事件,版本从v3.1切换到v3.1-hotfix。时间在转运前一天。操作者账号为‘vendor_ops_07’。原医院信息科说他们没有这个账号。”
林昼的心跳加快。v3.1-hotfix意味着供应商曾在转运前一天做过紧急补丁。紧急补丁后又在转运当夜回滚到v2.9。热修复、回滚,这是一套典型的运维事故处置链。如果他们把某个策略包改成更“干净”的行为模式,再回滚到旧版执行“照做”,就能在日志里伪装成“故障处置”。
但原医院信息科说“没有这个账号”,说明账号属于供应商,并且可能绕过医院的可见权限。这将把“医院内控”与“供应商权限”之间的边界撕开。
林昼回:“把‘vendor_ops_07’写入笔录。询问:该账号权限级别是什么(观察/策略/回滚)?是否需要医院授权?是否在合同里备案?是否有登录IP段(可哈希)?是否存在境外中继节点路由特征?这条能直接连接东京回路。”
梁组长回:“供应商同意说明该账号属于驻场工程师,但拒绝提供登录IP,称涉及个人隐私与安全。”
林昼回:“IP可以哈希或掩码,不必暴露完整。至少提供‘登录区域/节点’(境内/境外/东京中继)与‘是否通过中继’字段。否则‘境外中继节点’无法核对。”
梁组长回:“监管要求提供‘是否通过中继’字段。供应商说系统没有记录中继信息。”
林昼冷笑了一下,但只在心里。系统怎么可能没有记录中继信息?只要经过中继,就会有路由痕迹。说没有,可能是他们不想提供,或他们把日志拆分在不同系统里。拆分也是一种隐藏:把关键字段放在另一个你看不到的审计系统里。
他回:“记录供应商声称‘无中继记录’。同时要求说明:中继节点属于什么层(网络加速/CDN/VPN/跳板机)?若是跳板机,必有跳板日志;若是CDN,必有边缘日志。让他们提供最小证据:中继节点清单与用途。”
梁组长回:“监管记了。”
十一点二十,梁组长发来一句:“原医院信息科开始推卸,说他们只负责业务系统,邮件网关运维完全由供应商托管。供应商说托管是合同约定。
本章未完,请点击下一页继续阅读!