近期,在網絡上火必裁員的文章和言論引發行業熱議,根據火必員工維權群裡流出的截圖顯示,一些在火必任職技術崗位的員工揚言要通過“刪庫”、“植入惡意代碼”等偏激方式來向公司索賠,某些推特大V也順勢引導平台安全風險。在這裡,我們暫不去對火必裁員和員工維權等事件做任何評論,對於用戶來說,最為關心的還是平台安全問題,因為這直接關係到我們的資產安全。
為了探究真相,我們採訪了一位曾在Huobi任職5年以上的技術安全大牛為我們解答疑惑,究竟這番輿論風波是否會影響平台的安全性?
1、工程師是否可以植入惡意代碼到生產系統?
包括火必在內的大型交易平台,其研發流程往往是研髮根據產品需求編寫程序代碼,然後提交給測試人員進行完整的功能性測試。測試驗證通過後,提交到公司的安全審計部門進行代碼審核。審核通過後這次變更才會被發佈到線上。上邊提到的的每個環節都是由系統進行卡控,僅憑單獨個人是無法繞過整個流程體系完成代碼變更上線,更不要說植入惡意代碼。所以即使個別人存在植入惡意代碼到生產系統的想法,除非他能夠說服從研發到測試再到安審等所有流程環節的關鍵節點審核人,才能將惡意代碼植入到上線產品中,就可行性來看難度較大,除非該維權員工在火必身居要職,處在核心高管團隊之中,具有以上所提到的所有部門的調用權限。但在這個關鍵時刻,顯然火必會進一步強化整個流程環節的管控,發現任何異常都會格外警惕,目前難度不亞於破解層層防守的地下金庫中然後悄無聲息取走全部黃金。
2、DBA(數據庫管理員)是否可以刪庫跑路?
數據庫是生產環境鏈路中關鍵的基礎設施之一,數據庫穩定性決定著生產服務是否可持續運行,從我在Huobi的經驗來看,火必針對數據庫可用性、數據安全性與一致性做了很多工作,其數據庫管理主要通過如下幾個角度保證安全性:
l安全與審計層面:
DBA登陸生產環境數據庫服務器,需要先登陸內網VPN(公司外部人員無法通過普通網絡訪問),再通過堡壘機(運維安全審計系統,用來控制哪些人可以登錄哪些資以及錄像記錄登錄資產後做了什麼事情)接入生產環境服務器,所有生產執行的操作可被審計。堡壘機記錄所有生產環境操作記錄的日誌與錄像,DBSOS自助服務平台對生產數據庫DDL(數據定義語言),DML(數據操縱語言)變更操作記錄日誌,可被審計,堡壘機與DBSOS日誌同步到安全團隊進行審計。
因此,任何人對DBA數據庫做變更行為都是一定會被審計和監管覺察到的。
l可用性層面:
MySQL(關係型數據庫管理系統)、Redis(遠程數據服務)、TiDB(分佈式NewSQL 數據庫)部署採用多AZ(Available Zone,是指由騰訊雲對象存儲推出的多AZ 存儲架構)、多副本部署,降低單AZ故障帶來的影響與數據安全問題MySQL作為生產環境主要存儲介質,採用增強半同步保證Master(主redis)與Replica(master實時數據的複制)的數據一致性,MySQL與Redis均保證< 15s完成故障切換。
l數據庫備份與恢復層面:
具有完善的可調度的自動化數據庫備份系統與binlog——記錄所有數據庫表結構變更(例如CREATE、ALTER TABLE…)以及表數據修改(INSERT、UPDATE、DELETE…)的二進制日誌備份系統,所有集群每天一份全備份,備份數據上傳到分佈式存儲,可恢復近15天任意時間點數據。為了保證備份的有效性,建立自動還原檢測系統,每周定期對備份進行還原,生成還原報告,除上述自助恢復檢測外,DBA不定期對數據庫進行故障節點通過備份恢復
l生產環境數據變更層面
所有數據與表結構變更需求通過內部審批體系,SQL(Structured Query Language
,結構化查詢語言)提交到自助平台,經過平台的審核規則檢測,審核通過後由DBA點擊執行。所有通過自助平台進行數據變更操作,默認生成回滾SQL,以便可以最快恢復到執行前狀態。自助平台工單產生的日誌同步到安全組進行審計
過往情況來看,Huobi全年的數據存儲服務SLA (服務等級協議)<= 99.999%,SLA的概念,對互聯網公司來說就是網站服務可用性的一個保證,9越多代表全年服務可用時間越長服務更可靠,停機時間越短,反之亦然,主流互聯網公司表現較好都是99.99%,所以,DBA刪庫跑路造成不可逆的影響和用戶資產丟失的空間和可能性基本上是不存在的。
3、工程師是否可以導致不可恢復的系統宕機?
不會,火必的工程師只有將通過審核的代碼權限發佈到線上的權限,沒有停止和下線的服務的權限。並且針對的所有服務的可用性公司有7X24小時的實時監控及服務質量的巡檢機制,發現有異常服務可以迅速處理。
4,工程師是否可以刪除整個系統代碼?
不會。火必研發使用了業界主流的代碼管理工具(git),有完整的備份在雲端。 git是一個去中心化的代碼版本管理工具,每個負責相應模塊的工程師電腦上都有完整的備份代碼,甚至每一次的代碼變更記錄都會記錄。
最後:
從職業上講,IT技術人員刪庫跑路以及植入惡意代碼的行為嚴重有違職業道德,且投入產出比為基本為零。任何一個員工如果做過類似的事情,將不會有任何雇主敢僱傭有過類似行為的員工。作為一個心智稍微正常、長期靠技術吃飯的IT從業者,沒有必要賭上自己將來的全部職業生涯做出這種損人不利己的行為。
當然了,由於我個人不是法律專家,這裡不談可能會面臨的嚴厲法律制裁。