『如果章节错误,点此举报』第(2/3)页
Break-glass”,他知道组织接受需要梯度。他只补了一句关键限定:“请确保导出的日志包含操作者IP与设备标识字段。没有设备标识,链条会断。”
许工沉默两秒:“可以。”
11:02,高岚把封存编号写在白板上:“SP-AUD-202X-003(共享盘审计日志导出)。”随后又写了一行:“SP-PERM-202X-004(权限变更记录导出)。”
周砚看着编号,心里很清楚——从这一刻起,“谁能改版本”不再是猜测,而是可查证的事实问题。
11:35,审计日志第一批导出完成。
许工没有把原始文件发给周砚,只发给高岚,并抄送梁总。周砚拿到的是一份摘要表(经内控脱敏处理),但字段足够。
摘要表里,最扎眼的是一条记录:
“D-2 07:36:目录‘运营/证据包’文件‘竞品对比表_v1.1.pdf’发生‘Replace’操作(覆盖替换),操作者:it-admin02,来源IP:10.18.x.x,设备标识:WIN-OPS-07。”
周砚的眼神微微一沉。
覆盖替换,意味着不是普通上传新版本,而是用同名文件直接把内容换掉。企业盘的“Replace”操作通常只有在特定客户端或管理员工具下才会出现。普通员工的网页上传一般是“Upload/Version add”,不会是“Replace”。
更关键的是:操作者不是阿远,不是王XX,而是“it-admin02”——信息化管理员。
周砚没有立刻下结论,他继续往下扫,第二条记录紧跟其后:
“D-2 07:38:同目录权限变更(Permission change),操作者:it-admin02,变更内容:将‘运营组-只读’调整为‘运营组-编辑’,有效期:2小时。”
两小时编辑权限。
这像一把临时放开的闸门:给某个群体一个短暂窗口,窗口内谁都可以动文件;窗口结束后权限收回,链条又变得模糊——你很难说清是谁在窗口里做了什么,因为权限的“打开”本身就能成为“集体责任”的盾牌。
周砚的指尖停在那行“有效期:2小时”上,脑子里立刻浮现一句话:真正的开关不是“谁改了文件”,而是“谁打开了改文件的条件”。
高岚的消息随即弹出:“你看到了?”
周砚回:“看到了。建议立刻调取这两小时内同目录所有操作记录(精确到秒),并关联‘共享链接创建/修改’记录。另:查it-admin02当日工位/设备使用情况与登录认证方式(是否本人/是否被委派/是否脚本)。我需要一条确认:这两小时权限调整有没有审批单。”
高岚回:“我去要审批单。你先别动,继续交付。”
周砚明白,这是组织的保护策略——不要让他直接去碰管理员,不要让“项目执行人”变成“调查推进人”。他只需要把“疑点”写成“动作项”,交给内控。
12:10,他回到工位,继续推进D7日报与开放日准备。
他把“现场留痕方案V1.0”升级为“V1.1”,新增一项“资料展示口径”:
- 资料展示必须通过公司设备打开官方域名短链;
- 展示前先口头提示用户不在未知页面输入个人信息;
- 用户若提出“我在外面看到某个链接”,要求其截图,现场不点击,交由内控/安全部核验;
- 所有疑似钓鱼链接截图统一归档到“合规记录/外部链接核验”。
他把V1.1导出、生成哈希、归档、同步王珊。王珊回:“OK,我让接待人员按这个执行。”
12:58,梁总发来一条短消息:“下午15:00来我办公室。带着你那份‘版本链风险点与封堵动作’。”
周砚回:“收到。”
13:20,他提前把那份文档打印出来,并在最后加上两条“组织层封堵建议”:
- 建议1:对外同步版本必须同时写入“不可变证据库”,由内控维护,避免管理员层覆盖导致证据链污染;
- 建议2:共享盘关键目录启用保留策略(至少30天),禁止永久删除,任何删除需审批单号与自动告警。
这两条不是技术炫耀,是组织治理的底线。只要梁总认可并落纸,对方再想用“版本开关”做手脚,成本会指数级上升。
15:00,梁总办公室。
梁总没有寒暄,开门见山:“高岚说,你们拉到共享盘日志了,看到管理员覆盖替换。你怎么看?”
周砚把材料放在桌上,语气平静:“我不做动机判断,只做风险判断。管理员账号出现‘Replace’与短时权限放开,本身就是组织级风险点。它意味着:任何人只要获得短时编辑权,就可以改版本;改完再收回权限,链条就变成‘集体窗口’。这会让项目交付证据变得脆弱——外部一旦质疑,我们内部都无法给出唯一答案。”
梁总靠在椅背上,盯着他:“你要什么?”
“两个动作。”周砚把“封堵动作”那页翻到梁总面前,“一,关键目录启用保留策略与审计告警,禁止删除与覆盖替换;二,建立不可变证据库,对外同步版本必须双写。这样即便共享盘被动过,证据库里的版本链仍然完整。”
梁总沉默几秒,像是在权衡组织成本:“信息化会说麻烦。”
周砚没有反驳“麻烦”,只给出成本对比:“麻烦是内部成本;证据链断裂是项目事故成本。现在我们已经遇到现场攻击、监控断电、二维码覆盖贴,如果再出现版本链污染,甲方会认为我们在造假。那不是麻烦,是合作终止风险。”
梁总点了点桌面:“好。你这两条我同意。由高岚牵头,信息化执行。你继续管交付。”
周砚没有说“谢谢”,只说:“我会按日报节奏推进到访转化。”
梁总看了他一眼,语气放低了一点:“还有一件事。你别自己去碰管理员账号。你能把风险写清楚就够了。”
“明白。”周砚答得很干脆,“调查走内控。”
16:10,工位上消息开始密集。
高岚发来一个文件截图:权限放开的审批单——没有。
截图上只有一句话:“临时权限调整为排查问题需要,未走流程,后补。”
周砚盯着“后补”两个字,心里没有怒意,只有更明确的判断:这就是“开关”的形态。没有审批,就意味着可随意打开;可随意打开,就意味着可被滥用;可被滥用,就意味着任何“查不清”都能被制造出来。
高岚又补了一条:“it-admin02解释:早上有人报共享盘同步异常,他临时放开权限让运营自查,随后收回。‘Replace’操作他说是系统自动修复。内控不采纳,已要求提供操作录屏与客户端日志。”
周砚回:“关键点不在解释,在证据:客户端日志、操作录屏、任务单、工单编号。若没有,按流程处理。另建议:查WIN-OPS-07设备当日使用人(运维工位共享?)。”
17:05,许工主动找到了周砚工位旁,压低声音:“周砚,内控那边要我们提供WIN-OPS-07的使用记录。我先跟你说一句,你别把我夹中间。我们运维工位很多是共用的,谁坐下都能用,尤其早班。”
周砚抬眼看他,语气不带任何情绪:“我不问你是谁坐下。我只要一个事实:那台设备有没有个人账号绑定?有没有登录指纹?有没有摄像头门禁记录?”
许工一愣:“你这问得……很内控。”
“因为这是安全事件。”周砚把话说得很平,“共用工位本身就是风险点。你们现在要解释‘Replace是系统自动’,就必须给出系统自动的证据。否则只能按人工操作处理。”
许工沉默几秒,点头:“我把能给的都
(本章未完,请翻页)
第55章 权限开关 我把废案写成爆款
