琳姐,IT部的小王来了。”隔壁工位的小张探过头。
我正盯着屏幕上的供应商资质清单,闻言立刻保存文档,“好,请他稍坐,我马上来。”
起身走向会客区,IT部的王工,我们都习惯叫他小王,虽然他也是个老员工了。
此刻他已经抱着笔记本电脑坐在那儿了。面前放着一份名单,是我们技术支援中心所有人的名字。
“孙工,打扰了。”小王把名单往我这边挪了挪。
“陈主任通知了吧?按季度安全审计要求,咱们得把中心所有人的系统权限再过一遍筛子,特别是那些冗余的、过期的。”
“通知了,全力配合。”我目光扫过名单,“老规矩?先从我这开始?”
“对,先看骨干的,再往下捋。”小王熟练地打开他的系统管理界面,输入一串复杂的指令,调出我的权限列表。
“孙琳,工号A-1037,当前权限组:技术支援中心-高级协调员。系统登录验证通过。”
屏幕上跳出一长串权限条目,看得人眼花。
每一项后面跟着详细的子权限说明,比如“DMS-可上传、下载、修改(限本人负责文档)”。
“外协系统-可查询所有外协单位基础信息,录入限已授权项目”等等。
“嗯,这列表跟我实际用的基本对得上。”我指着其中几项。
“这个‘旧版文档库只读权限’,我记得是去年初为了查一份老型号的通用技术规范才临时申请的。”
“当时那个项目结束就该关了吧?怎么还在?”
小王凑近看了看:“旧版文档库……哦,A区那个老系统,去年底就停用了,数据都迁移到新库了。”
“这权限确实冗余,存在潜在风险,我这就标记清除。”他快速在表格上打了个勾,又在系统里操作了几下。
“好了,这条作废。还有吗?”
我继续往下看:“‘临时供应商资质预审系统’的‘高级查询’权限。”
“这个是配合前年那个紧急引进替代材料的项目申请的,项目结束后陈主任明确说过要收回,我也记得当时提交了撤销申请单。”
小王点开权限申请记录:“我查下后台日志,孙琳,申请日期2015年11月3日,批准人陈国强,批准日期2015年11月4日。”
“状态……咦?状态显示‘已批准’,但未关联撤销流程记录。奇怪,撤销申请单没走系统流程?”
“不可能,我亲手填的单子,交给陈主任签字后,按流程应该由他秘书扫描上传到系统,IT那边才会操作撤销。”
我语气肯定,“纸质单子我这儿还有存档副本。这权限不该留到现在。”
小王变得严肃起来,“这就有点问题了。”
“系统里没记录撤销动作。这个‘高级查询’权限,理论上可以绕过部分审核流程,直接看到一些敏感供应商的初步评估信息……”
“虽然信息等级不高,但严格来说,非项目期间持有,也是违规,存在信息泄露风险点。”
他飞快地在我的权限列表里定位到这一项,果断执行了撤销操作,又在表格上重重打了个叉。
“这个问题得记下来,稍后要向陈主任汇报流程漏洞。幸亏复核了。”
一个本应被关掉的权限,像个幽灵一样潜伏在系统里近两年。
这要是被别有用心的人利用了,哪怕只是无意间操作失误……
后果不堪设想,这就是陈主任常念叨的“针尖大的窟窿能漏过斗大的风”?
平时没觉得,真发现了,才感到后怕。
“我这边没问题了,辛苦你记录。”我深吸一口气,“下一个按名单顺序来吧。”
复核工作枯燥而漫长。小王逐个调出中心同事的权限列表,我则拿着人员岗位职责表和他一起核对。
大部分人都很规范,权限与当前职责匹配,冗余项很少。
“陈蕾,工号B-2105,行政文员岗。”小王念着名字,调出权限。
“嗯…基础OA系统、内部通讯录、会议室预