第449章 安全评测的名单之争（2/2）

“基线公开的是要求，不是漏洞。”林远回答得很快，“你不公开要求，最后大家只能靠口口相传，反而更乱。我们可以公开控制项，不公开具体IP、不公开密钥、不公开内部拓扑。”

第二条——评测机构不唯一。

“评测可以做，但不能指定唯一机构。”林远把笔落在纸上，“评测机构的资格条件可以写：必须具备国家认可的测评资质，必须独立于运营服务采购。任何满足资质的机构都可以出报告，报告格式统一，内容统一，结论互认。”

评测机构代表脸色微变：“互认会导致水平参差。”

林远点头：“所以第三条——报告必须留痕。”

他把第三条念得像审计条款：“报告不只给结论，必须附证据摘要：扫描时间窗、配置核对项、关键日志摘要哈希、整改项清单编号。我们不要求公开全部细节，但必须能让银行和审计复核：你评过什么、什么时候评的、依据是什么。”

审计联络当场点头：“这条能落。没有摘要就无法抽查。”

第四条——抽查复测常态化。

“为了防止‘买报告’，我们引入抽查复测。”林远说，“省里可以随机抽取一定比例城市或项目，进行复测。复测不一定由同一家机构做，甚至可以交叉复测。复测不通过，触发整改工单与抽检升级，但不搞一刀切停用。”

银行何经理补了一句：“这才符合风险管理：不惩罚故障，惩罚不解释、不整改。”

数科副总开始转向成本：“抽查复测会增加成本，城市会觉得负担重。”

“成本可以控。”林远把话接住，“我们可以把安全评测拆成两段：接入前做基线自查+最小评测，接入后做抽查复测。城市不用一次性花大钱买全套报告。评测费用也要走公开成本拆解与封顶，不能变成闸门溢价。”

咨询公司总监这时候换了个更“狠”的问法：“如果不指定机构，出了事谁担责？省里需要一个抓手。”

林远没有回避这个“抓手”问题——因为他知道对手最想用它推动名单。

“抓手不是机构，是责任链。”林远把那张《责任链》翻出来，“出了事，我们追四样：一，是否符合安全基线；二，是否有评测摘要留痕；三，是否按工单整改闭环；四，是否有复测记录。谁没做到，谁担。你指定机构只能指定一个背锅对象，但背锅不能替代证据链。”

网安联络沉默了几秒，终于说了一句更像结论的话：“如果基线清晰、留痕可复核、抽查可复测，那确实比指定机构更稳。”

周秘书长见风向不对，开始把话往“名单建议”上收：“那也可以不叫指定，但省里可以出一份推荐名单，避免乱。”

“推荐可以。”林远没有一刀切否掉，“但推荐名单必须开放：任何符合资质的机构都可申请进入，且推荐不等于唯一。并且最关键一条——推荐名单不得与采购服务目录绑定，不得出现‘只有用推荐机构才开接口’。”

这句话把闸门拆得干净：你可以推荐，但你不能把推荐变成门槛。

会议拖到中午，副处长终于总结：“形成意见：安全评测不作为唯一机构指定；建立公开安全基线附件；评测报告统一格式，需附证据摘要；引入抽查复测机制；镜像接口开通以满足基线为前提，评测机构可替代，推荐名单开放申请，不得与服务目录绑定。”

数科副总脸色不太好看，但也没有再硬顶。他知道，银行和审计已经站在“可复核”的这一侧，一旦文件落地，他再想用名单做闸门，就会被外部指引卡住。

散会时，评测机构代表在走廊上拦了林远一下，语气倒不凶：“林总，你这样搞，市场会很乱。我们中心的权威会被稀释。”

林远看着他，语气平静：“权威不是靠门槛，是靠抽查。你们真权威，就在复测里赢。你们如果靠名单赢，那就是闸门，不是安全。”

回到车上，陈毅发来一条更新：

“他们在群里改口了：不说‘指定机构’，改成‘推荐机构优先开通接口’。”

林远看着那句“优先”，笑了一下——笑得很浅。

优先也是闸门的另一种说法：你不在名单里，你就慢；你慢一次，项目就会逼着你买；买着买着，优先就变成必选。

他给陈毅回了四个字：

“把优先删。”

紧接着又补了一句更长的：

“接口开通条件只能是‘基线满足+留痕齐全’，不得出现任何与机构名单相关的优先级。我们把这条写进章程附件和银行指引。”

车窗外，省城的高架像一条条灰色的线，把城市切成不同的层级。林远忽然想到：这就是制度升级的真实样子——你以为堵住了价格闸门，对手就会换成安全闸门；你堵住安全闸门，他们还会换成别的闸门，比如“培训认证”“数据治理成熟度”“运维评分”。

但每一次闸门被拆掉，公共系统就多一段真正的路。

下一章，真正的刀会更细：**“优先开通”**这种词如果写进附件，就会变成默认规则；而默认规则，比明目张胆更难打。

林远把车开向办公室，心里已经在起草下一份Lt规则——不只是红标词，而是红标逻辑：凡将权力、时效、通过与某个机构绑定的，一律视为闸门。

他知道，纸上的战争还没结束。

但他也知道，至少今天，“安全”这个词没有被拿去收过路费。