定系统……咦?”
他停在一个条目上,“她怎么会有‘技术文档归档系统(测试环境)’的浏览权限?”
“这系统只有项目组测试人员和文档管理员才能接触。”
我翻到陈蕾的岗位说明:“她岗位是纯行政支持,不涉及任何技术文档处理。这权限哪来的?”
小王查记录:“申请日期2016年8月15日,申请理由是‘协助项目组临时归档测试报告(非涉密)’,批准人……周海峰?”
“这人是谁?批准日期2016年8月16日。”
周海峰?技术支援中心没这个人。
“查下这个周海峰的工号或者部门。”我直觉不对。
小王在系统里输入名字。“周海峰……工号已注销。”
“记录显示是原研发三部的人,2017年3月已离职。”
“一个已离职近半年的研发人员,在一年多前,越权批准了一个行政文员接触她不该接触的技术文档系统?虽然是测试环境?”
这已经不是简单的冗余权限了,这是严重的审批流程违规和权限管理漏洞。
“这个权限必须立刻清除!这个案例要重点记录,连同那个批准人信息,一并报陈主任!”
“明白!”小王也意识到问题的严重性,立刻操作撤销权限,同时在问题汇总表上详细记录下这个案例。
包括“已离职人员越权审批”、“权限与岗位严重不匹配”、“存在接触非授权技术信息风险”等关键点。
复核工作一直持续到下午,整个技术支援中心二十多号人查完。
主要问题就是我自己那个该关没关的“高级查询”权限,以及陈蕾那个由离职人员违规审批的“测试环境浏览权”。
另外还有几个零星的小权限,比如某人调岗后忘了收回的某个旧项目组通讯权限,都被及时清理了。
看着小王整理出来的问题清单,日常操作看似规范,但系统深处,总有些被遗忘的角落藏着隐患。
拿着汇总表,我敲开了陈主任办公室的门。
“主任,权限复核初步结果出来了。”我把发现的问题清单放在他桌上。
陈主任看到那两个标红的问题时,他本就严肃的脸更沉了几分,尤其是看到“周海峰”的名字。
“这个‘高级查询’权限怎么回事?我记得你当时申请撤销了。”他指着第一个问题,看向我,语气严厉。
“纸质撤销单有存档,我确认提交了。但IT系统里没有撤销流程记录,导致权限残留。问题出在流程衔接环节。”
他点点头,没再追问细节,目光转向第二个问题:“周海峰……研发三部那个?”他在回忆着。
“对,IT查的记录,已离职半年多。他在职时,越权审批了陈蕾一个完全不该有的权限。”
“陈蕾本人完全不知情,也从未使用过。”我补充道。
“研发三部的人,手伸到我们技术支援中心,还批了个技术文档系统的权限……胆子不小。”
“就算只是测试环境,也是原则性错误!这个周海峰,在职时风评就不怎么样,仗着有点背景……哼!”
他抬头看我,眼神里是多年共事的信任:“孙琳,这次复核做得细,问题抓得好。”
“这两个漏洞,特别是周海峰这条线,已经不是简单的权限管理问题了。”
“我会立刻向IT部和安保部正式提交报告,要求彻查当初的审批流程和这个周海峰在职期间的所有操作痕迹。”
“权限管理,就是安全管理的毛细血管,堵不住,迟早出大事!你和小王,这次立了一功!”
“应该的,主任。隐患发现了,心才安。”
“嗯。”陈主任把问题清单仔细收好,“后续处理我来跟进。你们继续保持警惕,日常操作不能松懈,发现任何蛛丝马迹,第一时间报告!”
“明白。”我转身准备离开。
“等等。”陈主任叫住我,“孙琳,下班前把这次复核的简要总结和后续处理建议发我一份。注意措辞,客观准确。”
“好的主任