25日早间，微盟集团向港交所发布公告称，2020年2月23日19:00左右收到系统监控警报SaaS业务服务出现故障，经调查，24日确定为集团研发中心运维部一位核心运维员工人为破坏，该员工已经被宝山区公安局进行刑事拘留。微盟表示，2月25日晚上24:00前微盟对SaaS业务生产环境将修复完成，新用户将可继续使用公司的SaaS业务。老用户的数据修复预计将在2月28日晚上24:00前完成。

业内分析人士指出，从微盟的公告看，故障的发现到生产环境的修复大概需要用53小时，用户数据的修复大概需要5天。反映出微盟在三个方面的重要短板：首先是员工对《国家网络安全法》等相关法律法规的认识不足，IT部门对《信息安全技术网络安全等级保护基本要求》2.0(以下简称：等保2.0)的重视程度严重不足；其次，公司对数据审计严重缺失；最后，在运维和实操中对灾备和灾备演练严重不到位。

IT部门对等保2.0的重视严重不足

员工人为破坏数据的案例已不是第一次，早在2018年就有相关的案件发生。国家为应对大数据、物联网、移动互联网等新兴技术对安全带的挑战，2019年将等保标准升级到2.0版，将数据安全建设列为核心内容之一。

从身份认证、用户授权、当问控制、安全审计以及动态监测预警和快速响应等各控制环节都做了明确规定。尤其在针对本地的备份和恢复方面，一共分了四个等级，这四个等级随着级别的升高，对数据和业务连续行的要求也就越高，除了备份还要求有数据及业务系统的异地容灾和本地可用的策略，并要求定时或实施对重要业务信息、系统数据及软件系统进行备份。此次事件充分反映出还是有很多企业，不乏有大型上市公司没有将等保相关规定落到实处。

数据审计严重缺失

审计的作用在于监视并记录对数据库服务器的各类操作行为，并对关键业务或数据库危险操作进行告警并触发相应拦截。在《计算机信息系统安全等级保护数据库管理技术要求》、《企业内部控制规范》中明确提出了对工作人员行职责分离，系统设置了权限角色分离，充分发挥数据审计的安全作用。微盟在公告中表示，员工通过VPN登入内网跳板机进行破坏，显然对他的数据库危险操作并未进行相关审计并得到有效拦截。

数据审计通过对数据的分析，实时地、智能地解析对数据库服务器的各种操作，并记入审计数据库中以便日后进行查询、分析、过滤，实现对目标数据库系统的用户操作的监控和审计。有效防止由维护人员的操作监控失效，以及离职员工的后门导致的安全事件发生。此外还能防止安全漏洞：如溢出，降低数据库日志文件被篡改的风险。但仍有不少企业存在侥幸心理，缺失审计或绕过审计操作的情况时有发生。

灾备及灾备演练不到位

即便有了灾备和灾备预案，平时演练也十分重要。此次事件中，生产环境的修复大概需要用53小时，用户数据的修复长达5天。显然，微盟的灾备演练不到位。在等保2.0中从二级到四级的管理要求都要求制定演练和灾难恢复计划，确保灾备系统的可用、可靠，遭遇应急事件时可快速恢复业务，等级越高对恢复点目标(RPO)和恢复时间目标(RTO)的要求越高，业务恢复的时间是灾备建设的关注重点。
 

RTO/RPO与灾难恢复能力等级 《信息系统灾难恢复规范》(GB/T 20988-2007)

企业要在不影响灾难备份和恢复功能的前提下需要加强灾难恢复“平时”的应急演练，确保在突发事件发生时能有效响应，同时要充分利用灾难备份设施的各类资源，将日常运营和应急灾备需求结合起来综合排练发挥最大效益。

为确保备份数据的有效性，灾备系统应提供自动的灾备演练机制，异地机房灾备数据中心的灾备演练容灾机应和生产系统的环境应保持一致，确保演练环境与生产环境的真实性。

总结：

在数据时代，数据就是企业的生命线，此次事件应充分引起企业和IT供应商的重视。不论是IT部门还是企业员工应该及时学习相关的法律法规。IT部门应完善相应的数据安全管理制度、审计程序，严格按照操作规程工作。

同时，灾备演练要形成制度化、进行周期性演练。每季度有条件的可以每月甚至每周进行一次演练，及时查看生产系统的最近状态，避免人为疏忽；当业务系统出现问题时便可快速定位问题及时间点，并根据正确的时间点启动接管机，避免造成损失。