供应商技术负责人立刻抓住这个点,在群里强调:“这就是我们担心的服务可靠性问题。若严格cn-only且fulllock,遇到cn节点延迟劣化将无法回退,可能导致投递失败。”
这句话听起来像事实,但它其实在挖一个坑:让医院在效率焦虑里主动请求解除围栏或开放回退。只要医院主动开口,供应商就能把后果转嫁给医院:“是你们要求放开。”
林昼看着群消息,没有立刻插话。他先让法务问了一个非常具体的问题:“延迟数据是什么?排队延迟多少秒?是否影响临床核心通信?还是影响某类非关键邮件?请提供监测截图与时间戳。”
原医院信息科负责人回了一张监控截图:队列延迟从平时的1-2秒上升到12-18秒,持续约十分钟后恢复到3-5秒。
十二到十八秒。
这不是灾难,但足够让人紧张。紧张是供应商想要的情绪。紧张会让人接受“例外”。
接收医院信息安全负责人回复得很稳:“我们先按监测评估,不做口头放开。若确需调整,走例外申请链。禁变窗口制度必须优先。”
供应商立刻补:“例外申请链会拖慢响应,导致延迟扩大。”
监管在群里只回了一句:“请供应商提供cn节点延迟劣化的证据与缓解方案。不得以焦虑为由绕过制度。”
这句话让林昼心里松了一点。焦虑不会成为理由。
但他知道,供应商会马上换打法:他们会把轻微延迟说成“重大风险”,把“禁变窗口”说成“影响生命”,逼医院在舆论上被动。
他们最擅长的就是把边界说成障碍。
---
傍晚五点,第三方平台协查联系人突然发来一份“异常事件提示”:冻结启用后,平台检测到两次“高权限变更尝试”,均被拒绝,来源账号为itops_superadmin,尝试动作包括:关闭geofence、修改freezecontroller。
事件时间分别为:162210与162341。
林昼看到这条提示,背脊立刻发凉。
这不是“例外申请”,这是直接尝试关围栏、夺控制权。
而且发生在“延迟焦虑”出现之后不久。
谁在尝试?供应商内部的高权限账号。
目的是什么?把开关拿回来。
第三方平台的提示附带了审计摘要:
*attemptaction:geofenceoff(blockedbyfreeze)
*attemptaction:controllerchangetotenantadmin(blocked)
*sourceip:xxx(已脱敏)
*operatorrole:superadmin
*result:denied
*alertlevel:high
第三方还写了一句:“此类操作通常仅在租户进行系统级维护时出现,不应在冻结期间发生。平台已按监管协查要求保全相关审计事件与来源信息,可供取证。”
林昼把这份提示转给梁组长与法务,手指有些发紧。他不是惊讶于对方会反扑,而是惊讶于对方动得这么快、这么直接。
他们甚至不愿等医院批准例外申请,而是想用超级管理员去硬撬开锁。
撬锁意味着他们已经把“制度”视为敌人。
制度成了敌人,说明制度触到了他们最想保留的灰区。
梁组长很快回:“监管已要求供应商当场解释。并要求供应商提供itops_superadmin账号的授权范围、使用记录、以及操作人员名单。若无法解释,将纳入严重不配合记录,并可能触发更严肃程序。”
林昼看着这条消息,心里却明白:对方会说“误操作”“测试”“自动脚本”。他们永远有词。
所以关键不在于他们说什么,而在于:**第三方平台把撬锁尝试写进了审计,且保全了来源。**这条记录一旦进入取证审计,它就不再是口径,而是证物。
证物会逼出两件事:
*谁拥有超级权限;
*为什么在冻结期间仍有人敢用超级权限。
如果他们能在冻结期间动手,那“禁变窗口”就不安全。
如果他们不能动手却仍敢尝试,那他们在“试探监管底线”。
无论是哪一种,都意味着接下来冲突会升级。
---
晚上七点,供应商终于给出解释:itops_superadmin的两次操作为“自动化健康检查脚本误触发”,脚本设计用于“校验策略一致性”,在检测到“延迟异常”时会尝试执行“回退恢复动作”,但由于冻结已启用,动作被阻止。供应商称已立即停用脚本并提交整改。
这份解释看似合理,却暴露了更危险的事实:他们确实存在一个脚本,能在检测到延迟异常时自动尝试关闭围栏、夺回控制权――哪怕只是“误触发”,也说明这种行为被写进自动化流程里。自动化流程存在,就说明这不是偶然,这是惯例的一部分。
惯例就是:遇到延迟就开回退,遇到风险就夺控制权。
这恰恰是整改要消灭的东西。
监管的回应比以往更硬:“请提供脚本设计说明、触发条件、权限调用方式、近三个月运行记录与审计轨迹。并说明为何健康检查脚本具有系统级超级权限。此问题属于严重安全风险,须纳入第三方取证审计范围。”
供应商没有再说话。
沉默意味着他们的脚本并不干净。干净的脚本敢拿出来,脏的脚本拿出来会露出更多东西:触发条件、权限链、执行日志、甚至历史上曾经成功关过围栏、改过策略。
如果脚本曾经成功过,那就不是“误触发”,而是“暗门”。
暗门一旦成立,这件事的性质会从“流程缺陷”跳到“安全风险”。
林昼感觉太阳穴有点跳。他知道他们正在逼近一条更危险的线:从整改走向取证,从取证走向责任追究。责任追究会让某些人失去工作,甚至失去自由。
失去越近,反扑越激烈。
---
夜里九点半,许景又发来消息:“他们说监管要查脚本,说是因为我‘乱说话’。我现在很怕,他们会不会把锅甩给我?”
林昼看着这句话,心里一沉。供应商与原医院内部一定有人在制造叙事:把升级归因于“证人说话”,让证人自责,逼证人沉默。
他给许景回了一段很短、但很明确的话:“升级是因为系统日志自己说话,不是因为你说话。你只做事实记录,不承担他们的脚本。任何让你背锅的口头指控都要求对方走书面程序,并抄送法务与监管。”
许景隔了一会儿回:“我知道了。”
林昼没有多说。他知道许景需要的不是大道理,是一个可以抓住的抓手:**把锅甩给你,就要求书面;书面一来,甩锅就会留下痕迹。**
痕迹就是反击。
---
晚上十一点,父亲在病房里醒着,似乎睡不踏实。林昼过去时,父亲问:“今天演示顺利吗?”
林昼坐在床边,停顿了两秒,还是选择说实话:“锁上了,但有人想撬。”
父亲的眉头立刻皱起来:“你看,你看……我就说会惹麻烦。”
林昼握住父亲的手,语气很轻:“麻烦本来就在那里。锁上只是让麻烦不能再悄悄发生。以前他们撬得开,没人知道;现在他们撬不开,还会被记录。记录下来,才算真的保护。”
父亲看着他,眼神里有恐惧,也有一点迟疑:“记录……能挡得住人吗?”
林昼说:“记录挡不住坏心,但记录能让坏心付代价。付代价之后,坏心就会收敛。”
父亲沉默很久,手指轻轻回握了一下。那回握很弱,却像一种无声的许可:你别冲动,但你可以继续走流程。
---
凌晨一点,第三方平台又发来一份补充:两次撬锁尝试后,平台触发了“监管协查保护策略”,自动将该租户的系统级变更权限降级为“需双重签名”模式,任何涉及围栏与冻结控制权的操作必须由医院侧控制账号与平台侧协查账号共同签名才能执行。
这条消息像一记闷响落在桌面。
供应商最想要的超级权限,被平台直接降级了。
降级不是监管命令,而是平台按协查条件触发的保护机制。
这意味着,未来即便供应商再想撬,也会被技术手段挡住。
挡住之后,他们能做的只有两件事:
要么退出医疗场景服务;
要么接受规则,按例外申请链走。
退出意味着商业损失;接受意味着灰区消失。
两条路都不好走。
不好走的时候,人会做出最危险的选择:把矛头指向最容易的目标――证人、家属、医院内部的“麻烦制造者”。
林昼看着那条“需双重签名”的说明,心里没有胜利感,只有一种更深的警惕。他知道锁更牢了,反扑也会更尖锐。
他把“撬锁尝试”与“权限降级”两条事件写进索引,写完后在旁边加了一行提醒:
*关键风险:对方可能转向人身施压与舆论施压,需加强证人保护与沟通统一口径(事实、程序、审计证据)
写完,他合上本子,靠在椅背上闭了一会儿眼。脑子里却怎么也静不下来。
冻结开关被按下去的那一刻,冲突就不再是“你说我说”。它变成了“你能不能撬开锁”。撬不开锁,就只能在规则里活;撬开锁,就会被取证,走向更严肃的后果。
规则一旦成形,总会有人试图证明规则无效。
而证明规则无效的方式,往往是让规则付出代价。
林昼在心里把这一天压成一句话:
“禁变窗口的第一场真正考验,不是系统是否稳定,而是有人是否敢在窗口里伸手去摸开关。”_c