找到機會終於有機會向波蘿蜜補刀
不過對蘋果來說最近仍有事情要忙
假日過後馬上就要進行稽核訪談
不過還好只是做訪談
還沒有實際進行到稽核的階段
所以沒有特別需要擔憂的事情
只需要平常心面對就好了
訪談會議上
稽核員:「那我們就直接開始吧。」
稽核員:「可以先簡單描述一下你的系統是幹嘛的嗎?」
蘋果:「目前這個系統主要是個內部服務的入口網。」
稽核員:「它可以做甚麼用?」
蘋果:「可以查找到公司內部的所有服務」
稽核員:「怎麼驗證是公司內部員工在使用?」
蘋果:「有串接公司的 AD Server 做驗證。」
稽核員:「用甚麼方式做驗證?」
蘋果:「會使用 LDAP。」
稽核員:「同仁離職會刪除使用者資訊嗎?」
蘋果:「如剛剛所說,我們是串接 LDAP,離職後資料也會從 AD Server 移除,自然也無法驗證登入,不過如果是使用者自己所創建的資料可能會保留。」
不得不說只是短短幾句話...
稽核人員的訪談幾乎是處處切到重點
即使不是實際稽核
卻也可以稍微感受到那股壓力
稽核員:「系統只有你一個人在維護嗎?」
蘋果:「目前是的,之前會有個專職的開發人員,不過現在只有 PM 會直接跟我說需求,然後就開始開發或修改。」
稽核員:「後台的登入大家都使用同樣的方式嗎?」
蘋果:「痾...對,平常我們都是使用同一組帳號密碼登入。」
稽核員面帶微笑開始在筆記本上做紀錄
蘋果看著稽核人員
也可以了解他在紀錄的甚麼
只記得 VM 和資料庫層級的帳號要拆開
但是忘了網業本身的服務也要
稽核人員:「平常遇到問題都怎麼排查問題?」
蘋果:「我都會登入系統看 Log。」
稽核人員:「可以麻煩你實際操作一次嗎?」
蘋果熟捻的登入系統
並用文字編輯器打開 Log 檔
稽核人員繼續在筆記本上寫下文字
稽核人員:「資料庫的部分呢?」
蘋果:「我們有分帳號管理,admin 的帳號只有我有,網頁和排程作業沒有操作 DDL 權限,PM 的話有帳號可以更改資料庫架構。」
蘋果突然一緊張
自己張口把系統狀況全盤托出
還好只是一般的訪談
如果發生在實際稽核
可能不小心就會說出自家系統的問題
稽核人員接連詢問關於資料庫的備份、服務的備份、程式碼管理相關的議題
不過前面之後有種陣腳全亂的感覺
本來想要掌控主場優勢
現在完全被牽著鼻子走
稽核人員在最後結束的時候
先簡單對蘋果說明系統的狀況
除了服務的管理也需要拆分帳號
此外 Log 檔放在系統中會是個可被編輯的狀態
這樣可能會被有心人士刪掉
程式碼也不應該套用群組的人都可以查看
林林總總說了很多東西
即使事前有和山竹聊過
不過蘋果實際自己執行一遍
才發現可以調整的部分還是有的
比較意外有被特別提醒的是無實際還原演練計劃
縱使資料庫有定期做備份,也有做到全機和增量備份
不過能不能完整將系統還原仍是個問題
怕是備份不完全導致還原失敗
這樣在發生重大災變時
仍會是個很大的隱憂
稽核員:「詳細的紀錄我們整理完後會再寄給你,也期望有些基本項目都能夠調整到位。」
蘋果:「好的,感謝你,可能最近工作比較忙,所以有些地方疏忽了。」
即使是事實,但蘋果還是試著替自己找台階下
稽核員:「那我們先這樣,對於報告有疑問,也都可以來詢問我們。」
蘋果:「好的,我送你們。」
蘋果送稽核人員下樓
也順便去附近的超商買飲料偷閒...