君源小说网

繁体版 简体版
君源小说网 > 负债清算我用系统追回全城 > 第四十八章:权柄清单

第四十八章:权柄清单

timestamp:211433。

这三项足以让任何“我们有流程”站不住脚。成功关围栏发生在晚上九点多,显然不是紧急抢修的白天窗口;approvalref为空,意味着没有审批引用;changewindow未指定,意味着无禁变意识。理由码写auto_recovery――自动恢复。

自动恢复不是原罪,但自动恢复带着超级权限去关围栏,是典型的安全架构缺陷:系统为了“恢复”,把边界当作可牺牲的东西。

边界一旦可牺牲,就永远会被牺牲。

法务看着这份签章摘要,声音发紧:“这条太狠了。”

林昼没有得意。他只说:“这条是脚本的证词。它说明他们的暗门不是一次。审计机构进场后,只要追initiator调用链,就能看到脚本里写了什么。”

他在纸上写下四行:

*auto_recovery触发条件是什么?

*为什么需要geofenceoff?

*为什么approvalref为null仍可执行?

*itops_superadmin为何能被脚本调用?

这四个问题,任何一个都能把事情推向更严肃的责任评估。

---

下午四点,供应商终于补交了一份“权柄清单补充说明”,试图解释approvalref为null:“历史时期平台允许自动化组件执行恢复动作,审批引用字段在当时版本为可选项,后续已加强。”

第三方平台立刻回应(签章说明):审批引用字段在过去版本虽为可选,但平台建议租户强制填写;且平台提供“强制审批引用”配置能力,是否启用由租户决定。并且平台确认:租户未启用强制审批引用配置。

这又一次把“不可控”变成“你没开”。

你没开,就是选择。

选择就要负责。

供应商的解释反而让自己更被动:你知道可选,你却选择不强制;你知道可控,你却选择默认;你知道是医疗场景,你却选择效率优先。

每一个选择都能被写进整改报告的“根因分析”。

根因不是延迟,而是选择。

---

晚上七点半,供应商召开内部紧急视频会议的消息被人匿名透露给接收医院法务:会议主题是“应对审计与舆情”。匿名线索没有证据文件,但提到了两件事:

1)要求统一口径:脚本属于健康检查,撬锁属于误触发;

2)要求内部人员签署“保密与一致性声明”,不得对外提供任何材料。

一致性声明。

林昼看到这四个字,手心发冷。它不是保密,而是封口;不是一致性,而是统一叙事。统一叙事在审计进场前出现,往往意味着他们要把可能成为证人的人先绑住。绑住之后,审计机构再问,人就会答得模糊,或者说“我不记得”。

不记得是最廉价的防御。

林昼立刻把线索转给梁组长,附一句:“若出现一致性声明,请监管要求供应商停止对内部人员施压,确保证人可自由陈述;并建议纳入证人保护与反报复条款。”

梁组长回:“监管已注意。将要求供应商提供内部通知与声明文本,纳入调查。”

这一步很关键:把“一致性声明”从暗处拉到纸面。纸面上,它就不再是“内部管理”,而可能成为“妨碍调查”的证据。

---

夜里十点,许景再次发来消息:“明天谈话我会去。我按你说的带法务。可是我真的很怕,他们说我‘破坏团队’。”

林昼回:“你不是破坏团队,你是在保护医院。团队如果靠暗门与补录活着,那不是团队,是风险共同体。你只讲事实,别讲立场。事实会替你说话。”

许景隔了很久,回:“好。”

林昼看着这个“好”,心里却在想:明天谈话会不会变成另一个战场?他们会不会逼许景签“信息泄露”认定?会不会把脚本的锅扣给他?他必须提前准备一份“事实口径”,让许景不被带节奏。

他拿起纸笔,写出一个极简的“证词模板”,准备发给许景与护士长:

*我在某年某月某日某时接到何人指令

*我查看了哪些系统页面日志

*我执行了哪些操作(按钮工单命令)

*我未执行哪些操作(明确否认)

*我向监管法务提交了哪些材料(渠道、时间)

*我不对动机和结论作判断,请以审计与日志为准

写完,他没有立刻发出去,而是先给法务看,让法务确认措辞不越界。因为他知道,任何一句“动机推断”都可能被对方抓住,把证词打成“情绪化”。

这场战斗里,情绪会被用来污名化,事实才是唯一的免疫力。

---

凌晨一点,供应商终于提交了修订后的“权柄清单(版本2)”。这一次,很多“按需”被迫变成了具体:

*itops_superadmin:生效2019-xx-xx,失效未设,授权原因:应急保障(长期)

*svc_route_admin:服务账号,常驻

*routehealthguardian:执行身份itops_superadmin,tokenscope含geofence.write、freeze.controlwrite(历史),已申请回收

*强制审批引用配置:未启用(历史),计划启用时间:待定

“失效未设”“长期”“待定”。

这些词依旧是灰区,但灰区已经被写出来了。写出来,灰区就会成为整改必须填补的洞。

林昼把“失效未设”圈了起来,对法务说:“让监管要求:所有高权限必须设失效时间;所有长期权限必须有季度复审;所有脚本不得持有写权限;所有token必须强制审批引用;所有changewindow必须明确绑定禁变窗口规则。把这些写进整改条款,不写就会死灰复燃。”

法务点头。

林昼又补:“还有一点:要求他们证明回收真的发生,不是‘申请回收’。要看回收事件的审计时间戳与哈希。”

法务说:“我会写进去。”

林昼靠在椅背上,眼皮发沉,但脑子却异常清醒。他看着桌上的清单,忽然理解了一个更残酷的逻辑:

真正的风险,不是某个夜晚出了事;

真正的风险,是某种权柄长期存在、失效未设、审批可空、窗口可无。

这种权柄一旦存在,就会被当作理所当然;理所当然久了,就会成为习惯;习惯久了,就会吞掉规则。

而现在,“权柄清单”终于被迫写出来。写出来之后,下一步就是――拆掉它。

拆掉它,会有人失去工具。失去工具的人,会更恨写字的人。

林昼把笔放下,抬头看向窗外。夜色仍深,但他能感觉到黎明要来了。黎明并不意味着结束,而意味着审计要进场,意味着脚本的源代码要被摊开,意味着那些“长期”“未设”“待定”要被迫变成“已回收”“已冻结”“已绑定”。

他在心里把这一夜压成一句话:

“权柄清单写出来的那一刻,暗门就不再隐秘;暗门不再隐秘,它就只剩两条路――被拆,或被定性。”_c

『加入书签,方便阅读』