繁体版 简体版
百川小说网 > 负债清算我用系统追回全城 > 第三十三章:权限日志

第三十三章:权限日志

凌晨一点十二,接收医院的行政楼仍亮着灯。

灯光不再像前几夜那样冷硬,它更像一种疲惫――疲惫的制度还在运转,疲惫的人还在坚持。林昼坐在法务室外的长椅上,膝盖上摊着两份材料:一份是监管查阅记录索引页,另一份是专家组“非偶发事件”中期意见的脱敏摘要。他把两份材料的编号用笔重新描了一遍,像是在给它们加重分量。

门里,法务人员和鉴定专家正在讨论同一件事:如何向原医院与供应商提出“最小必要”的日志调取要求,同时又能把“商业秘密”与“泄密排查”两把刀挡在门外。

东京回路已经露出电线,验收报告给了版本号与回滚包,接下来只差一件东西――权限日志。只要拿到权限日志,就能把“旧版照做”从便签上的恐吓变成系统里的动作:谁按了回滚、什么时候按、回滚到哪、谁确认回执。

这不是推理,这是记录。

记录比任何控诉都硬。

手机震动,梁组长发来消息:“监管明早十点约供应商与原医院信息科在场核对。重点:运维平台权限日志与工单记录。供应商强烈反对,称涉及核心技术。监管要求至少现场查阅并制作笔录。”

林昼盯着“强烈反对”四个字,心里反而更确定:他们怕的正是日志。合同他们还能说“草稿”,验收他们还能说“全球加速”,可日志没法用文字洗。日志不是解释,日志是轨迹。

他回:“现场核对要设定范围:时间窗口锁定在转运当天前后72小时;日志类型锁定在策略更新回滚账号登录权限变更回执确认;字段只取事件类型、时间戳、操作者账号(可哈希)、目标策略包版本、回执状态。这样既最小必要,又足够形成行为链。”

梁组长回:“已按这个思路写了调取清单。”

林昼补:“同时要求供应商解释日志留存周期与不可篡改措施(worm存储哈希链审计签名等)。如果他们说‘没有不可篡改’,那日志可信度要另做鉴定,但‘有没有日志’依旧关键。”

梁组长回:“明白。”

林昼把手机收起,走到窗边看了一眼夜色。城市灯火仍亮,像无数节点在发光。他突然想起护士长那句“那个人像在看指标”。指标在运维平台上就是一串状态:风险等级、策略状态、回滚状态。状态一变,平板点一下,就能触发流程。

而他要做的,就是让那次“点一下”落到日志里。

落到日志里,就不再是鬼。

---

清晨七点半,接收医院的院内安全部门又补了一份记录:昨夜停车场入口出现不明车辆停留三分钟,保安询问后对方离开,车牌未能完整识别,仅截取部分号段。记录编号、时间、处理人都写清。林昼拿到脱敏摘要后没有感到安心,反而更警惕――不明车辆出现得越频繁,越说明对方在盯“证人状态”。

他给护士长发:“今天不要离开行政楼监控区。任何外出由院内安保陪同。”

护士长回:“我知道。我现在跟法务在一起。”

许景那边也有更新:第三方评估机构建议其休息,但明确“认知清晰”。许景本人发来一句:“他们今天会不会拿日志把我也拖进去?”

林昼回:“日志拖的是账号与动作,不是你。你现在只要做两件事:一,保全你补录的封存编号;二,任何约谈要求书面。你不要主动解释动机,只讲你当时看到的流程。”

许景回:“明白。”

“明白”这两个字最近出现得越来越多,像一根细线把每个被卷入的人串在一起。他们不再用情绪对抗,而是用流程撑住自己。

---

上午十点零五,梁组长的信息来了:“核对会开始。监管、原医院信息科、采购处、供应商三方在场。供应商带了一台笔记本,声称日志只能在其设备上查看,不允许拷贝。”

林昼并不意外。供应商一定会控制呈现方式:只给看,不给拿;只给看摘要,不给看原始;只给看自己筛选的时间段。他们会把“最小必要”变成“最小到无意义”。

他立刻回:“可以先接受‘现场查看不拷贝’,但必须满足三点:

1)监管制作全程笔录,记录日志查询的筛选条件(时间窗口、事件类型、关键字);

2)监管要求供应商在日志界面展示‘原始记录编号审计id’,并在笔录中抄录;

3)监管要求现场截图打印并盖章(哪怕脱敏),或至少将关键字段抄录并签字盖章确认‘已查阅’。”

梁组长回:“监管正在做笔录。供应商拒绝截图,称会泄露核心技术界面。”

林昼回:“界面不是核心,字段才是核心。让他们把字段抄录到一张空白表格上,由供应商盖章确认该字段来自审计日志。字段抄录不涉及界面泄露。”

梁组长回:“监管采纳了。”

十点二十一,梁组长发来一条更关键的信息:“供应商提供的日志查询结果里,确实有‘策略回滚’事件。时间在转运当晚0218左右。目标版本显示:m-supv2.9。操作者账号显示为‘ops_admin’(供应商说是系统账号)。回执状态:success。原医院信息科脸色变了。”

0218。回滚到v2.9。success。

林昼握着手机的手指微微发紧。昨夜陌生来电说“今晚就到这里,你会看到结果”。那通电话大概在0224左右,而日志显示0218发生回滚。这不是巧合,这是回路的时间吻合:回滚执行后,他们才敢打电话威胁,因为结果已经在路上。

他稳住,回:“这条必须写入笔录,且要抄录审计id。供应商说‘系统账号’不够,要追问:系统账号由谁触发?是否存在工单触发?是否有人工审批?是否有‘回滚原因’字段?这些字段决定责任归属。”

梁组长回:“监管正在追问。供应商说回滚是‘自动化应急’,由平台监测到异常自动触发。”

自动化应急――这就是他们最爱藏身的词:不是人,是系统。系统自己做的。没人负责。

可系统并不会无缘无故选择“回滚到v2.9”。系统的规则由人配置,触发阈值由人设定,审批链由人设计。所谓自动化,只是把责任推远。

林昼回:“要求查看与该回滚事件关联的‘触发规则id’、‘监测指标’、‘阈值’、‘审批链’(如果有),以及触发来源(监测模块人工工单)。至少要在笔录里写明:供应商拒绝提供哪些字段。”

梁组长回:“他们同意展示触发规则id,但不允许抄录,称属于算法。”

林昼回:“那就让监管记录:供应商拒绝抄录触发规则id,理由‘算法’。同时要求供应商提供触发规则的摘要说明:触发指标名称、阈值范围、规则生效日期。摘要不是算法。”

梁组长回:“监管在要求。”

十点四十七,梁组长又发:“发现一个更敏感的条目:同一时间段还有‘策略更新-覆盖’事件,版本从v3.1切换到v3.1-hotfix。时间在转运前一天。操作者账号为‘vendor_ops_07’。原医院信息科说他们没有这个账号。”

林昼的心跳加快。v3.1-hotfix意味着供应商曾在转运前一天做过紧急补丁。紧急补丁后又在转运当夜回滚到v2.9。热修复、回滚,这是一套典型的运维事故处置链。如果他们把某个策略包改成更“干净”的行为模式,再回滚到旧版执行“照做”,就能在日志里伪装成“故障处置”。

但原医院信息科说“没有这个账号”,说明账号属于供应商,并且可能绕过医院的可见权限。这将把“医院内控”与“供应商权限”之间的边界撕开。

林昼回:“把‘vendor_ops_07’写入笔录。询问:该账号权限级别是什么(观察策略回滚)?是否需要医院授权?是否在合同里备案?是否有登录ip段(可哈希)?是否存在境外中继节点路由特征?这条能直接连接东京回路。”

梁组长回:“供应商同意说明该账号属于驻场工程师,但拒绝提供登录ip,称涉及个人隐私与安全。”

林昼回:“ip可以哈希或掩码,不必暴露完整。至少提供‘登录区域节点’(境内境外东京中继)与‘是否通过中继’字段。否则‘境外中继节点’无法核对。”

梁组长回:“监管要求提供‘是否通过中继’字段。供应商说系统没有记录中继信息。”

林昼冷笑了一下,但只在心里。系统怎么可能没有记录中继信息?只要经过中继,就会有路由痕迹。说没有,可能是他们不想提供,或他们把日志拆分在不同系统里。拆分也是一种隐藏:把关键字段放在另一个你看不到的审计系统里。

他回:“记录供应商声称‘无中继记录’。同时要求说明:中继节点属于什么层(网络加速cdnvpn跳板机)?若是跳板机,必有跳板日志;若是cdn,必有边缘日志。让他们提供最小证据:中继节点清单与用途。”

梁组长回:“监管记了。”

十一点二十,梁组长发来一句:“原医院信息科开始推卸,说他们只负责业务系统,邮件网关运维完全由供应商托管。供应商说托管是合同约定。”

托管――责任的黑洞。托管意味着医院可以说“我不知道”,供应商可以说“我只是服务”,监管就会面对一层层外包。外包链条越长,真相越难追。

但今天的日志已经让黑洞出现了边缘:回滚事件、热修复事件、操作者账号、回执success。只要这些东西写进监管笔录,外包链条再长也挡不住“行为发生过”。

行为发生过,就有人要解释。

『加入书签,方便阅读』