签名过程留痕可审计
“签名密钥由省信息处管理没问题,但必须双人保管。”林远看向副处长联络员,“一个在住建信息处,一个在银行旁听或审计旁听。不是让银行管省里,是让省里在外部约束下管好自己。密钥可以放HSM,启用双人授权,签名动作自动留痕。运营方只能跑沙箱,不能签结果。”
何经理点头:“我们可以承担旁听确认,不介入内容,只确认留痕。”
审计联络也补一句:“审计确认的是过程,防止密钥被滥用。”
数科副总皱眉:“那我们承担运维风险,却没有签名权,责任怎么划?”
林远回答得很现实:“你们的责任是可用性与性能,签名权的责任是公信力。你们要公信力,就会想要闸门;你们要规模利润,就把可用性做好,把队列跑顺。别把两种责任绑在一起。”
第四段:验真接口、可复测抽查。
“所有标签都必须可验真。”陈毅把验真接口的原型贴出来:输入标签编号(Conform-L1@v0.1.3)返回是否有效、签名摘要、时间窗、对应测试套件版本。验真不返回细节,不泄露数据,只返回“真伪”。
“此外,抽查复测常态化。”林远补,“通过不是永久通过。标签有效期写死:比如L1有效90天,L2有效60天。期间随机抽查复测,发现‘跑一次就躺平’、发现‘代办责任席’、发现‘异常模板聚类’,直接触发复测加密与整改工单。”
咨询总监听到有效期,立刻反击:“这会增加企业负担,机构会反感,市场会抱怨。”
“抱怨是正常的。”林远看着他,“真正的合规从来不靠一次盖章。一次盖章最像门票。你们想把认证做成门票,才会讨厌有效期;你们想把能力做成标准,就会接受持续抽查。”
副处长联络员沉默了一会儿,终于把结论写在白板上,像盖章一样简短:
1)沙箱由数科公司提供基础设施,省信息处牵头治理;
2)测试用例公开判定逻辑,不公开敏感配置;
3)沙箱队列看板公开,禁止名单优先;
4)标签结果由省端密钥签名,双人保管,过程留痕;
5)验真接口上线,标签有限期,抽查复测常态化。
纪要刚写完,试点城市的运维代表举手,问了一个最接地气的问题:“那我们什么时候能用?我们现在招标第三方,必须有一个可用的标签机制,不然采购没抓手。”
陈毅直接答:“两周内上线L0和L1;L2对抗测试先在试点跑,先不对外开放。队列看板跟接口开通队列共用框架。”
“别写两周。”林远提醒陈毅,转向联络员,“文件里写清楚:上线节点、回滚方案、以及‘试行期间不作为准入门槛,只作为能力标签’。先让市场跑起来,别一开始就把标签变成许可证。”
何经理也补一句:“银行也同步:试行期不把标签写成授信前置,仅作为风险提示参考。”
这两句“先不当门槛”,等于在制度里先打一个缓冲区——不给对手把标签立即变成闸门的机会。
会后,走廊里,数科副总把林远叫住,语气压得更低:“林总,你这套做下来,谁都能过标签,那我们还能赚什么?我们投这么多。”
林远看着他,回答得很慢:“你们能赚两样:一是规模化运维的效率钱,二是帮助别人更快通过的辅导钱。你们赚不到的,是钥匙的钱。钥匙的钱会让你们变成政治风险。”
副总没再说话。
当晚,陈毅在群里贴出第一版“沙箱队列看板”的截图。队列里第一个申请机构不是大厂,不是协会推荐名单,而是一家清远本地的小系统集成商,名字很不起眼,申请层级L0。
赵工在群里发了条消息:“如果他们能过,说明标签不是门票。”
第二天上午十点,队列看板更新:该机构L0通过,标签生成:Conform-L0@v0.1.3,验真接口可查。
群里一瞬间安静了几秒,随后有人发了一个“OK”的表情。
林远看着那条通过记录,心里没有兴奋,只有一种踏实:制度要证明自己不是门票,最好方式就是让“没人脉的小公司也能过”。
但他也知道,对手不会放过这套机制。公开用例意味着会出现“答案包”,公开队列意味着会出现“占坑”,签名机制意味着会有人尝试“重放签名”。
果然,下午匿名入口又进来一条线索:有人开始兜售“测试套件预跑包”,声称“提前跑一遍就能过”,还附了一个压缩包链接截图。
陈毅把线索转给林远,问:“要不要立案?”
林远看着“预跑包”三个字,轻轻点头:“立案。但别去抓人——我们用制度把它废掉。”
他抬头看白板,写下下一章要做的事:
用例轮换可复核
结果防重放
占坑成本公开
“下一章,我们要让答案包变得没用。”林远说,“让他们知道:你可以买辅导,但你买不到通过。因为通过是发生,是留痕,是可复核。”
---
喜欢重生2005:我在惠州买地皮请大家收藏:(m.zjsw.org)重生2005:我在惠州买地皮爪机书屋更新速度全网最快。