第64章 审查（1/2）

王工，这个OA系统的权限设置，我有点不明白。”

我把打印出来的技术文档推到对面工程师面前，指着用红笔圈出的地方。

屏幕上是那个新外包公司做的OA系统测试界面，背景是长城石化燕山分公司醒目的Logo。

工程师小王凑近看了看：“林姐，哪里不明白？”

“这个权限树是按部门层级设计的，很标准啊。”他是我们IT技术部派来配合我这个法务专员做OA系统合规审查的。

“标准？”我点了点文档里的一行小字。

“你看这里，‘超级管理员账户可临时开放全库数据查询权限，用于紧急技术支持’。这个‘全库数据’，包含哪些？”

小王愣了一下：“呃……理论上，是整个系统的后台数据库吧，用户信息、流程审批记录、文件存储路径……”

“系统里有的，都能看。”

我心里不禁打了个问号：“给一个外包公司的临时技术支持人员开这么高的权限？而且，这权限怎么收回？有记录吗？”

“流程上……”小王点开系统后台的一个设置页面。

“需要甲方，也就是我们这边，有审批权限的主管授权，生成一次性临时密码。”

“用一次就失效了。记录……后台操作日志应该会记吧？”他说着，自己也不太确定地翻找起来。

我盯着他屏幕上的后台管理界面，那个权限管理模块的菜单项名字叫“上帝之眼”。

这名字让我很不舒服，“王工，麻烦你模拟一下，给这个‘上帝之眼’授权，看看操作日志里到底记不记，记什么。”

小王依言操作。他用自己的账号发起授权申请，我模拟主管审批通过。

系统很快生成了一个临时账号和密码。他用这个临时账号登录，然后在数据库查询界面随便点了个“查询所有用户信息”。

“好了，看看日志。”我催着他。

小王切到系统日志模块，“奇怪……只记了‘临时管理员账号登录’和‘执行数据库查询操作’。”

“查了哪个表？查了什么内容？没记录。”

这不就是个后门吗？一个可以绕过所有常规审计，悄无声息翻看公司核心数据的洞！

“立刻终止测试！断开测试环境与内网的连接！马上！”我急切的提醒道。

小王也意识到问题严重性，手忙脚乱地操作起来。

我抓起桌上的电话，直接拨给了法务陈总监。

“陈总，OA系统审查发现重大安全隐患！”我语速飞快。

“外包方案里预留了‘超级管理员’临时权限，授权流程不严谨，关键操作日志记录不全，形同虚设！”

“我怀疑这权限能被用来随意访问甚至导出我们所有的数据、审批流程甚至文件！”

电话那头沉默了一秒，传来的是陈总监严肃的声音，“你确定？测试环境断开了吗？”

“确定！王工正在断，刚模拟操作验证了日志缺失问题。”

“那个权限模块名字就叫‘上帝之眼’，感觉设计者根本没把数据安全当回事！”我忍不住加了一句。

“名字不重要，漏洞性质才要命。小林，你做得对，反应很快。”陈总监的声音带着肯定，“立刻把发现的所有问题点、操作记录截图、技术文档相关页，整理成书面报告，加密发我邮箱。”

“我马上向分管领导汇报。这个外包公司，叫‘智捷科技’是吧？”

“让他们负责人下午两点，到我办公室来一趟！我倒要看看，他们这‘智’和‘捷’，用在什么地方！”

“明白！”我放下电话，小王已经把测试环境彻底隔离了，正紧张地看着我。

“林姐，这……问题这么大吗？”

“用户信息、通讯录、所有文件的审批流转记录、甚至可能涉及一些非公开的技术文档编号路径……你觉得呢？”

本章未完，点击下一页继续阅读。