从删库到跑路，教训很多，但类似事件近年来总在重复上演，有运维部为此连夜鏖战恢复，更有企业陷入“至暗时刻”，经济受损、名誉蒙尘。

组织单位应该采取怎样的策略和积极主动的方法，避免酿成严重的后果？

美创防删库解决方案以“删库”路径为着眼点，充分践行以人为中心的安全理念，并结合底线防御的核心思想，为您加持三重安全保障：

• 在数据存储域：通过诺亚防勒索，实时监控各类进程读写操作，防止数据库、数据库文件被删除，保证数据的基础可信环境安全；

• 在数据访问域：通过数据库防水坝、数据库防火墙，进行细粒度的数据库准入控制、访问控制，防止数据被非法操作；

• 底线防御、极限生存：通过新一代灾备一体化平台，最大程度实现业务连续性和数据完整性保障。

第一重保障：存储域

防止数据文件被删除

 典型举例

• 2020年，微盟研发中心运维部核心运维人员贺某在家通过VPN登录公司数据库停止数据库相关进程后，恶意删除数据库文件，这一操作导致300余万用户无法正常使用微盟SaaS产品，故障时间长达8天14个小时，微盟市值一天之内蒸发超10亿元。

• 2018年，链家公司数据库管理员韩某因对组织调整有意见，利用财务系统root权限便利，登录公司财务系统服务器，并通过执行rm、shred命令删除了服务器中的数据文件。链家公司为恢复数据及重新构建财务系统共计花费人民币18万元。

• 2016年12月下旬开始并延续至2017年1月的大规模的MongoDB数据库勒索事件，黑客组织通过扫描互联网上对外开放连接的MongoDB数据库，利用MongoDB数据库未授权访问漏洞，劫持服务器后对存在漏洞的数据库进行“删库”操作并留下联系方式，以此勒索用户支付赎金。

 问题分析

上述案件的删库和勒索手段，均发生在存储域（物理域）。主要场景如：在操作系统运维过程中，运维人员通过format、rm等系统级操作直接对操作系统中的数据库文件进行删除（典型微盟、链家事件）。此外，黑客入侵某数据库服务器后，通过恶意程序和恶意代码等手段，控制未知进程对操作系统中存储的数据文件进行加密、修改或破坏，进而要挟勒索。

常见场景	具体手段
操作系统运维	进行数据库、数据文件删除、数据库所处目录删除、所属逻辑卷删除、所属磁盘格式化，操作系统格式化。如微盟事件、链家事件。
外部威胁	通过恶意程序和恶意代码等手段，控制未知进程对操作系统中存储的数据文件进行加密、修改或破坏。

存储域（物理域）安全是数据安全的基础，构建存储域的基线防线，保障存储的数据不被破坏、篡改，是系统稳定运行的根本前提条件。因此，监视操作系统中进程的变化，确保进程的可信性，防止数据库、数据库文件被破坏至关重要。

 解决对策

美创诺亚防勒索系统可实时监控各类进程和用户对数据文件的读写操作，快速识别、阻断已知、未知勒索病毒的写操作以及 “rm -rf /”之类的删除命令行为，确保只有被允许的合法操作才能被执行，有效避免微盟事件中自行停止数据库进程后删除数据库文件等数据破坏场景。

第二重保障：访问域

防止数据被非法操作

 典型举例

• 2020年，百度网讯金某某在负责测试开发工作期间，因对该安排感到不满，在家中使用手机登录隧道进入公司内网服务器，分次对可视化项目程序数据库内的项目表进行了删除、锁定、修改，当事人构成破坏计算机信息系统罪，被判处有期徒刑9个月，缓刑1年。

• 2018年，顺丰高级运维工程师邓某错选RUSS数据库，打算删除执行的SQL。在选定删除时，因其操作不严谨，光标回跳到RUSS库的实例，在未看清所选内容的情况下，便通过delete执行删除，同时邓某忽略了弹窗提醒，直接回车，导致RUSS生产数据库被删掉，导致系统中断590分钟。

 问题分析

在美创实际案例中，同样发生类似事件，某单位用户运维人员通过运维工具访问数据库，在删除表A的某行错误数据时，因为疏忽，执行了删除整表的操作，导致业务停机。

对于绝大多数单位组织而言，往往对数据库运维缺少细粒度管控，而面临数据库误操作、高危操作等，堡垒机作为“系统”层的门禁，仅能对运维人员操作行为以录屏的方式进行安全监控，并不能对高危风险行为进行识别和阻断处理。

常见场景	具体手段
数据库运维	数据库运维工程师误操作导致的数据删除或丢失，包括删除测试环境因地址错误或数据库名称等错误导致删除、历史表迁移工作误删除；数据库运维工程师的恶意操作导致的数据丢失，包括删除数据库部分或全部数据、删除数据库、删除数据库实例。如百度网讯事件。
应用系统运维	delete不增加where从句的方式对表格进行删除、drop table方式进行数据删除、truncate table方式进行数据删除、drop user方式进行某用户数据删除、删除所有用户数据。如顺丰事件。

 解决对策

美创数据库防水坝（数据库运维安全管控）和数据库防火墙，以资产和身份安全（以人、终端、应用、账户构成身份四要素）为中心，增强准入控制，聚焦访问权限，重点管控删库等高危操作行为，有效实现对“DROP DATABASE”等删除数据库或其他高危SOL操作语句的精细化控制。同时数据库防水坝误操作恢复功能，支持对合法误删除的表格数据进行恢复，用户一旦发生误操作行为，安全管理员可在管理端页面进行语句追踪，快速找回误删除数据。

第三重保障：容灾备份

底线思维，极限生存

回溯这两年删库事件，为何业务恢复和数据恢复难的状况屡见不鲜？究其原因，一方面完备的灾备建设，未获得组织单位应有的重视。另一方面，多云、混合云时代带来的资产复杂性和灾备技术多态性，给灾备能力建设、灾备资源高效利用和日常灾备运营提出挑战。

这需要企业的灾备建设更加科学合理、灾备管控更加精准高效、灾备运营更加弹性和数字化。

美创新一代灾备一体化平台（DRCC v3.0），基于云端架构，提供 “1 个灾备管控中心 + 多个灾备能力”，实现灾备状态可感知、灾备能力可订阅、灾备演练可掌控、灾难切换可指挥，充分保证业务连续性和数据完整性。

三重安全BUFF叠满，杜绝“删库跑路”     

无论运维工程师的误操作，还是黑客或内部人员的恶意删除，“删库”事件的发生不是单一的问题或漏洞导致，人作为安全中最不可控以及最为复杂的因素，导致了问题的复杂。例如，“删库”当事人常常会利用多种手段进行删除破坏，先通过SQL语句对数据库数据批量删除后，再通过操作系统层删掉数据库备份文件，造成数据无法及时修复。因此，只有深入理解人的安全以及各种场景，通过全方位的管理、制度、技术保障，才能更游刃有余地应对删库事件。

美创防删库方案以“删库”的路径为着眼点，充分践行以人为中心的安全理念，并结合底线防御的核心思想，采用数据库防水坝、数据库防火墙、诺亚防勒索、灾备一体化平台等产品工具，形成防删库三重保障体系，有效防止数据库被删库或规避删库后所造成的后果和影响，为用户构筑全面的“防御工事”和“应急救援”的韧性能力！