安全专项评估通知不是威胁,是“邀请”。
邀请语气很客气:为保障省试点公共接口安全合规,拟对相关系统开展安全评估。评估方式:现场核验、日志抽检、接口调用检查。评估建议由“合作机构”提供。
合作机构的名字,刘曼一眼就认出来——就是协会指定的那家。
她把邮件拍在桌上:“他们想把安全评估做成新的门票。公开FAQ他们拿不到解释权,就换个口子——安全认证。”
陈毅翻着附件,越看越火:“你看这条——‘建议通过协会推荐机构完成整改并出具证明’。这不就是强制买单?”
林远没急着骂,他把邮件打印出来,拿红笔在上面圈了两个地方:
“建议”
“推荐机构”
“他们不敢写‘必须’,因为联合检查纪要已经压着。”林远说,“但他们会把‘建议’写进内部流程,让你们不得不执行。这就是灰审计:用看似专业的评估,把门票塞进程序里。”
审计旁听官从门口进来,手里同样拿着一份打印件:“市里信息化办已经收到了同样通知。副局让我问你一句——你们准备怎么应对?要配合评估,但不能被评估绑架。”
林远点头:“我们配合,但我们提出三个条件:
一,评估报告必须公开摘要;
二,评估发现的问题必须给出复现步骤;
三,整改建议不得指定供应商或机构,否则视为不当利益输送线索。”
刘曼担心:“他们会同意吗?”
“不同意也得同意。”林远说,“因为我们不单靠嘴——我们有采购条款附录,有旁听纪要,还有联合检查纪要。我们只要把条件写进回函,就变成了程序的一部分。”
他当场拟了一份回函,标题很短:
《关于安全评估配合与公开要求的回函》
回函末尾加了一句:“评估过程中涉及的任何‘建议整改服务’,如出现指定机构或收费门票行为,将同步抄送市场监管线索平台。”
陈毅看着那句,心里发凉:“这等于直接点名开战。”
林远没否认:“他们想拿安全当刀,我们就让安全也被审计。”
第二天,现场核验如期进行。
评估人员来了五个,穿着统一的深色夹克,背着笔记本,看起来很专业。领头的人一进门就开口:“我们只做技术,不参与争议。请把后台权限给我们。”
陈毅冷笑:“权限可以给,但按旁听机制走。所有操作录屏,旁听官在场,日志抽检范围写清楚,超出范围视为违规取证。”
对方脸色微微一变:“你们这是不信任我们。”
“不是不信任。”审计旁听官接话,“是制度要求。你们评估是公共事务,就必须留痕。”
评估开始后,对方很快抛出“漏洞”:他们声称在FAQ接口里能通过参数枚举获取未公开的Release-ID条目,从而推测项目内部信息。
刘曼听得心跳加速:“真有?”
陈毅握着鼠标,强行压住火:“你们给出复现步骤。”
对方说了一串参数组合,像背稿子。陈毅照做——页面返回的是一条固定提示:
“该Release-ID条目未公开。请引用离线口径包或提交查询申请。”
“这不就是权限控制吗?”刘曼差点脱口而出。
评估人员不慌:“你们提示里泄露了条目存在与否。”
林远终于开口,语气平静:“存在与否本来就不应成为秘密。秘密应该是内容。你们所谓泄露,是把‘可追责坐标’当成隐私,这逻辑本身就不成立。更何况——你们说能枚举到‘未公开条目’,请问你们从哪里拿到枚举范围?Release-ID是带盐的哈希索引,不是顺序号。”
这一句问得很硬。
评估人员明显卡了一下:“我们……通过你们页面的历史缓存推断。”
林远点头:“那就按流程走。请提交你们推断依据:缓存来源、获取方式、时间戳。若来源非法,我们将作为线索移交。”
对方脸色彻底难看。
审计旁听官当场记录:“评估方未能提供复现步骤的合法来源说明,记为争议项,需补充材料,否则不采信。”
这一刻,所谓“漏洞报告”反而变成了他们的软肋。
可真正的杀招还没到。
中午十二点,副局长的秘书打来电话,声音压得很低:“林远,省里要开一个‘省版平台刻度’的前置沟通会。你们被点名参加。但有个条件……文件还没发下来,口头风声是——只邀请‘通过协会认证体系’的单位参与。”
刘曼听到“协会认证”四个字,整个人都僵了:“他们把门票抬到省版层面了?”
陈毅一拳砸在桌上:“这就是俘获!不是解释权,是平台入口!”
林远却慢慢把手里的笔放下,像终于等到对手露出底牌:“很好。”
他抬头看向审计旁听官:“请你帮我做一件事——把今天的评估争议项、对方无法说明来源的记录,写进旁听纪要补充件。我要带着这份补充件去省里的沟通会。”
旁听官点头:“你这是要当场掀桌?”
林远摇头:“不掀桌,我只问一句——如果省版平台入口要靠协会认证,那谁来审计协会?”
他顿了顿,补上最后一句,像把钩子钉进下一章:
“他们把门票卖到省里,那我们就把审计也带到省里——让‘门票’在光下碎掉。”
而手机屏幕上,省里沟通会的会议主题刚刚弹出:
《省版平台刻度试点:运营主体与解释权边界》。
喜欢重生2005:我在惠州买地皮请大家收藏:(m.zjsw.org)重生2005:我在惠州买地皮爪机书屋更新速度全网最快。