3月1日����,微盟方面表示��,截止到3月1日晚8點��,數據已經全面找回�,并將于3月3日上午9點數據恢復正式上線�����。
同時���,微盟擬定了現金賠付計劃和流量賠付計劃供商家選擇���。微盟表示�����,準備了1.5億元人民幣賠付撥備金�����,其中公司承擔1億元����,管理層承擔5000萬元�。
事故經過
2月23日�����,因員工惡意破壞公司線上生產環境及數據��,導致微盟系統服務不可用�����。目前�,該犯罪嫌疑人已被上海市公安局寶山分局刑事拘留����。
2月25日��,微盟緊急恢復了核心業務的線上生產環境����,新用戶使用不受影響��,并提供老用戶臨時過渡方案�,確保商家在數據暫時沒有恢復的情況下可以正常經營���。
2月28日�����,微盟恢復所有業務的線上生產環境�,并且開放了老用戶登錄��,以及恢復了微站產品的所有數據���。
事故結果
截止到3月1日晚8點����,在騰訊云團隊的協助下����,經過7*24小時的努力��,微盟已經全面找回數據���。由于此次數據量規模非常大����,為了保證數據一致性和線上體驗���,微盟將于3月2日凌晨2點至8點�����,進行數據恢復上線演練���,在此期間我們的系統將會停止服務��,演練完成后系統數據回滾到3月2日的數據�。
微盟將于3月2晚上10點至3月3日上午9點����,正式進行數據恢復上線�����,我們將恢復2月23日之前的數據�,同時將2月23日與3月2日的數據進行合并���,屆時我們所有的數據恢復完成���。
事故責任
微盟對外表示�����,此次事故雖由“人禍”引起��,但公司管理層有著不可推卸的責任�����。
首先公司董事會主席兼首席執行官孫濤勇沒有對數據安全引起高度重視�����,沒有對數據安全保障方案進行深入的評估和審查�����,沒有聘請外部專家顧問團隊對數據安全進行評估和測試��,沒有把數據安全管理納入到日常管理范圍��。
其次公司執行董事兼首席技術官黃駿偉����,作為公司技術負責人����,沒有對數據安全引起足夠重視����,沒有嚴格按照公司的內控管理制度����,對運維人員的權限進行分級和分區管理���,對于數據安全技術體系的建設和引入��,缺乏全局和前瞻性設計�,對于安全監控體系沒有執行到位���。
公司執行董事兼智慧商業事業群總裁方桐舒�����,作為SaaS業務負責人��,沒有對數據安全引起高度重視���,沒有嚴格執行公司內控管理制度并推動研發側加強數據安全管理��。
賠付計劃
此次事故給商家經營造成了嚴重的影響���,微盟管理層對此深感自責和愧疚��。事故發生后���,管理層在緊抓數據恢復的同時����,也在同步研究商家賠付方案����。
微盟稱針對賠付計劃準備了1.5億元人民幣賠付撥備金���,其中公司承擔1億元�,管理層承擔5000萬元��。其中公司董事會主席兼首席執行官孫濤勇承擔3500萬元�,公司執行董事兼首席技術官黃駿偉承擔500萬元���,公司執行董事兼智慧商業事業群總裁方桐舒承擔500萬元��,公司執行董事兼智慧營銷事業群總裁游鳳椿承擔500萬元�����。
其次整個賠付方案中�����,我們既要考慮商家因系統不可用而造成的利潤損失���,同時也要考慮系統不可用而帶來的流量損失�����,因此我們的賠付計劃做了兩個不同的方案供商家任選其一����。
01現金賠付計劃
微盟會針對因系統不可用期間商家邊際貢獻利潤額進行賠付�����,具體公式計算如下:
邊際貢獻利潤額=日均收入×行業平均邊際貢獻利潤率×系統故障時間
(其中日均收入等于該商家在2020年2月17日晚7點至2020年2月23日晚7點在微盟系統中產生的實際成交額除稅后的平均值���;邊際貢獻利潤率是指在收入(不含稅)基礎上扣除商品成本����、倉儲及物流費及推廣費�����、銷售傭金等與商品服務銷售及交付過程直接相關的費用之后的邊際貢獻利潤占收入的比例���;行業邊際貢獻利潤率最終參考值將以研究機構公開報告為準�;系統故障時間自2月23日晚7點至3月3日上午9點)
02流量賠付計劃
微盟會針對因系統不可用期間的商家給予騰訊廣告50000曝光次數進行流量補償��,并且提供賬戶運營服務�,同時再延長SaaS服務有效期兩個月���。
(其中騰訊廣告包括微信朋友圈廣告�����、微信公眾號廣告��、小程序廣告等���;曝光次數是指該廣告被用戶看到的次數���;運營服務包含廣告的創意策劃����、素材制作���、投放執行�、數據分析�、賬戶優化�、數據報表等運營服務)
最后我們所有的賠付將通過線上賠付系統完成�����,公司將在接下來一個月左右開發完成線上賠付系統��,屆時商家可通過登錄微盟商戶后臺�,點擊申請賠付即可完成�。
數據安全保障計劃
此次事故暴露出微盟在數據安全方面出現了管理漏洞�。事故發生后���,微盟內部在系統自查的同時邀請外部數據安全專家一起來評估數據安全保障方案�,現公布措施如下:
措施一:數據安全管理機制全面加固與整改���,加強運維平臺治理
1����、完善數據安全管理制度(涵蓋權限����、監控�����、審計方面)���,嚴格執行授權審批制度�;
2�����、使用騰訊云CAM權限系統進行云資源管理���,嚴格執行分級授權和最小集權限制度�����,對高危險動作執行二次授權制度���;
3���、建立科學�����、高效�、安全的網絡策略����,對開發環境�����、測試環境和生產環境進行嚴格隔離����;使用騰訊云堡壘機替換自建堡壘機�����,進行細粒度權限分級和授權管理��,同時嚴格審計堡壘機操作日志���,發送安全審計報表�����;
4����、加強運維安全流程學習�,職業道德學習��,法律學習等���。
措施二:加強災備體系的建設�,做到多云異地冷備
1���、建立多云災備體系���,在北京����、上海���、南京等地區建立全備份的冷備系統架構��;
2����、借助騰訊云的IAAS的底層服務能力��,建立高可用的同城雙活架構��;
3����、云上所有的云主機�,啟用每天的快照策略���,保證全量和增量備份�����;
4�����、所有非結構化數據�����,使用騰訊COS對象存儲系統進行歸檔保存����,啟用COS的多異地復制功能����,數據存放多地���,并且COS 冷存儲�,確保數據只增不減�;
5�����、建立月�、季度級別的定期演練機制和制度 ����。
措施三:基礎設施全力上云1����、借助騰訊云數據庫MySQL的數據高可用和安全體系��,逐步放棄自建數據庫服務 ����,遷移到騰訊云數據庫(CDB)�,快速具備數據庫跨可用區和異地災備的能力����;2�����、黑石1.0物理機全面升級黑石2.0�,全面使用云主機����。
數據中心
華為公有云
區塊鏈
智慧醫療
華為云