

4A我没接触过，账号权限管理系统+堡垒机+高风险流程审批，外加HR部门工作，不能说妥了，起码安全不用背锅。

@翱翔猫咪

后续理想的环境是，把4A的认证拿掉，认证用统一认证平台来解决，4A解决运维问题，用零信任解决Web访问问题，三个平台通过接口实现统一。

@卢卡斯

单纯从风险管理的角度来说，应当在事前和事中加强管理（毕竟事后都是补救，已经失去了预防的意义）。

事前：首先，部门直属负责人应当充分评估高风险或高权限账号存在的必要性，一定要坚持非必要不建立、不开放、不使用的原则；其次，如确有必要，应联合人力资源部门对此类账号的拥有者做好充分的评估（包含但不限于能力、职业操守和心理健康等）；最后，建立此类账号的审批流程和监控预警方案；

事中：在有监控预警方案的基础上，对风险进行评估，做好应急处置预案（例如，操作二次授权，配备操作人和监督员，做好权限紧急剥离方案等）。

2.企业对于重要数据应该如何做好备份，同时防止数据泄露的情况发生？高效且安全的数据管理机制应该是怎样的？

@和风徐徐

有钱肯定上两地三中心，CDP备份，定期进行备份恢复演练。

@晴空

光盘盘阵，磁带库很合适，市场验证几十年了，银行、金融、政府用的很多，而且光盘很便宜。但这个只能异步，不能实时，恢复数据很慢。

其实这几年，由光盘恢复数据、由硬盘恢复数据、由日志恢复数据、由客户端缓存恢复数据，都见识过了，体会就是，出问题的时候，运维工作，安全工作，牛逼架构等起到的作用都不大，最后都是RMB大佬过来填坑解决问题。再一个就是，舍得花钱的项目，基本都不出问题，扣扣搜搜的都没少崩，后期救火成本不低。

@最帅兵马俑

数据防泄露对于普通企业来说可以从文件外发控制入手，如移动存储管控、文件外发监测、文档自动加密等成熟技术手段综合考虑，采用适合的安全策略，防止数据通过文件载体泄露丢失。

另外建议建立适合企业自身的数据分类分级标准、规范或者数据防泄漏策略，这个策略先监测再阻断，逐步满足自身需求。成本较低的建议可以部署文档自动加密+移动存储管控，先一刀切，除非是恶意泄露，一般还是能够有效防止数据基于文件泄露的。另外也注意宣贯安全意识、保密意识也是非常重要。

@卢卡斯

备份是个老生常谈的事情，大多数情况是受限于成本投入了。备份最好的方案就是两地三中心，多地容灾，多云容灾等。成本考虑的话，就定时离线备份吧，光盘和磁带库还是有其价值的，毕竟缺失总比没有要好得多。

防止数据泄露从两方面看待：管理和技术。管理方案自然是做好访问控制管理，坚持最小权限原则，坚持最少人员原则；技术方案就是各类监控系统、数据防泄漏系统、落盘加密存储、独立KMS部署等。

高效且安全的数据管理机制，在咱们这个环境下其实还面临很大挑战。高效和安全，就如同易用性和隐私保护一样，两者大范围内是背离的。另外，个人认为最好的、最高效、最安全的数据管理机制就是信任。

3.为防止发生类似事件，企业对于安全从业人员的职业道德和职业心理健康，应该采取何种方式进行规范、维护或调节？

@和风徐徐

第一肯定是制度，明确告知其操作风险性；第二多关心安全人员心理质素，如钱给够、放假、轮修。

@最帅兵马俑

背景审查、恩威并施吧。另外我觉得咱干安全的人，还是很有责任心的，同时也是懂法守法好公民。删库这事是小概率事件，不代表咱这个整体职业道德出问题。

@无风

其实背调环节就要考虑曾经重大运维过失情况一票否决，特殊岗位应该对招聘人员的情绪管理、逻辑思维能力有一定要求，日常需要不断宣贯企业的管理制度和职业操守，各种个人重大风险报告应该落到员工身上。

@卢卡斯

企业文化、团队文化和管理者人格魅力其实也是可行的，但是，这些年这些东西有点被滥用了，反而成了唱高调的形式主义。发自内心的维护和成长才是最好的。

——————————————————

本期精彩观点到此结束啦~此外，FreeBuf会定期开展不同的精彩话题讨论，想了解更多话题和观点，快来扫码免费申请加入FreeBuf甲方群吧！

加入即可获得FreeBuf月刊专辑，还有更多精彩内容尽在FreeBuf甲方会员专属社群，小助手周周送福利，社群周周有惊喜，还不赶快行动？

申请流程：扫码申请-后台审核（2-5个工作日）-邮件通知-加入会员俱乐部

如有疑问，也可扫码添加小助手微信哦！