第526章 运维小门与更新权封死（2/2）

KEY-CUST-01直接把“证书与密钥”的管理，从驻场运维挪到省信息处与银行合规共同托管。任何涉及签发、回滚、应急开关的密钥动作，都要两把钥匙：一把在省里，一把在银行合规。缺一把，操作无法完成，日志自动落地不可改。

何经理听到这条，终于笑了：“这才像风控。”

第三刀：更新包签名。

BUILD-SIGN-01上线后，任何更新（不管是代码、规则、补丁模板、队列策略），都必须变成一个“可验证的包”——带版本号、变更单、影响评估、回滚策略，并由托管密钥签名。没有签名的更新包，系统直接拒收，就算运维进了服务器也改不了“生效链”。

陈毅说得更直白：“以后不是谁能登录服务器谁说了算，是谁拿得到签名谁说了算。”

第四刀：应急通道玻璃柜。

BREAK-GLASS-01把“应急权限”做成真正的玻璃柜：可以砸，但砸一次就全网可见。触发应急必须填“事故编号、风险说明、预计时长、恢复计划”，并且自动通知审计旁听、银行合规、住建联络员三方。应急结束后必须出复盘，否则触发干扰源权重。

“你们这是把应急也制度化了。”佛山信息中心主任感叹。

林远只回一句：“应急是最容易被滥用的权力，不锁死，早晚出大事。”

制度一落，真正的战斗才开始。

当天下午，粤云数科驻场运维经理闻讯赶来，脸色不太好看：“林总，你们这么搞，我们很难保障稳定。运维就是要有通道的，没有通道出事谁负责？”

林远没跟他吵“负责”两个字，他把那张权限日志递过去：“你们通道开得够多了。梁志的权限谁开的？为什么开？开完之后做了什么？”

运维经理看了一眼，立刻打哈哈：“可能是临时支持。我们驻场多，偶尔会协助调整权限——这很正常。”

审计旁听官冷冷补一句：“正常就请给出ops_req_id。没有编号，就不是流程，就是私活。”

运维经理脸上笑容一僵。

林远把话接过去，语气平静得像签合同：“从今天起，所有运维动作必须带编号。你们可以继续驻场，但你们的‘方便’不再是系统的前置条件。”

运维经理咬牙：“那如果系统出现故障，来不及走流程怎么办？”

林远指了指白板上的BREAK-GLASS-01：“玻璃柜在。你敢砸，我们敢公开；你敢公开，我们敢复盘；你敢复盘，就没人敢借故障做文章。”

运维经理沉默了几秒，转身离开。

刘曼低声道：“他走的时候那眼神不对。”

林远点头：“当然不对。钥匙被收走的人，下一步一定会证明——没有他你们就会崩。”