第35章 访问日志
诗和远方提示您:看后求收藏(
http://m.biqugess.com)
『如果章节错误,点此举报』第(1/3)页
07:34,天色比昨夜更冷,像有人把一盆未融的冰水泼在城市上空。周砚走进写字楼时,门禁“滴”的一声在空旷大厅里回响,他下意识扫了一眼摄像头的位置——不是警惕“被拍”,而是确认“有证据”。
他昨天把“别匹配”的短信归档时,就已经预判到今天的关键不在资产匹配本身,而在“谁知道他要匹配”。一条短信能卡得如此精准,说明追溯材料的访问路径已经泄露;而泄露不是偶然,是权限的漏洞。
08:02,周砚在工位坐下,先做了两件与项目无关、却与生死有关的动作:打开共享盘“302追溯”目录,把昨晚新增材料的访问权限调整为“最小化读取”——不是他有权随便改,而是梁总前晚在短会明确授权“追溯材料最小化共享”,他只是把授权落地;第二,他把访问权限调整的时间戳截屏归档,备注写得清清楚楚:“权限调整依据:梁总指令;调整原因:疑似内部信息外泄;调整范围:仅涉事材料目录。”
他不允许对方在之后反咬一句“周砚擅自改权限,影响团队协作”,所以每一步都要有上级授权与动机说明。
08:21,梁总的消息来了:“九点半安全部拉访问日志,你来。”
周砚回:“收到。我准备了‘访问对象清单’与‘时间窗’建议,尽量一次定位。”
09:18,小会议间的玻璃门推开,安全部负责人带着一台笔记本进来,法务专员也在,财务BP坐在梁总旁边,手里依旧那本笔记本。阿远没有出现——这很反常。梁总没有点名问他,像是在等一个更合适的时间戳。
安全部负责人把电脑屏幕转过来,语气仍旧官腔:“按梁总要求,我们导出了涉事追溯材料在共享盘上的访问日志。时间窗按周砚提出的:从昨天17:00到今天08:30,覆盖AP列表获取、封存摘要归档、短信出现的关键节点。”
屏幕上是一张表,列名不多:访问时间、访问账号、访问IP、操作类型(查看/下载/复制)、文件路径。
周砚的目光像探照灯一样扫过“访问时间”列,他不是看谁“访问过”,而是看谁“在关键时间访问”。因为正常的工作访问是分散的、不连贯的;而“泄密前置访问”往往集中在某个短时间窗内,像为某个动作预热。
他很快锁定了一个时间点:昨晚20:46—20:52,连续六次“下载”操作,路径覆盖“封存摘要扫描件”“AP接入哈希列表”“门禁刷卡明细”“时间链摘要”。
下载账号:行政部共享账号“ADM-OPS”。
周砚的指尖停住,抬眼看向安全部负责人:“ADM-OPS是哪个部门账号?是否有多人共用?是否绑定固定设备?”
安全部负责人答:“行政运营共享账号,多人可能使用。登录设备通常是行政工位的那台公用电脑。”
“共用账号。”财务BP轻轻说了一句,笔尖在纸上划了一道线。共用账号是管理漏洞的代名词,它一出现,责任就有了“可推诿空间”,也是对方最爱躲的壳。
梁总没有立刻发火,只问安全部负责人:“共用账号为什么有下载权限?这些材料是追溯涉事材料,按最小化原则不应开放。”
安全部负责人干咳:“按原权限模板,行政协助归档,所以默认有读取权限。我们没想到会发生……”
梁总打断:“别用‘没想到’。把权限模板改掉,今天完成。现在先回答:ADM-OPS昨晚是谁在用?能不能查到设备ID?”
安全部负责人点开另一张日志:“可以查到设备ID与MAC地址,设备ID是行政区那台公用电脑,MAC也一致。”
周砚没有满足于“行政区公用电脑”这种模糊结论,他继续追:“该电脑昨天20:46—20:52期间,门禁记录显示行政区有哪些人还在?是否有加班卡?是否有访客刷卡?”
安全部负责人愣了一下,显然没准备门禁数据和访问日志联动。周砚没等他“回去查”,直接把自己准备好的“时间窗联动请求”推到桌面:“我昨晚把门禁时间窗做了对齐:20:30—21:10,覆盖访问日志的下载窗口。请行政与安全部同步拉门禁记录并做交叉核验。只要能回答‘那十分钟谁在行政区’,范围就会很小。”
法务专员皱眉:“周砚,你这是扩大调查,涉及员工隐私。”
周砚看向他,语气平稳却不让步:“隐私可以脱敏,但调查必须完成。现在的核心不是‘查谁’,是‘证明访问权限的滥用导致外泄风险’。如果我们不查,外泄风险永远可以推给‘无法锁定’;如果我们查到访问链路,就能把问题定性为‘权限管理漏洞’,而不是‘执行人账号管理不当’。这是公司风险控制,不是个人猎巫。”
财务BP补了一句:“从成本角度,外泄比隐私核验更贵。我们可以用脱敏方案控制范围。”
梁总敲了敲桌面,定调:“按脱敏方案查。行政区门禁刷卡记录拉出来,卡号对应人名只在我、法务、安全部负责人范围内可见,周砚只看脱敏编号与时间对齐,不看人名。这样够不够合规?”
法务专员被逼到规则里,只能点头:“可以。”
梁总转向安全部负责人:“两小时内给我联动结果。”
会议结束前,周砚又补了一句:“还要查一个点:昨晚20:46—20:52下载后,有没有外发行为?例如邮件附件外发、网盘上传、IM文件转发。至少先查ADM-OPS账号是否在这之后访问过外联通道。”
安全部负责人想推:“这个涉及更多系统……”
梁总一句话压下去:“查。先查最小范围:邮件与网盘。今天把结果给我。”
走出会议间,周砚没有任何“胜利感”。他知道,访问日志只是第一层,真正的危险在第二层:对方既然敢用共享账号下载追溯材料,就敢把外发路径设计得更干净——比如用手机拍照、用私有热点、用线下传递。可即便如此,访问日志仍然能把“谁有机会知道关键动作”这一层钉死。对方最怕的不是“被抓现行”,而是“被锁定在合理怀疑区间”。
10:12,周砚回工位,继续推进项目节奏。王珊昨晚说的“核验入口常态化”意味着接下来开放日要从一次性活动变成持续运营,这对外部来说是信任加固,对内部来说是权力再分配——谁掌控核验入口,谁就掌控“可信”的话语权。对方不会放弃。
他把SOP拆成两份:一份是“对外可见版本”,语言更友好;一份是“内部执行版本”,写满控制点:隐私告知落地动作、证据包更新频率、口径变更审批流程、数据留痕规范。内部执行版本他发给运营、设计、媒介三组,抄送梁总与项目群归档邮箱,标题极简:《核验入口常态化SOP(执行版)-控制点与
(本章未完,请翻页)
第35章 访问日志
『加入书签,方便阅读』
第35章 访问日志 我把废案写成爆款
