一、新闻简要内容。<u>新闻地址</u>
金某某于2020年8月至9月在北京百度网讯科技有限公司(以下简称“百度公司”)商业质量效能部负责测试开发工作期间,对百度公司可视化项目程序数据库内的数据进行删改,导致系统无法正常产出相关的项目质量评估数据等后果,百度公司为恢复数据及功能,支付北京中海义信信息技术有限公司司法鉴定所人民币16300元。
2021年3月9日,金某某被公安机关抓获归案。后金某某在家属的帮助下赔偿百度公司人民币7万元并获得谅解。
二、工作思考
(一)技术方面
1、白名单授权机制
所有涉及白名单通道权限授权应由要职人员授权,且每周应做变动授权,类似阿里云白名单IP一样,规避外部固定IP长期开通使用。
2、项目回滚功能
在出现异常情况时,可通过技术手段快速恢复,降低业务影响。
3、系统日志
对系统敏感日志应单独存储,并由专人监察。
(二)管理方面
1、人员任用
核心技术小组成员应通过公司内部晋升渠道及相关指标考评后认定。
2、快速响应
从2020年6月建立外网链接,2020年8月7日开始破坏,到2020年8月14日,效能部向该部门反馈改库异常情况并展开调查,整体发现问题周期短,可借鉴。
3、调岗沟通
对员工的工作调整,相关管理人员应做好事前非正式沟通,充分听取员工意见,降低相关风险。
4、交接管理
交接工作应做好交接材料明细表,由接手人员按表逐项签收,不懂或有疑问的地方交付人需向接手人员讲解清楚。若工作内容多,可给一定时间。
5、开发人员提交修改代码后应由数据库技术人员检查数据修改代码,最后由布署技术人员把代码布置到服务器并执行数据库修改脚本,上线后由运营人员对变更涉及的业务变化做一定周期的数据跟踪,若有异常及时反馈。
(三)流程方面
1、交接权限调整
交付人在该岗位获得的授权,应在移交工作时关闭授权并解绑,由接手人员改密并绑定使用。
2、需求评估
项目收到对数据库做操作的需求时,先做技术评估,确定能否通过开发前端并严格测试的方式做处理,不能因业务需求紧急就随意做改库操作。
3、明确需求来源
项目需要对数据库做操作时,需给出相应需求材料并由系统相关技术人员及相关系统方开会评估,是否此操作会对后续流程有影响,明确调整内容、责任人和完成时间。
4、操作溯源及沟通
项目出现问题时,除了立即修复问题外,应由安全管理人员对相关日志做跟踪查询,对删库、改库、锁定等操作需同信息中心技术主管及相关技术人员做沟通,若有异常操作,应及时对账号权限降维或封禁。
