那个发现离职半年员工还能访问公司文件的IT负责人，对企业云盘安全有了新的理解

深夜告警

凌晨一点，某科技公司信息安全负责人林工的手机震了一下。云盘系统的异常访问告警推了过来：已离职员工账号在非工作时间段登录，访问了23份文件，其中包括三个项目的核心文档。

林工爬起来看告警详情，越看越清醒——那个离职员工是半年前离开的，HR说已经完成了账号注销。但云盘日志显示，这个账号的认证token仍然有效，访问没有任何阻碍。

他打电话给IT运维，运维说账号在HR系统里注销了，但云盘和HR系统的账号同步有一个延迟，有时候需要手动二次确认才能彻底关闭权限。半年前那次离职，正好赶上了系统迁移，漏掉了一步。

"文件没丢没泄露，但你知道那种感觉吗？"林工后来跟我说，“就是半夜坐在床边，后背发凉。你以为的安全感，其实是个假象。”

后来他做的那件事，我放到最后说。先把这个故事讲完整。

离职账号的幽灵权限：企业云盘最被低估的安全盲区

这个故事在企业信息安全圈子里不算罕见。我去年走访过十几家制造业和科技公司，问他们云盘权限管理的最大挑战是什么，八成的人会提到"离职账号的权限清理"。

问题出在哪里？出在账号体系和文件权限体系是两套系统，但大多数企业的运维是分开的。

HR系统管人员入职、转岗、离职。IT系统管邮箱、OA、云盘等应用的账号。两者之间靠定期同步或者API对接来保持一致。这个机制在正常情况下运转没问题，但一旦遇到人员变动、系统迁移、或者组织架构调整，就容易出现账号注销了但权限未清理的窗口期。

窗口期内，离职账号的认证信息仍然有效，可以正常登录云盘、访问之前有权限的文件。大多数云盘系统不会主动发现这个账号是"幽灵账号"——它看起来就是一个普通账号，有正常的登录行为，有正常的文件访问记录——除非你主动去查日志，否则根本不知道有这个问题。

更棘手的是另一个方向：权限在，账号没了。有些企业做离职清理时，只注销了员工的工作邮箱和云盘账号，但忘记清理以该员工身份创建的外链分享、共享文件夹权限。结果是这个账号注销了，但那些外链和共享文件夹的权限指向了一个"不存在的人"，既无法正常使用，也无法正常回收。

巴别鸟在权限生命周期管理上有一套对应机制：账号注销和权限回收是原子操作，HR系统触发离职流程后，云盘同步接收指令，账号权限和以该身份创建的所有外链、共享文件夹权限同步回收，不存在先后顺序导致的窗口期。同时，权限回收操作有完整的操作日志，谁在什么时间回收了什么权限，清清楚楚。

外链失控：发出去的文件已经不在你的控制范围内了

说完内部权限，再说说外部分享的问题。这条故事线的另一位主角，是一家工程咨询公司的项目经理老郑。

老郑有一次要给甲方发一份阶段性的技术汇报PDF，通过企业云盘生成了一个外部链接，设置了"仅甲方阅读"。甲方看完之后，把PDF转发给了自己的分包商。分包商看完觉得数据有用，又转给了另一个项目的供应商。一传二、二传四，等老郑知道这件事的时候，那份PDF已经在五个无关的邮箱里躺着了。

"文件链接是发出去的，又不是打印出来寄出去的，我怎么知道它被谁转了？"老郑说，“云盘系统也没有任何提示，就跟这事跟它没关系一样。”

这是外部链接分享的经典困境：一旦文件通过链接发出去了，文件的传播路径就不再受你控制了。

传统的解法是"防君子不防小人"：设置链接有效期，设置访问密码，限制访问IP。这些手段能挡住常规的无意传播，但对于有意转发几乎无效。

巴别鸟提供的方案更彻底一些：外链访问日志完整记录每一次访问的时间、IP和设备信息；外链可以随时吊销，吊销后链接立即失效，不管已经被转发到了哪里；如果发现异常访问行为，比如短时间大量访问或者来自陌生IP的访问，系统可以自动触发外链冻结，同时通知文件所有者。这套机制不能保证文件不被转发，但至少能让文件主人在文件失控的第一时间知道发生了什么，并采取止损行动。

那个信息安全负责人后来做了一件什么事

回到林工的故事。

那次凌晨告警之后，林工花了两个月时间做了一件在他的圈子里没人做过的事：他把自己公司的云盘权限体系做了一次完整的攻防演练。

不是请外部安全公司来做的那种正式渗透测试，是他自己设计了一套"假设我是内鬼"的访问路径模拟。他创建了一个测试账号，模拟了一个有怨气的离职员工的所有可能的访问行为——用残余权限访问敏感文件，用过期外链尝试访问，用共享文件夹路径尝试越权读取——然后把每一条能够成功的访问路径都记录下来，提交给IT运维修复。

"安全公司做不了这个，"他说，“因为他们不知道我们的业务逻辑，不知道哪个文件夹里放的是什么级别的文件，哪些权限变更会导致什么问题。这些判断只有内部人知道。”

那次演练之后，他们公司修复了7个权限漏洞，其中3个是高危的——确实存在离职账号越权访问的可能性，只是之前没人从攻击者的角度去想过。

林工后来跟我说，他的建议是：每家上了企业云盘的公司，每年都应该做一次内部的权限攻防自检。云盘厂商的安全能力再强，也替代不了企业对自身数据访问逻辑的深度理解。安全这件事，最终还是要靠自己。

企业云盘安全选型的几个被忽视的维度

结合林工和老郑的故事，我认为企业云盘的安全选型有几个维度是被普遍忽视的：

权限生命周期管理比访问控制本身更重要。一个能精细控制谁能访问什么的系统固然重要，但如果权限的授予和回收是脱节的，前面的精细控制就全白费了。问清楚账号离职后权限多久能彻底回收，有没有原子化的一键清理机制。

外链日志和溯源能力决定了文件分享出去之后的可控程度。不只是"谁访问过"，还要能"异常访问自动告警"“外链随时冻结”。如果一个厂商的外链管理只剩下"设置有效期"这一招，那说明它的安全能力还停留在上个时代。

内部权限的攻防视角是验证系统安全性的最直接方法。买之前问厂商：你们系统支不支持我模拟一个越权访问场景？你们有没有权限变更的完整审计日志？出了问题我能追溯到什么颗粒度？

本文档由虾条创作 | batch-061 | 2026-04-20