6月9日，北京海淀区法院审理了一起侵犯公民个人信息案，检方认为被告盗取超过5万条公民个人信息，属于情节特别严重，因之前达成的认罪认罚协议，建议判处被告有期徒刑3至6年，并处罚金。

有意思的是，被告并没有通过盗取的28万条个人信息销售获利，而是将公司数据库存在漏洞的情况告诉客户后自行删除了数据。被告供述表示，自己是因为与前公司产生矛盾离职，认为受到不公平待遇而心生怨气。而他在前公司的岗位为运维总监。

运维的复仇：删库、偷数据

2020年2月23日18时，微盟员工通过个人VPN登入公司内网跳板机，对微盟线上生产环境进行恶意破坏；2月25日早间，时隔36小时，微盟集团正式发布公告，对这次事件作出解释，期间微盟平台上所有商家生意停摆；3月1日晚8点，微盟全面找回数据；3月2日凌晨2点，微盟进行系统上线演练；3月3日上午9点，数据恢复正式上线。

事后微盟准备了1.5亿元人民币赔付拨备金，而微盟2019年SaaS业务毛利润总共才1.77亿。另外，事故期间微盟累计市值蒸发超30亿港元，影响商户300万家，损失的商誉无法计算。

换句话说，短短9天，微盟2020年SaaS业务的利润基本上都打了水漂。依靠微盟的中小商家更是损失惨重，据媒体采访，由于微盟数据库被删库，不少中小商家都遇到了业务难以展开、库存积压、资金流转困难等问题，时值疫情期间，对于中小商家来说更是损失惨重。

关于员工删库的原因坊间传闻不断，微盟表示是因为“该员工一直深陷网络贷，还曾有过轻生。”，而有网友指出，将微盟的数据盗出去卖掉对于99%深陷网贷的人来说足够脱离困境，更有网友直言不讳“谣言反而真实，不是杀父之仇就是夺妻之恨。”

值得注意的是，进行删库操作的微盟员工为微盟研发中心运维部核心运维人员。回顾微盟删库和北京盗取数据两起案件，其中存在惊人的巧合性：犯罪人员都为运维人员，都是对公司存在不满，同样选择了对数据库下手，但是又都没有选择倒卖数据。

两人在事件中身份的相似性、行动的趋近性、背后逻辑的一致性，以及人物命运的巧合让人不由得感叹：真的是数字时代才有可能出现的复仇。

巧合背后的必然：3000余起数据库安全事件

所谓无巧不成书，无缘不相逢，人事之间总是充满了巧合。巧合之事乍看上去毫无关联，但巧合的背后一定存在必然。两起案件背后的必然非常明显，首先是劳资矛盾，这是社会学要研究的，其次是发生案件的两所企业自身的问题：数据库存在漏洞，这是我们关注的。

数据库对于现代企业的重要性不言而喻，对于特定行业来说，数据库安全直接关系着企业生命，一旦数据库出现灾难性事件，基本上会直接结束一个企业的生命，比如互联网企业、金融机构等等。

对于金融机构来说，数据库安全更是重中之重，一旦出事不仅仅意味着严重的经济损失和自身商誉损失，更是会对无数用户带来难以承受的影响，甚至会影响国家安全。但遗憾的是，目前我国数据库安全并不是万无一失。

2021年5月，国家互联网应急中心（CNCERT）发布《2020年我国互联网网络安全态势综述》报告，报告指出2020年全年累计监测并通报联网信息系统数据库存在安全漏洞、遭受入侵控制，以及个人信息遭盗取和非法售卖等重要数据安全事件3000余起，涉及电子商务、互联网企业、医疗卫生、校外培训等众多行业机构。

分析发现，使用MySQL、SQLServer、Redis、PostgreSQL等主流数据库的信息系统遭攻击较为频繁。其中，数据库密码爆破攻击事件最为普遍，占比高达48%，数据库遭删库、拖库、植入恶意代码、植入后门等事件时有发生，数据库存在漏洞等风险情况较为突出。

数据库安全：人是关键因素

在金融数据安全中，数据库处于最核心的位置，其风险来源往往是复杂的。

首先，随着互联网技术的快速发展，金融机构的业务不断发展和创新，业务系统产生的数据不断增长。但是由于各业务系统中数据治理和保护的级别不同，所用于存储数据的介质和方式也不尽相同，造成数据泄露、数据删除及其数据损坏的风险也在不断增加。

其次，数据库安全建设中“人”是最关键的因素，但也是最薄弱的环节和漏洞。Verizon《2021年数据泄露调查报告》统计，当前，85%的数据泄露事件都与人为因素有关，甚至有可能带来直接经济损失。

2020年3月，某省农村信用社联合社一位90后技术人员利用其负责省联社核心系统贷款模块技术研发、运行维护、数据修正、漏洞修复等工作的职务便利，采取修改省联社核心系统贷款模块数据并删除记录的方式，将单位资金转入其指定的个人银行卡，非法窃取单位资金共计596万元。

理论上，银行应依据“业务必需、最小权限、职责分离”的原则，设计数据库系统与文件系统的用户鉴别和访问控制策略，并对各类系统用户设计其工作必需的最小访问权限。

也就是确保主体仅被授予执行任务和完成工作所必需的权限；重要业务不要安排一个人单独管理，实行两人或多人相互制约的机制；要求不相容的权限要形成相互制约的关系。

修改核心业务数据库这样的权限根本不应该被随意的授予，哪怕要进行操作也应该进行双人操作，并执行系统权限控制和事后审计。

很明显，该农村信用社联合社在数据库建设过程中存在漏洞。按照新发布的《金融数据安全数据生命周期安全规范》要求，金融业机构应综合考虑主体角色、信用等级、业务需要、时效性等因素，按最小化原则确定2级及以上数据的访问权限规则，并提出了数项制度建设要求：

数据库在技术上寻求安全固然非常重要，但人的因素与制度的建设在未来数据库安全建设中也不可忽略。