32

面对员工删库跑路,CIO能做哪些 - CIOAge.COM

 4 years ago
source link: https://www.cioage.com/art/202003/611781.htm
Go to the source link to view the article. You can view the picture content, updated content and better typesetting reading experience. If the link is broken, please click the button below to view the snapshot at that time.

面对员工删库跑路,CIO能做哪些

“从删库到跑路”一直是个笑谈,好笑的地方就在于,他总是发生在别人的公司。但是如果发生在自己部门,估计没哪个CIO能笑出来了。

作者:阿郎来源:CIO进化论|2020-03-03 17:28

【51CTO.com原创稿件】“从删库到跑路”一直是个笑谈,好笑的地方就在于,他总是发生在别人的公司。但是如果发生在自己部门,估计没哪个CIO能笑出来了。

1ec94d1ab621be83404fe5d8808628e7.jpg-wh_651x-s_3492762242.jpg

1、删库跑路寻常见

昨天,微盟称其业务系统数据库(包括主备)遭遇其公司运维人员的删除。部分已经恢复正常,但老用户数据官方预计要到2月28日才有结果。

在我印象中,删库新闻每年都会报道几起。而这些并不能足以让人重视,始终感觉新闻离自己很遥远。发生在身边的才让人印象深刻。

CIO & IT经理精英汇2群中两位IT负责人分享了两起亲身经历的故事,让人不禁背后发凉。

我经历的,是一个网络工程师,原本负责采购,但是组织调整之后独立让他负责网络搭建,把采购交给专人负责了。然后他就不干了,叫嚣公司没他就转不下去,然后就请年假。他一休假,网络就瘫痪,然后就逼领导请他回来修,他一修就好。后来查出来是他自己搞鬼删库。最后只能从设备到网络全都重新搭建。

以前我面试过一个小伙。谈起上一家公司为啥离职,小伙说他将公司的数据库删了,然后只有自己有备份,逼迫公司给他涨工资,然后公司没有给他涨,他就离职了。。。我立马把这名大神恭恭敬敬的送出门外,并祝他以后不要再来了。

不少CIO也表示有过类似经历,可见能够见诸报端、进入公众视野的删库事件只是冰山一角。

2、事出有因

据微盟公告称,删库是因其个人精神、生活等原因。但网上传的更劲爆些。

3eb78f7f4538c62cfe7c7ee97160e5ce.jpeg-wh_600x-s_1907295981.jpeg

再次声明,这些只是网传,不能确定其真实性。但我们能看到一点,一个运维可以删掉系统数据库和主备,而且这个运维还有个人精神和生活的问题。这个权限设置确实有很大不妥。

微盟这位运维删完库还知道跑路,再看另外两个案例,他们更明目张胆些,跑路是不存在的,还以此要挟公司,甚至当做炫耀的资本。难道他们都不知道这是违法的吗?

这里又反映出另外两个原因:其一,员工法律意识淡薄;其二,基层管理者不关注员工状态和情绪。

如果继续探究,就能找出更深层次的原因:IT地位不高。这一点是很重要,也是很容易被忽略的,下面两个案例能更明显地说明这个问题。

2017年,软件工程师徐某离职后因公司未能如期结清工资,便利用其在所设计的网站中安插的后门文件将网站源代码全部删除。获刑五年

2018年,技术总监邱某因老板逼其离职,删除了数据库上的一些关键索引和部分表格。因自愿认罪,获刑二年六个月,缓刑三年。

虽然这两位都得到了应有的惩罚,但企业的损失肯定是难以弥补的。从某种意义上说,这两个案例可以看到,公司未能正视IT的价值,对技术人员也有轻视的成分。当然IT地位更多还是IT人主动争取的。

3、解决之道

CIO对于防止出现删库跑路这类事故,更多能做的还是预防,只有做了足够多的前期预防工作,才能最大程度避免损失。

1. 技术预防

很多删库者都是离职员工或黑客。可以采用网络进行分层设计:接入层,应用层,数据层。数据层只对固定的应用服务器开放。数据库永远只放在内网,监听在内网IP上。

2. 制度约束

良好的制度规范,可以有效防止员工误删或恶意删库。

架构设计上需要注意,重要数据永远不要直接删除,标记为“删除”状态。不能给程序的用户all privileges。Insert、delete、update各类命令的权限单独赋予。

例如,开发人员不连接数据库,如果必须要连接,可以只给只读账号。又如,管理员不能使用root账号直接在操作系统层面操作数据文件,尽量使用客户端从远端连接到数据库进行维护等。

必须有周密的备份,即使管理员跑路也不怕。备份也经常需要演练,最好能每天检查。

3. 团队建设

技术手段和制度规范只能保证相对安全,而人是很复杂的生物,他铁了心想要搞破坏的话总是有办法的。所以团队建设才是重中之重。

但是对于更善于和计算机打交道的IT人来说,想做好团队建设是很困难的。下面是三点常用方法:

职业素质培训

很多初入职场的程序员会认为IT只要代码写好就行、我辛苦写的代码成果应该是我的、技术上做点手脚法律管不着等。

这些误区是普遍存在的现象,也是很多问题的导火索,职业素质培训能很大程度预防这些错误观念导致的问题。

注意员工状态,及时关注员工情绪,如果其与公司有矛盾或心结时,能给予帮助就帮其解开;不能帮助的,也要尽量开导,不至于造成不良后果。

提升IT地位

提升IT地位是CIO的大难题。秦冶重工信息化中心主管李静说:很多人都问过如何提高IT的地位,其实不是靠喊的,是靠潜移默化的去影响别人,通过流程管控,数据治理,人员的业务提升,意识转变,你要先把自身立住,然后才能带着部门去为企业创造价值。

如有未尽之处,请下方留言补充。欢迎加入CIO & IT经理精英汇2群讨论更多内容!加群方法:公众号CIO进化论中回复【社群】。

扫码查看更多CIO文章

加入【CIO & IT经理精英汇】微信交流群请联系群管理员(微信号:CIOAge)。 申请入群请注明所在公司+职位。
7d8cb5416b328a57aa5307ed911674a1.jpg

【51CTO原创稿件,合作站点转载请注明原文作者和出处为51CTO.com】

【责任编辑:张昂 TEL:(010)68476606】
点赞 0
大家都在看猜你喜欢

report

Recommend

About Joyk


Aggregate valuable and interesting links.
Joyk means Joy of geeK