寓言
铁锁和钥匙册
方姐的铺子越做越大,仓库里分了六个区,每个区堆着不同客户的数据。她给每个区装了一把铁锁,锁分级别——普通铁锁用钥匙开,机密铁锁用指纹加钥匙双认证。她管这套装置叫访问控制:进门先验身份,验过了才能进去。锁是从市面上能买到的最好的锁。
半年后麻烦来了。销售组的小李需要去东区取客户报表,保安查了钥匙册——册子上写着小李有权进东区和南区。保安开了锁,小李顺利取了报表。但实际工作中,小李的岗位三个月前就调整了,早就不该再碰南区数据。钥匙册从没更新过,因为没人通知保安小李换岗了。
同一个月,新来的实习生阿敏被分配去整理西区的旧档案。保安翻开钥匙册,阿敏的名字根本不在册子上。钥匙册里记录的是半年前的编制——那时阿敏还没入职,自然没有她的权限。阿敏在外面干等了两小时,等老员工来开门。锁是好的,册子是旧的。
方姐把保安队长找来,指着钥匙册问:这本册子到底谁在维护?保安队长说,人事只管入职发钥匙、离职收钥匙,部门调整不通知我们。方姐明白了:装了再好的锁,钥匙怎么发、发出去后要不要追回来——那是另一套系统,叫权限模型。锁不会告诉你小李已不该进南区,锁只会检验来人是不是小李。
方姐做了三件事。第一,让每个部门的负责人每季度审核一遍自己部门的人还需要哪些钥匙。第二,钥匙有效期统一设置,到期自动失效,续期须部门负责人确认。第三,离职当天所有钥匙立即作废,不等月底统一办。这三条都是钥匙册的规矩,一把锁也没换。
铺子后来接了一个政府项目,审计师来看安全措施。他们不只看锁多好,主要看钥匙册——谁能开哪扇门、审批记录在哪、离职回收有没有漏掉的。审计师对铁锁只扫了一眼,对钥匙册翻了整整两个钟头。审计报告的第一条整改项不是升级门锁,是补充钥匙发放审批人和二审人签名栏。
方姐总结给全铺子的话:锁是硬件,管你不让我进我就进不去;钥匙册是制度,管你今天还能不能进、你进了该看什么不该看什么。锁坏了半小时能修好,钥匙册坏了半年才发现——发现的那一次可能已经在赔客户钱了。
新保安入职时,方姐带他看两样东西:仓库墙上的铁锁,和桌上的钥匙册。她说:锁可以买最贵的,但钥匙册谁来写、多久更新一次、错了谁负责——这些才是出事时的第一站。锁错一扇门最多丢一间屋的东西,钥匙册错一个区可能丢六个屋。