“琳姐,IT部的小王来了。”隔壁工位的小张探过头。
我正盯着屏幕上的供应商资质清单,闻言立刻保存文档,“好,请他稍坐,我马上来。”
起身走向会客区,IT部的王工,我们都习惯叫他小王,虽然他也是个老员工了。
此刻他已经抱着笔记本电脑坐在那儿了。面前放着一份名单,是我们技术支援中心所有人的名字。
“孙工,打扰了。”小王把名单往我这边挪了挪。
“陈主任通知了吧?按季度安全审计要求,咱们得把中心所有人的系统权限再过一遍筛子,特别是那些冗余的、过期的。”
“通知了,全力配合。”我目光扫过名单,“老规矩?先从我这开始?”
“对,先看骨干的,再往下捋。”小王熟练地打开他的系统管理界面,输入一串复杂的指令,调出我的权限列表。
“孙琳,工号A-1037,当前权限组:技术支援中心-高级协调员。系统登录验证通过。”
屏幕上跳出一长串权限条目,看得人眼花。
每一项后面跟着详细的子权限说明,比如“DMS-可上传、下载、修改(限本人负责文档)”。
“外协系统-可查询所有外协单位基础信息,录入限已授权项目”等等。
“嗯,这列表跟我实际用的基本对得上。”我指着其中几项。
“这个‘旧版文档库只读权限’,我记得是去年初为了查一份老型号的通用技术规范才临时申请的。”
“当时那个项目结束就该关了吧?怎么还在?”
小王凑近看了看:“旧版文档库……哦,A区那个老系统,去年底就停用了,数据都迁移到新库了。”
“这权限确实冗余,存在潜在风险,我这就标记清除。”他快速在表格上打了个勾,又在系统里操作了几下。
“好了,这条作废。还有吗?”
我继续往下看:“‘临时供应商资质预审系统’的‘高级查询’权限。”
“这个是配合前年那个紧急引进替代材料的项目申请的,项目结束后陈主任明确说过要收回,我也记得当时提交了撤销申请单。”
小王点开权限申请记录:“我查下后台日志,孙琳,申请日期2015年11月3日,批准人陈国强,批准日期2015年11月4日。”
“状态……咦?状态显示‘已批准’,但未关联撤销流程记录。奇怪,撤销申请单没走系统流程?”
“不可能,我亲手填的单子,交给陈主任签字后,按流程应该由他秘书扫描上传到系统,IT那边才会操作撤销。”
我语气肯定,“纸质单子我这儿还有存档副本。这权限不该留到现在。”
小王变得严肃起来,“这就有点问题了。”
“系统里没记录撤销动作。这个‘高级查询’权限,理论上可以绕过部分审核流程,直接看到一些敏感供应商的初步评估信息……”
“虽然信息等级不高,但严格来说,非项目期间持有,也是违规,存在信息泄露风险点。”
他飞快地在我的权限列表里定位到这一项,果断执行了撤销操作,又在表格上重重打了个叉。
“这个问题得记下来,稍后要向陈主任汇报流程漏洞。幸亏复核了。”
一个本应被关掉的权限,像个幽灵一样潜伏在系统里近两年。
这要是被别有用心的人利用了,哪怕只是无意间操作失误……
后果不堪设想,这就是陈主任常念叨的“针尖大的窟窿能漏过斗大的风”?
平时没觉得,真发现了,才感到后怕。
“我这边没问题了,辛苦你记录。”我深吸一口气,“下一个按名单顺序来吧。”
复核工作枯燥而漫长。小王逐个调出中心同事的权限列表,我则拿着人员岗位职责表和他一起核对。
大部分人都很规范,权限与当前职责匹配,冗余项很少。
“陈蕾,工号B-2105,行政文员岗。”小王念着名字,调出权限。
“嗯…基础OA系统、内部通讯录、会议室预定系统……咦?”
他停在一个条目上,“她怎么会有‘技术文档归档系统(测试环境)’的浏览权限?”
“这系统只有项目组测试人员和文档管理员才能接触。”
我翻到陈蕾的岗位说明:“她岗位是纯行政支持,不涉及任何技术文档处理。这权限哪来的?”
小王查记录:“申请日期2016年8月15日,申请理由是‘协助项目组临时归档测试报告(非涉密)’,批准人……周海峰?”
“这人是谁?批准日期2016年8月16日。”
周海峰?技术支援中心没这个人。
“查下这个周海峰的工号或者部门。”我直觉不对。
小王在系统里输入名字。“周海峰……工号已注销。”
“记录显示是原研发三部的人,2017年3月已离职。”
“一个已离职近半年的研发人员,在一年多前,越权批准了一个行政文员接触她不该接触的技术文档系统?虽然是测试环境?”
这已经不是简单的冗余权限了,这是严重的审批流程违规和权限管理漏洞。
“这个权限必须立刻清除!这个案例要重点记录,连同那个批准人信息,一并报陈主任!”
“明白!”小王也意识到问题的严重性,立刻操作撤销权限,同时在问题汇总表上详细记录下这个案例。
包括“已离职人员越权审批”、“权限与岗位严重不匹配”、“存在接触非授权技术信息风险”等关键点。
复核工作一直持续到下午,整个技术支援中心二十多号人查完。
主要问题就是我自己那个该关没关的“高级查询”权限,以及陈蕾那个由离职人员违规审批的“测试环境浏览权”。
另外还有几个零星的小权限,比如某人调岗后忘了收回的某个旧项目组通讯权限,都被及时清理了。
看着小王整理出来的问题清单,日常操作看似规范,但系统深处,总有些被遗忘的角落藏着隐患。
拿着汇总表,我敲开了陈主任办公室的门。
“主任,权限复核初步结果出来了。”我把发现的问题清单放在他桌上。
陈主任看到那两个标红的问题时,他本就严肃的脸更沉了几分,尤其是看到“周海峰”的名字。
“这个‘高级查询’权限怎么回事?我记得你当时申请撤销了。”他指着第一个问题,看向我,语气严厉。
“纸质撤销单有存档,我确认提交了。但IT系统里没有撤销流程记录,导致权限残留。问题出在流程衔接环节。”
他点点头,没再追问细节,目光转向第二个问题:“周海峰……研发三部那个?”他在回忆着。
“对,IT查的记录,已离职半年多。他在职时,越权审批了陈蕾一个完全不该有的权限。”
“陈蕾本人完全不知情,也从未使用过。”我补充道。
“研发三部的人,手伸到我们技术支援中心,还批了个技术文档系统的权限……胆子不小。”
“就算只是测试环境,也是原则性错误!这个周海峰,在职时风评就不怎么样,仗着有点背景……哼!”
他抬头看我,眼神里是多年共事的信任:“孙琳,这次复核做得细,问题抓得好。”
“这两个漏洞,特别是周海峰这条线,已经不是简单的权限管理问题了。”
“我会立刻向IT部和安保部正式提交报告,要求彻查当初的审批流程和这个周海峰在职期间的所有操作痕迹。”
“权限管理,就是安全管理的毛细血管,堵不住,迟早出大事!你和小王,这次立了一功!”
“应该的,主任。隐患发现了,心才安。”
“嗯。”陈主任把问题清单仔细收好,“后续处理我来跟进。你们继续保持警惕,日常操作不能松懈,发现任何蛛丝马迹,第一时间报告!”
“明白。”我转身准备离开。
“等等。”陈主任叫住我,“孙琳,下班前把这次复核的简要总结和后续处理建议发我一份。注意措辞,客观准确。”
“好的主任,我回去就写。”
走出主任办公室,我回到工位,打开文档准备写总结。
脑子里却不由自主地回放着陈主任刚才的话:“……特别是周海峰这条线……要彻查他所有操作痕迹……”
一个离职半年多的普通研发人员,为什么要费心思给一个八竿子打不着的行政文员批一个看似无害、实则违规的权限?
是无意的失误,还是……某种更隐蔽的“铺路”?