第62章 權限覆核
「琳姐,IT部的小王來了。」隔壁工位的小張探過頭。
我正盯著屏幕上的供應商資質清單,聞言立刻保存文檔,「好,請他稍坐,我馬上來。」
起身走向會客區,IT部的王工,我們都習慣叫他小王,雖然他也是個老員工了。
此刻他已經抱著筆記本電腦坐在那兒了。面前放著一份名單,是我們技術支援中心所有人的名字。
「孫工,打擾了。」小王把名單往我這邊挪了挪。
「陳主任通知了吧?按季度安全審計要求,咱們得把中心所有人的系統權限再過一遍篩子,特別是那些冗餘的、過期的。」
「通知了,全力配合。」我目光掃過名單,「老規矩?先從我這開始?」
「對,先看骨幹的,再往下捋。」小王熟練地打開他的系統管理界面,輸入一串複雜的指令,調出我的權限列表。
「孫琳,工號A-1037,當前權限組:技術支援中心-高級協調員。系統登錄驗證通過。」
屏幕上跳出一長串權限條目,看得人眼花。
每一項後面跟著詳細的子權限說明,比如「DMS-可上傳、下載、修改(限本人負責文檔)」。
「外協系統-可查詢所有外協單位基礎信息,錄入限已授權項目」等等。
「嗯,這列表跟我實際用的基本對得上。」我指著其中幾項。
「這個『舊版文檔庫只讀權限』,我記得是去年初為了查一份老型號的通用技術規範才臨時申請的。」
「當時那個項目結束就該關了吧?怎麼還在?」
小王湊近看了看:「舊版文檔庫……哦,A區那個老系統,去年底就停用了,數據都遷移到新庫了。」
「這權限確實冗餘,存在潛在風險,我這就標記清除。」他快速在表格上打了個勾,又在系統里操作了幾下。
「好了,這條作廢。還有嗎?」
我繼續往下看:「『臨時供應商資質預審系統』的『高級查詢』權限。」
「這個是配合前年那個緊急引進替代材料的項目申請的,項目結束後陳主任明確說過要收回,我也記得當時提交了撤銷申請單。」
小王點開權限申請記錄:「我查下後台日誌,孫琳,申請日期2015年11月3日,批准人陳國強,批准日期2015年11月4日。」
「狀態……咦?狀態顯示『已批准』,但未關聯撤銷流程記錄。奇怪,撤銷申請單沒走系統流程?」
「不可能,我親手填的單子,交給陳主任簽字後,按流程應該由他秘書掃描上傳到系統,IT那邊才會操作撤銷。」
我語氣肯定,「紙質單子我這兒還有存檔副本。這權限不該留到現在。」
小王變得嚴肅起來,「這就有點問題了。」
「系統里沒記錄撤銷動作。這個『高級查詢』權限,理論上可以繞過部分審核流程,直接看到一些敏感供應商的初步評估信息……」
「雖然信息等級不高,但嚴格來說,非項目期間持有,也是違規,存在信息泄露風險點。」
他飛快地在我的權限列表里定位到這一項,果斷執行了撤銷操作,又在表格上重重打了個叉。
「這個問題得記下來,稍後要向陳主任匯報流程漏洞。幸虧覆核了。」
一個本應被關掉的權限,像個幽靈一樣潛伏在系統里近兩年。
這要是被別有用心的人利用了,哪怕只是無意間操作失誤……
後果不堪設想,這就是陳主任常念叨的「針尖大的窟窿能漏過斗大的風」?
平時沒覺得,真發現了,才感到後怕。
「我這邊沒問題了,辛苦你記錄。」我深吸一口氣,「下一個按名單順序來吧。」
覆核工作枯燥而漫長。小王逐個調出中心同事的權限列表,我則拿著人員崗位職責表和他一起核對。
大部分人都很規範,權限與當前職責匹配,冗餘項很少。
「陳蕾,工號B-2105,行政文員崗。」小王念著名字,調出權限。
「嗯…基礎OA系統、內部通訊錄、會議室預定系統……咦?」
他停在一個條目上,「她怎麼會有『技術文檔歸檔系統(測試環境)』的瀏覽權限?」
「這系統只有項目組測試人員和文檔管理員才能接觸。」
我翻到陳蕾的崗位說明:「她崗位是純行政支持,不涉及任何技術文檔處理。這權限哪來的?」
小王查記錄:「申請日期2016年8月15日,申請理由是『協助項目組臨時歸檔測試報告(非涉密)』,批准人……周海峰?」
「這人是誰?批准日期2016年8月16日。」
周海峰?技術支援中心沒這個人。
「查下這個周海峰的工號或者部門。」我直覺不對。
小王在系統里輸入名字。「周海峰……工號已註銷。」
「記錄顯示是原研發三部的人,2017年3月已離職。」
「一個已離職近半年的研發人員,在一年多前,越權批准了一個行政文員接觸她不該接觸的技術文檔系統?雖然是測試環境?」
這已經不是簡單的冗餘權限了,這是嚴重的審批流程違規和權限管理漏洞。
「這個權限必須立刻清除!這個案例要重點記錄,連同那個批准人信息,一併報陳主任!」
「明白!」小王也意識到問題的嚴重性,立刻操作撤銷權限,同時在問題匯總表上詳細記錄下這個案例。
包括「已離職人員越權審批」、「權限與崗位嚴重不匹配」、「存在接觸非授權技術信息風險」等關鍵點。
覆核工作一直持續到下午,整個技術支援中心二十多號人查完。
主要問題就是我自己那個該關沒關的「高級查詢」權限,以及陳蕾那個由離職人員違規審批的「測試環境瀏覽權」。
另外還有幾個零星的小權限,比如某人調崗後忘了收回的某個舊項目組通訊權限,都被及時清理了。
看著小王整理出來的問題清單,日常操作看似規範,但系統深處,總有些被遺忘的角落藏著隱患。
拿著匯總表,我敲開了陳主任辦公室的門。
「主任,權限覆核初步結果出來了。」我把發現的問題清單放在他桌上。
陳主任看到那兩個標紅的問題時,他本就嚴肅的臉更沉了幾分,尤其是看到「周海峰」的名字。
「這個『高級查詢』權限怎麼回事?我記得你當時申請撤銷了。」他指著第一個問題,看向我,語氣嚴厲。
「紙質撤銷單有存檔,我確認提交了。但IT系統里沒有撤銷流程記錄,導致權限殘留。問題出在流程銜接環節。」
他點點頭,沒再追問細節,目光轉向第二個問題:「周海峰……研發三部那個?」他在回憶著。
「對,IT查的記錄,已離職半年多。他在職時,越權審批了陳蕾一個完全不該有的權限。」
「陳蕾本人完全不知情,也從未使用過。」我補充道。
「研發三部的人,手伸到我們技術支援中心,還批了個技術文檔系統的權限……膽子不小。」
「就算只是測試環境,也是原則性錯誤!這個周海峰,在職時風評就不怎麼樣,仗著有點背景……哼!」
他抬頭看我,眼神里是多年共事的信任:「孫琳,這次覆核做得細,問題抓得好。」
「這兩個漏洞,特別是周海峰這條線,已經不是簡單的權限管理問題了。」
「我會立刻向IT部和安保部正式提交報告,要求徹查當初的審批流程和這個周海峰在職期間的所有操作痕跡。」
「權限管理,就是安全管理的毛細血管,堵不住,遲早出大事!你和小王,這次立了一功!」
「應該的,主任。隱患發現了,心才安。」
「嗯。」陳主任把問題清單仔細收好,「後續處理我來跟進。你們繼續保持警惕,日常操作不能鬆懈,發現任何蛛絲馬跡,第一時間報告!」
「明白。」我轉身準備離開。
「等等。」陳主任叫住我,「孫琳,下班前把這次覆核的簡要總結和後續處理建議發我一份。注意措辭,客觀準確。」
「好的主任,我回去就寫。」
走出主任辦公室,我回到工位,打開文檔準備寫總結。
腦子裡卻不由自主地回放著陳主任剛才的話:「……特別是周海峰這條線……要徹查他所有操作痕跡……」
一個離職半年多的普通研發人員,為什麼要費心思給一個八竿子打不著的行政文員批一個看似無害、實則違規的權限?
是無意的失誤,還是……某種更隱蔽的「鋪路」?
我正盯著屏幕上的供應商資質清單,聞言立刻保存文檔,「好,請他稍坐,我馬上來。」
起身走向會客區,IT部的王工,我們都習慣叫他小王,雖然他也是個老員工了。
此刻他已經抱著筆記本電腦坐在那兒了。面前放著一份名單,是我們技術支援中心所有人的名字。
「孫工,打擾了。」小王把名單往我這邊挪了挪。
「陳主任通知了吧?按季度安全審計要求,咱們得把中心所有人的系統權限再過一遍篩子,特別是那些冗餘的、過期的。」
「通知了,全力配合。」我目光掃過名單,「老規矩?先從我這開始?」
「對,先看骨幹的,再往下捋。」小王熟練地打開他的系統管理界面,輸入一串複雜的指令,調出我的權限列表。
「孫琳,工號A-1037,當前權限組:技術支援中心-高級協調員。系統登錄驗證通過。」
屏幕上跳出一長串權限條目,看得人眼花。
每一項後面跟著詳細的子權限說明,比如「DMS-可上傳、下載、修改(限本人負責文檔)」。
「外協系統-可查詢所有外協單位基礎信息,錄入限已授權項目」等等。
「嗯,這列表跟我實際用的基本對得上。」我指著其中幾項。
「這個『舊版文檔庫只讀權限』,我記得是去年初為了查一份老型號的通用技術規範才臨時申請的。」
「當時那個項目結束就該關了吧?怎麼還在?」
小王湊近看了看:「舊版文檔庫……哦,A區那個老系統,去年底就停用了,數據都遷移到新庫了。」
「這權限確實冗餘,存在潛在風險,我這就標記清除。」他快速在表格上打了個勾,又在系統里操作了幾下。
「好了,這條作廢。還有嗎?」
我繼續往下看:「『臨時供應商資質預審系統』的『高級查詢』權限。」
「這個是配合前年那個緊急引進替代材料的項目申請的,項目結束後陳主任明確說過要收回,我也記得當時提交了撤銷申請單。」
小王點開權限申請記錄:「我查下後台日誌,孫琳,申請日期2015年11月3日,批准人陳國強,批准日期2015年11月4日。」
「狀態……咦?狀態顯示『已批准』,但未關聯撤銷流程記錄。奇怪,撤銷申請單沒走系統流程?」
「不可能,我親手填的單子,交給陳主任簽字後,按流程應該由他秘書掃描上傳到系統,IT那邊才會操作撤銷。」
我語氣肯定,「紙質單子我這兒還有存檔副本。這權限不該留到現在。」
小王變得嚴肅起來,「這就有點問題了。」
「系統里沒記錄撤銷動作。這個『高級查詢』權限,理論上可以繞過部分審核流程,直接看到一些敏感供應商的初步評估信息……」
「雖然信息等級不高,但嚴格來說,非項目期間持有,也是違規,存在信息泄露風險點。」
他飛快地在我的權限列表里定位到這一項,果斷執行了撤銷操作,又在表格上重重打了個叉。
「這個問題得記下來,稍後要向陳主任匯報流程漏洞。幸虧覆核了。」
一個本應被關掉的權限,像個幽靈一樣潛伏在系統里近兩年。
這要是被別有用心的人利用了,哪怕只是無意間操作失誤……
後果不堪設想,這就是陳主任常念叨的「針尖大的窟窿能漏過斗大的風」?
平時沒覺得,真發現了,才感到後怕。
「我這邊沒問題了,辛苦你記錄。」我深吸一口氣,「下一個按名單順序來吧。」
覆核工作枯燥而漫長。小王逐個調出中心同事的權限列表,我則拿著人員崗位職責表和他一起核對。
大部分人都很規範,權限與當前職責匹配,冗餘項很少。
「陳蕾,工號B-2105,行政文員崗。」小王念著名字,調出權限。
「嗯…基礎OA系統、內部通訊錄、會議室預定系統……咦?」
他停在一個條目上,「她怎麼會有『技術文檔歸檔系統(測試環境)』的瀏覽權限?」
「這系統只有項目組測試人員和文檔管理員才能接觸。」
我翻到陳蕾的崗位說明:「她崗位是純行政支持,不涉及任何技術文檔處理。這權限哪來的?」
小王查記錄:「申請日期2016年8月15日,申請理由是『協助項目組臨時歸檔測試報告(非涉密)』,批准人……周海峰?」
「這人是誰?批准日期2016年8月16日。」
周海峰?技術支援中心沒這個人。
「查下這個周海峰的工號或者部門。」我直覺不對。
小王在系統里輸入名字。「周海峰……工號已註銷。」
「記錄顯示是原研發三部的人,2017年3月已離職。」
「一個已離職近半年的研發人員,在一年多前,越權批准了一個行政文員接觸她不該接觸的技術文檔系統?雖然是測試環境?」
這已經不是簡單的冗餘權限了,這是嚴重的審批流程違規和權限管理漏洞。
「這個權限必須立刻清除!這個案例要重點記錄,連同那個批准人信息,一併報陳主任!」
「明白!」小王也意識到問題的嚴重性,立刻操作撤銷權限,同時在問題匯總表上詳細記錄下這個案例。
包括「已離職人員越權審批」、「權限與崗位嚴重不匹配」、「存在接觸非授權技術信息風險」等關鍵點。
覆核工作一直持續到下午,整個技術支援中心二十多號人查完。
主要問題就是我自己那個該關沒關的「高級查詢」權限,以及陳蕾那個由離職人員違規審批的「測試環境瀏覽權」。
另外還有幾個零星的小權限,比如某人調崗後忘了收回的某個舊項目組通訊權限,都被及時清理了。
看著小王整理出來的問題清單,日常操作看似規範,但系統深處,總有些被遺忘的角落藏著隱患。
拿著匯總表,我敲開了陳主任辦公室的門。
「主任,權限覆核初步結果出來了。」我把發現的問題清單放在他桌上。
陳主任看到那兩個標紅的問題時,他本就嚴肅的臉更沉了幾分,尤其是看到「周海峰」的名字。
「這個『高級查詢』權限怎麼回事?我記得你當時申請撤銷了。」他指著第一個問題,看向我,語氣嚴厲。
「紙質撤銷單有存檔,我確認提交了。但IT系統里沒有撤銷流程記錄,導致權限殘留。問題出在流程銜接環節。」
他點點頭,沒再追問細節,目光轉向第二個問題:「周海峰……研發三部那個?」他在回憶著。
「對,IT查的記錄,已離職半年多。他在職時,越權審批了陳蕾一個完全不該有的權限。」
「陳蕾本人完全不知情,也從未使用過。」我補充道。
「研發三部的人,手伸到我們技術支援中心,還批了個技術文檔系統的權限……膽子不小。」
「就算只是測試環境,也是原則性錯誤!這個周海峰,在職時風評就不怎麼樣,仗著有點背景……哼!」
他抬頭看我,眼神里是多年共事的信任:「孫琳,這次覆核做得細,問題抓得好。」
「這兩個漏洞,特別是周海峰這條線,已經不是簡單的權限管理問題了。」
「我會立刻向IT部和安保部正式提交報告,要求徹查當初的審批流程和這個周海峰在職期間的所有操作痕跡。」
「權限管理,就是安全管理的毛細血管,堵不住,遲早出大事!你和小王,這次立了一功!」
「應該的,主任。隱患發現了,心才安。」
「嗯。」陳主任把問題清單仔細收好,「後續處理我來跟進。你們繼續保持警惕,日常操作不能鬆懈,發現任何蛛絲馬跡,第一時間報告!」
「明白。」我轉身準備離開。
「等等。」陳主任叫住我,「孫琳,下班前把這次覆核的簡要總結和後續處理建議發我一份。注意措辭,客觀準確。」
「好的主任,我回去就寫。」
走出主任辦公室,我回到工位,打開文檔準備寫總結。
腦子裡卻不由自主地回放著陳主任剛才的話:「……特別是周海峰這條線……要徹查他所有操作痕跡……」
一個離職半年多的普通研發人員,為什麼要費心思給一個八竿子打不著的行政文員批一個看似無害、實則違規的權限?
是無意的失誤,還是……某種更隱蔽的「鋪路」?