君源小说网

繁体版 简体版
君源小说网 > 负债清算我用系统追回全城 > 第四十八章:权柄清单

第四十八章:权柄清单

凌晨两点十七,接收医院行政楼的空调发出低沉的嗡鸣。

林昼坐在法务室的桌角,面前摊着两份清单:一份是监管下发的《取证审计进场前资料清单》,另一份是第三方平台刚刚补交的“历史事件原始审计摘要”――routehealthguardian曾在三个月前成功执行过geofenceoff,发生在节点大面积延迟劣化期间。

两份清单叠在一起,像把问题从“某个夜晚”推到“某种机制”。

remindinghim他们一直在谈禁变窗口、冻结开关、告知闭环、补录轨迹,可所有制度的根都扎在一个东西上:**权柄**。权柄是谁给的、给了什么、给了多久、谁能用、用过几次、用来做什么。只要权柄存在,就一定会被用;只要被用,就一定会留下痕迹;只要痕迹被固定,就会逼出责任链。

而现在,“脚本曾成功关围栏”这条事实,把责任链从“运维经理审批”拉到了“超级权限架构”。运维经理审批至少还在纸面上,超级权限架构往往躲在系统深处,以“效率”“可靠性”“应急”为名存在,甚至被当成默认。

默认存在的东西最危险,因为它不需要批准就能发生。

林昼看着那行“geofenceoffsuccess”,突然觉得自己不是在追一个事件,而是在追一份“权柄清单”――谁有钥匙,钥匙能开哪些门。

这份清单,必须被写出来。

---

早上六点半,父亲又咳了两声,精神却不错。他看林昼进门,第一句话仍旧是:“你脸色不好。”

林昼把早餐放下:“今天有审计进场准备。”

父亲问:“审计是查他们吗?”

林昼点头:“查他们的权限、脚本、日志。”

父亲沉默了一下,低声说:“查到最后,会不会查到你?”

林昼愣住。他没想过父亲会问得这么直接。

父亲的担心并非多余。审计一旦进场,所有人的动作都会被照出来。包括林昼自己――他和法务的沟通、证据的传递、时间点的对齐、对证人的建议,都可能被对方拿来做“动机攻击”:你是家属,你有情绪,你在推动监管,你在影响医院决策。

林昼看着父亲,语气稳:“他们可以查我说了什么,但我说的都是事实和流程。我没改任何系统,我没碰任何数据。我只让证据按时间排队。”

父亲盯着他,像想确认他不是逞强,最后只说:“那你就别乱说话。”

林昼点头:“我不乱说。我只写字。”

父亲终于露出一点松动,端起粥喝了一口,声音低低:“写字好。写字让人不敢胡来。”

林昼离开病房时,把父亲那句“写字让人不敢胡来”记在心里。今天要做的,就是让“权柄”也写成字。

---

上午九点,监管发来正式通知:取证审计机构将于次日十点进场。进场前要求供应商于今晚八点前提交“权柄清单(初版)”。

通知里对“权柄清单”的定义非常明确:

*所有高权限账号列表(含角色定义、授权范围、授权原因、生效与失效时间、账号持有人管理人岗位);

*所有系统级token与scope绑定记录(签发账号、scope、reasoncode、approvalref、签发时间、有效期、刷新次数);

*所有自动化组件的执行身份与权限范围(脚本服务账号编排系统任务);

*权限变更历史与审批链(至少六个月);

*最小权限原则评估与审计报告(如有);

*权限回收机制与执行证据。

梁组长把这份通知截图发来,附一句:“监管把‘权柄清单’作为审计第一刀。”

林昼回:“对。先砍权柄,再谈制度。权柄不收敛,禁变窗口只是摆设。”

他把“权柄清单”四个字写在纸上,圈了两圈。圈不是强调,是提醒自己:今天所有显示出来的“争辩”“恐慌”“效率”,都不要被带偏。唯一的核心是:谁有钥匙。

---

十点二十,供应商开始发来“初版权柄清单”。文件很厚,排版整齐,像早就准备好的一样。厚文件往往有两种可能:要么真的规范,要么刻意用厚度掩盖关键缺失。

法务快速扫了一遍,眉头越皱越紧,低声对林昼说:“他们列了很多账号,但把关键字段写得很模糊,比如‘持有人:运维组’,‘授权原因:应急保障’,‘失效时间:按需’。”

“按需”两个字,就是灰区的名字。

按需意味着没有边界,没有边界意味着随时可用。随时可用意味着任何禁变窗口都能被“按需”穿透。

林昼让法务别急着评价,先把问题拆成可问的点:“让他们给每一个‘按需’补四项:具体生效时间、具体失效时间、授权审批编号、使用记录次数。没有这四项,清单就是摆设。”

法务点头,立刻把这四项写进监管反馈。

与此同时,第三方平台协查联系人也给出一条补充:平台侧记录的高权限tokenscope共有三类,其中一类叫“freeze.controlwrite”,平台建议仅绑定医院侧控制账号,租户侧任何自动化组件不得绑定此scope。平台愿意提供“最佳实践与风险说明”签章材料。

这条材料非常关键,因为它把“该不该”变成了“行业建议”。供应商如果继续让脚本绑freeze.controlwrite,就被定义为违反最佳实践。最佳实践不等于法律,但在监管语境里,它是判断“合理注意义务”的重要参考。

林昼马上让法务把这条“最佳实践签章说明”纳入整改与审计材料。

---

中午十二点,供应商突然在群里丢出一个“新提议”:为了缓解围栏启用导致的投递延迟,他们建议在cn区域内部增加两个备用节点,并申请临时解除“fulllock冻结”,改为“change-requestonly”模式,以便快速调优。

这又是一种“效率夺权”的话术:先给你一个听起来有利的改进(增加节点),再顺带把冻结从fulllock降级为可变更模式。只要冻结降级,脚本与超级权限就有机会在“可变更”里找到缝。

接收医院信息安全负责人回复得很硬:“节点扩容可以讨论,但冻结模式不变。任何调优走例外申请链,且必须由医院批准。供应商若认为例外链太慢,请提出值班方案,不是改变控制权。”

供应商合规负责人开始强调:“例外链会影响紧急响应。万一出现投递失败,医院承担临床风险。”

监管在群里直接定性:“供应商不得以风险恐吓推动解除冻结。请提交cn内部扩容方案,并在冻结不变前提下进行演练验证。未经验证,不得调整冻结模式。”

恐吓。

监管用了这个词。这个词一旦出现,对方的策略就被贴上了性质标签:不是合理担忧,而是施压。

林昼看到“恐吓”两个字,心里一沉又一松。沉的是对方的手段越来越直;松的是监管已经开始把手段写进记录。

写进记录,手段就会反噬自己。

---

下午两点二十,第三方平台按监管指令提交了“历史成功关围栏事件”的原始审计字段摘要(签章版)。摘要里出现了一串关键字段:

*eventtype:geofenceoff(success)

*triggercontext:latencydegradationl3(regional)

*initiator:routehealthguardian

*operatoridentity:itops_superadmin

*approvalref:null

*reasoncode:auto_recovery

*changewindow:unspecified

*result:applied

*timestamp:2024a-0905211433

**approvalref:null。**

changewindow:unspecified。

『加入书签,方便阅读』