一个让人后背发凉的权限事故
2024年下半年,某家医疗器械公司的IT负责人老钱跟我讲了一件事。他们公司上云盘不到半年,发生了这么一件事:新来的实习生有权限下载到公司所有产品的三维模型文件,这些文件包含核心产品的外观设计数据。后来内部审计时才发现这个权限漏洞,距离事故发生已经过了四个多月。
"权限我们当时设了,也检查过。"老钱说,"问题在于我们用的是文件夹级别的粗粒度权限,一个文件夹设了读写权限,里面所有子文件夹都继承了。实习生进了项目文件夹,理论上就只能访问这一个项目,但实际上通过文件夹结构绕到了其他项目目录。"
这个场景不是孤例。我接触过的制造业、建筑设计院、科技公司里,至少有六成以上的权限事故,不是"没设权限",而是"权限粒度不够细,设了等于没设"。
权限体系的两层楼:身份认证与访问控制
在说具体踩坑之前,先把权限体系的技术架构理清楚。企业的文件权限体系通常分为两层:
第一层是身份认证层(Authentication),解决的是"你是谁"的问题。员工登录云盘,身份认证系统确认他的账号和身份。这一层的常见方案包括LDAP同步、企业微信/钉钉/飞书单点登录、SAML/OIDC联邦认证等。
第二层是访问控制层(Authorization),解决的是"你能干什么"的问题。身份确认之后,系统根据预设的权限规则,决定这个身份能访问哪些文件、能做什么操作------读取、下载、编辑、删除、外链分享。这一层是权限体系的核心,也是最容易出问题的层。
大多数企业云盘的权限体系在这两层上的投入是失衡的:身份认证层做得越来越花哨,访问控制层却长期停留在"文件夹读写/只读/禁止访问"三档粗粒度控制。厂商愿意在身份层讲"统一认证""一键集成"的PPT故事,因为这个好演示、好看。访问控制层的精细度不够,PPT上写不出来,用户买了之后才会慢慢发现。
踩坑一:RBAC模型的局限性
早期企业云盘普遍采用RBAC(Role-Based Access Control,基于角色的访问控制)模型。管理员先定义角色------管理员、编辑者、查看者------然后把用户分配到不同角色,角色绑定文件夹权限。
这个模型的优点是简单,缺点是颗粒度不够。
举一个真实的踩坑场景。某工程公司有一个"供应商往来文件夹",里面有不同供应商的报价文件。采购部的人都要能访问这个文件夹,但采购经理希望:自己能看到所有供应商的报价,采购专员只能看到自己对接的供应商的报价,普通员工只能看到已定标的结果,看不到报价过程。
用RBAC模型,管理员需要为每个供应商的子文件夹单独创建一个角色,然后把对应的人分配进去。如果有50个供应商,管理员就要维护50个角色,用户换岗或者供应商关系变化时,还要逐个调整。这是一个运维噩梦。
更让人崩溃的是,RBAC在处理"临时权限"时几乎没有好办法。外部审计人员要来审查文件,给一个临时访问权限,用完要收回,RBAC模型下通常只能建一个临时账号,审计结束后再删除。审计频次高的话,账号管理就成了一笔糊涂账。
踩坑二:权限继承引发的越权访问
权限继承是另一个重灾区。
在文件夹树形结构里,子文件夹默认会继承父文件夹的权限。这是大多数操作系统和企业云盘的默认行为,好处是减少了重复配置,坏处是继承链路一旦被利用,越权访问就发生了。
上文老钱遇到的情况就是这个问题的典型案例:新来的实习生有项目文件夹的访问权限,通过文件夹结构的逻辑关系绕到了不在授权范围内的其他项目目录。问题根源在于:权限体系只控制了文件夹级别的入口,没有控制文件夹内部的访问边界。
更隐蔽的踩坑场景是这样的:某设计院的项目文件夹结构是"项目总文件夹→各专业子文件夹→版本文件夹→交付物文件夹",管理员在项目总文件夹这一层设置了"全员可读",意味着下面所有子文件夹理论上都是全员可读的。如果某个交付物文件夹里有一份尚未公开的专利文件,设置"全员可读"就等于把这家公司的核心知识产权开放给了全院所有员工。
巴别鸟的权限体系在这类场景里有一个关键设计:权限继承可打断。管理员可以为任何一个层级的文件夹单独设置权限规则,打断向上继承,并且可以设置"黑名单"规则,明确禁止某些用户或某些角色访问特定文件夹,哪怕父级文件夹是开放的。这套机制在技术实现上并不复杂,但很多云盘厂商因为产品架构的历史包袱,一直没能提供这个能力。
踩坑三:外部链接分享的权限边界
企业云盘有一类特殊的权限场景------对外分享。当你要把一个文件发给外部合作方、客户或者审计机构的时候,权限体系实际上延伸到了企业边界之外。
这个场景下的踩坑案例太多了。
某公司销售给客户发了一个产品方案PDF,链接设置了"仅查看"。客户看完之后,把PDF转发给了竞争对手------销售不知道,客户没说,云盘系统也没有任何告警。后来发现,那个链接的有效期是"永久",只要知道链接就能访问,而"仅查看"限制的是不能在线编辑,不是不能下载。
另一个常见问题:外部链接的权限是独立的,和企业内部的权限体系是两套逻辑。员工在内部文件的权限是"仅编辑",但对外分享时可以改成"可下载可编辑",企业内部的权限控制实际上被绕过了。很多企业云盘在这个环节没有做严格的权限上界限制------员工对外分享时,权限可以比内部权限更高,而不是更低。
巴别鸟对外链分享的权限控制做了严格限制:外部链接的权限上限由管理员预设,员工不能超出上限设置。比如管理员设置对外分享最多只能给"仅查看"权限,那么员工无论怎么操作,分享出去的链接最高权限就是仅查看,无法改成下载或编辑。同时,外部链接可以设置访问密码、有效期、允许访问的IP范围,并记录完整的访问日志,出现异常访问时可以溯源。
实战:帮制造业客户做权限体系重构
我去年参与了一个制造业客户的权限体系重构项目。这家客户有三百多人,文件服务器用了十多年,迁移到云盘的同时希望把权限体系彻底重建。
他们的核心需求是三句话:第一,内部员工按岗授权,不看职位看职责;第二,外部合作方按项目授权,用完自动收回;第三,所有敏感文件夹的访问留有记录,出了问题能查。
我们花了三周时间做权限架构设计,最终方案的核心逻辑是职能模块+项目维度双层权限矩阵:
职能模块维度,按照供应链、研发、生产、销售、质量五个模块划分,每个模块内部再按专业分组。研发模块下的结构组可以访问结构图纸,但不能访问电气图纸,除非显式授权。
项目维度,所有项目文件夹的根目录权限默认关闭,新员工加入项目时由项目经理显式添加权限,项目结束三十天后自动回收。
外链权限统一由IT部门管理,业务部门需要对外分享时提交申请,审批通过后由IT部门生成有时效的外部链接,所有外链访问记录进入日志系统。
上线三个月后,他们做了一次内部权限审计,异常权限事件从之前每月十几起降到了零起。IT部门的工作量反而降低了------因为权限回收从手动变成了自动化,管理员不用再追着离职员工的账号和权限不放。
选型建议:问清楚这五个权限问题
如果你正在选型企业云盘,建议在评估阶段就权限体系问清楚这五个问题:
第一,权限颗粒度最细能做到什么层级?是文件夹级别,还是文件级别,还是版本级别?
第二,权限继承链可以打断吗?子文件夹的权限可以独立于父文件夹设置吗?
第三,外部链接的权限上限由谁控制?员工可以自行突破企业内部权限上限吗?
第四,权限变更的生效时间是实时的还是需要同步延迟?紧急回收权限时怎么保证已授予的访问被立即切断?
第五,权限变更有没有完整的审计日志?日志保留多久?能不能导出?
这五个问题问完,你大概就能判断这家厂商的权限体系是"功能完善"还是"功能看起来有但实际是花架子"。
本文档由虾条创作 | batch-061 | 2026-04-20