他飛快地在我的權限列表里定位到這一項,果斷執行了撤銷操作,又在表格上重重打了個叉。
“這個問題得記下來,稍后要向陳主任匯報流程漏洞。幸虧復核了。”
一個本應被關掉的權限,像個幽靈一樣潛伏在系統里近兩年。
這要是被別有用心的人利用了,哪怕只是無意間操作失誤……
后果不堪設想,這就是陳主任常念叨的“針尖大的窟窿能漏過斗大的風”?
平時沒覺得,真發現了,才感到后怕。
“我這邊沒問題了,辛苦你記錄?!蔽疑钗豢跉猓跋乱粋€按名單順序來吧?!?/p>
復核工作枯燥而漫長。小王逐個調出中心同事的權限列表,我則拿著人員崗位職責表和他一起核對。
大部分人都很規范,權限與當前職責匹配,冗余項很少。
“陳蕾,工號b-2105,行政文員崗。”小王念著名字,調出權限。
“嗯…基礎oa系統、內部通訊錄、會議室預定系統……咦?”
他停在一個條目上,“她怎么會有‘技術文檔歸檔系統(測試環境)’的瀏覽權限?”
“這系統只有項目組測試人員和文檔管理員才能接觸。”
我翻到陳蕾的崗位說明:“她崗位是純行政支持,不涉及任何技術文檔處理。這權限哪來的?”
小王查記錄:“申請日期2016年8月15日,申請理由是‘協助項目組臨時歸檔測試報告(非涉密)’,批準人……周海峰?”
“這人是誰?批準日期2016年8月16日?!?/p>
周海峰?技術支援中心沒這個人。
“查下這個周海峰的工號或者部門?!蔽抑庇X不對。
小王在系統里輸入名字?!爸芎7濉ぬ栆炎N。”
“記錄顯示是原研發三部的人,2017年3月已離職?!?/p>
“一個已離職近半年的研發人員,在一年多前,越權批準了一個行政文員接觸她不該接觸的技術文檔系統?雖然是測試環境?”
這已經不是簡單的冗余權限了,這是嚴重的審批流程違規和權限管理漏洞。
“這個權限必須立刻清除!這個案例要重點記錄,連同那個批準人信息,一并報陳主任!”
“明白!”小王也意識到問題的嚴重性,立刻操作撤銷權限,同時在問題匯總表上詳細記錄下這個案例。
包括“已離職人員越權審批”、“權限與崗位嚴重不匹配”、“存在接觸非授權技術信息風險”等關鍵點。
復核工作一直持續到下午,整個技術支援中心二十多號人查完。
主要問題就是我自己那個該關沒關的“高級查詢”權限,以及陳蕾那個由離職人員違規審批的“測試環境瀏覽權”。
另外還有幾個零星的小權限,比如某人調崗后忘了收回的某個舊項目組通訊權限,都被及時清理了。