概览
基金会是一家绝密级的全球组织。我们收容了数以千计的异常,运作着数以百计的计划与行动。因此,所有情报都要区隔化处理;不是所有人都有权知道所有事。所以我们才要制定安保许可等级——如果你拥有军队或NSA背景,你大概不会对此感到陌生。
| 人员安保许可等级 |
|---|
| # | 分级 | 人员 |
|---|---|---|
| 0 | 无权限 | 受雇于低安保岗位(如前台公司等)、或其他不需要接触异常相关数据的人员。这些人员会收到基金会的薪酬,但并不必然知晓内情。 |
| 1 | 未受限 | 需要了解异常的人员,但不能访问研究或技术数据。高安保站点(如Site-19)要求全体人员至少拥有1级权限。 |
| 2 | 受限 | 人员需要了解一份或多份文件中的研究和技术数据。该权限被给予需要直接应对文件内容物的研究员、工程师、技术员、守卫以及特工。 |
| 3 | 保密 | 在基金会担任高级职位的人员,负责管理团队和/或计划。高级研究员、监督员、项目管理员、战术响应队一般具有此权限。 |
| 4 | 机密 | 需要接触高敏感战略数据及相关情报的人员。一般仅给予站点主管、部门领导人、项目领导人以及战略指挥官。 |
| 5 | 顶级机密 | 需要最大程度接触相关文件及行动的人员。专门为高级别地区主管、伦理委员会全体人员以及监督者保留。 |
| 6 | 宇宙绝密 | 没有任何人员持有此权限;只用于文件和特定项目中。 |
这些等级非常简单,便于在日常工作中记忆;你的上级拥有的权限许可比你高,你的下属权限许可比你低,而跟在你团队身后拖地的勤杂工权限最低。
不过,你可能也会好奇:你的级别其实并不能让你有权查阅所有的同级别项目。如果你是一位2级研究员,你并不会自动地有权访问所有2级文件——但如果你是一位2级响应处置员,那你一般就能了,因为你需要查看脱逃异常的特殊收容措施。这些级别和基金会职场文化中的阶级一般是同义词,因此又增加了几分迷惑。
简单来说,你的安保级别是访问特定信息的必需条件,但并非唯一条件。你还需要处于正需要使用此信息的状态下,或者是因其他正当理由而需要接触它。例如,对于基金会机密,一位高级别站点主管能掌握极大的情报“广度”,但一位低级外勤特工也能掌握(相对于其职位而言)极高的情报“深度”——特工们需要了解的高敏感信息,站点主管并不需要;即便这位特工就是在前述主管的手底下工作。
因此,所有基金会雇员都需要深刻理解自己享有、不享有哪些需知访问权。绝大部分员工不会直接处置异常,即便他们需要,每次也不过寥寥几项;而如果你要处理的数量超过了少数几个,你就会拥有足够高的权限,让你能够搞到所需要的信息。
然而,如果你就是执行这套安保制度的人员,这就不是那么管用了。你在这的原因可能是因为你是守卫,需要了解如何在安保检查点对人员进行检查;或者你是一位RAISA档案员,需要更新雇员或文档记录。事实上,基金会有一套更为稳健的安保权限编码系统。这些编码内容如下。
员工权限概况 (PCP)
基金会中所有具备安保权限的雇员都有一个PCP编码,用于标识其在不同项目中的, 最大访问等级。它经常被忽视,但你可以在你的ID卡上看到它,以小字印在最底部。常规的PCP码格式如下:
X#-#/DIV-#/DOC-@LOC
构成要素
[X] 人员等级: 人员会根据其个人重要性被赋予等级。等级以一个字母指代。这不被视为安保权限的一部分——它的用途是安保检查,确保高价值人员能够规避与危险异常的交互。
| 人员分级 |
|---|
| 级别 | 描述 |
|---|---|
| D | 低价值人员,被用于危险(但低技能要求)的场景中。一般不会使用,D级人员很少需要掌握安保权限。 |
| C | 处理日常运作的一般人员。 |
| B | 参与局部或设施运营的重要人员,在收容突破时必须护送其离开站内。 |
| A | 对运营有关键作用的高价值人员。除非有安保优越权,不得使其进入存在危害性异常的设施。 |
| O | 特指监督者(Overseer)。基金会的最高级别行政人员。 |
[X] 全域权限: 这是一位雇员对整个基金会所有文件的默认访问等级。大部分雇员的全域权限非常低,非行政人员一般是0级或1级。
[#] 部门权限: 这是一位雇员对其所在部门内所有文件的默认访问等级。这可以对应一个最高级别部门(诸如研究或收容)、某个细分部门、某个具体的项目或行动。雇员的部门权限总是要比其全域权限更高——相对于来自于其他部门的文件,身在人力资源的人员当然需要查阅更多的HR档案。
备注:雇员的安保权限等级在简写时一般就是其部门权限。对其所处的具体项目或部门而言,一位“3级”人员就是拥有3级权限。
[DIV] 部门名称: 标明该雇员所持权限的对应部门。最高层级部门以三字母代码表示,其他具体项目计划以四到六字代码表示。
| 部门代码示例 |
|---|
| 研究 | RSC |
| 收容 | CNT |
| 安保 | SECR |
| 模因学 | MEME |
| Site-17人力资源 | HR17 |
[#] 局部权限: 这是一名雇员对单独文件和档案的具体访问权。雇员的局部权限总是要比其部门权限更高——相对于部门中的其他档案,雇员当然需要对其正在处置的异常有更多了解。
[DOC] 文件名称: 这些是指雇员在其局部权限下可以访问的特定文件。这一部分以SCP档案编号指代。例如,文件事故 096-1-A可以自动地在3/096级权限下访问。
不处置异常的行动也有其独特的三到四字母代码——例如,2/NSG权限就能访问处在访问秘钥“新闻汤垃圾”下的文件。它们并不总是有些酷炫名字。
备注:并非所有雇员都有部门或全域权限。无全域权限应当以“0”表示,而部门权限应当予以略去。反过来说,如果对特定文件的局部权限并未超过其部门权限,也应予以略去(和部门之于全域相类似)。
[LOC] 地点:安保检查站职员用以确保该雇员不会闯入首先区域。此代码一般基于雇员所驻守的站点来赋予,用一个大写字母表示其所在地点的类型。可使用小写字母区分具有相同编号的多个地点。 (例如Site-45a位于澳大利亚,而Site-45b位于内华达)
| 地点代码 |
|---|
| S | 站点(Site) |
| X | 分区(Sector) |
| A | 区域(Area) |
| Z | 地带(Zone) |
| U | 单元(Unit) |
| O | 前哨(Outpost) |
| P | 临时站点(Provisional Site) |
句法
下列标点符号在代码中被用于表示不同情况。
| / | 表示权限等级适用于特定部门或异常。 |
| - | 大分隔符,用于隔开不同层级的多种权限(分隔全域与部门、部门与局部)。也被用在地点识别号之间用于分隔多个地点。 |
| . | 小分隔符,用于隔开同一层级下的多个安保权限(分隔不同部门、不同局部文件)。也被用于子地点的地点识别号中。 |
| , | 用于表示对多个异常有相同安保等级。 |
| @ | 用于将地点识别号和其余代码区隔开。 |
为良好运用句法,在PCP编码中应当把权限从左到右递减排列,即便是对于同一层次的不同权限等级也应如此。还有,请勿使用空格。这会搞乱我们句法的语法结构。
示例
技术员(1级)
C0-1/CNT19-2/173-@S19.X4
这是一位C级人员,对整个基金会的所有文件没有默认访问权。此人对Site-19收容部门的文件有1级默认访问权。此人对SCP-173及其相关文件有2级访问权。此人驻守在Site-19的Sector-4。
研究员(2级)
C0-2/RSC19-3/173-@S19.X4
这是一位C级人员,对整个基金会的所有文件没有默认访问权。此人对Site-19研究部门的文件有2级默认访问权。此人对SCP-173及其相关文件有3级访问权。此人驻守在Site-19的Sector-4。
监督员(3级)
B1-2/ADM.3/RSC19-4/096.5/173,682-@S19
这是一位B级人员,对整个基金会的所有文件有1级默认访问权。此人对行政部门文件有2级默认访问权,且对Site-19研究部门的文件有3级默认访问权。此人对SCP-096及其相关文件有4级访问权,且对SCP-173和SCP-682的文件有5级(完全)访问权。此人驻守在Site-19。
站点主管(4级)
A3-4/ADM-@S19-S17
这是一位A级人员,对所有文件有3级默认访问权。此人对所有行政部门文件有4级默认访问权。此人没有未囊括在其他权限内的特定文件访问权。此人驻守在Site-19及Site-17。
监督者(5级)
O5
这是一位监督者,对全部文件有5级默认访问权。由于其默认权限已经足以完整查阅整个基金会的所有文件,故不再需要增添其他特定权限。他们不会驻守在任何一个特定设施。
文件权限概况(DCP)
对大部分地点及SCP文件的访问而言,PCP编码系统已经足够稳定——一般来说,你会看到一份文件标有“1级机密” 等内容,而这表示任何具有1级权限(全域、部门或局部)的人员都可以查阅它。然而,有时这还是不够好。一份文件内可能包含高度敏感信息,你完全不想让局部权限之外的人员查阅它。与此正相反的情形也很常见:一份文件需要被多个有不同级别的人员查看,但又没有完全解密。
因此,每一份尚未对公众彻底解密的基金会文件都要有一个DCP编码——标明查阅它所需的最小特殊权限。换句话说,PCP编码标明了“谁”可以访问“什么”,而DCP编码就标明了“什么”可以被“谁”访问。这些编码一般只被用于数字文件的后端(诸如SCiPNet数据库),但也常常被印在纸质文件和文件袋上。常规的DCP编码格式如下:
G#-#/DIV-#/DOC-(X)
组成要素
[#] 所需全域权限:雇员在不属于文件所涉及的局部项目、又不属于其所涉及的部门时,访问此文件所需的权限。完全解密文件的全域权限为0,表明任何人员都可以随意查阅它。(其最小全域权限为0)
[#] 所需部门权限:雇员在不属于文件所涉及的局部项目、但确实属于所涉及部门时,访问此文件所需的权限。这是为了方便需要访问众多文档的监督员和检查员,以及需要与其他团队分享数据(或者对异常进行交互测试,但愿不是这样)的研究员。
[DIV] 部门名称:同上。表示雇员在访问此文件时需要隶属的部门。例如,它可能对站点研究部门是1级,或者对站点安保部门是2级。这一条件总是比全域权限要求更低——隶属于该部门的人总会有更正当的理由查阅它。
ANY标签表示在任何部门拥有该权限等级的人均可访问。在文件需要对处在同一薪资等级的所有雇员开放时,这一标签就极度实用,如此便不需要修改其全域权限、以至意外引发未授权访问。
备注:有些人(一般是程序员)有时候会来问我,为什么DCP编码要从全域排到局部,从优先级来说反过来排列才更有条理。答案是这套系统创立于1947年。我告诉过他们,我完全可以在一小时内把它修复,但这似乎会让整个数据库崩溃掉。
这也是我们不能有G级人员、从F直接跳到了H的原因所在——“G”表明这是一个DCP,如果用在PCP里就会破坏我们的语法。RAISA为此不得不与站点主管委员会掐了一架。他们什么都愿意,除了修复我们这个没用的Perl“传奇”后端。
[#] 所需局部权限:在雇员属于特定团队或处置特定异常时,访问此文件所需的权限。这一条件总是比部门权限要求更低,如果你正在处置该异常的过程中,那相比于同一部门内在别处工作的人员而言,你当然更有理由了解它。
[DOC] 文件名称: 同上。这里标示了文件本身所涉及的类别、异常或者具体行动。
备注:大部分文件只受一个权限(局部、部门或全域)保护。不过,某些文件,尤其是特别敏感的那些,会设置更繁复的要求。如果一份文件在抬头处列有权限等级,一般会是部门权限——局部权限就太过颗粒化,有些多余了。
[X] 文件危害: 标明文件中是否包含有任何的异常性危害。
| 危害标志 |
| ! | 认知危害 |
| i | 信息危害 |
| x | 模因抹杀触媒 |
| # | 数字危害或恶意软件 |
| * | 文件内收容异常 |
句法
下列标点符号在编码中被用于表示不同情况。
| / | 表示权限等级适用于某个特定部门或异常。 |
| - | 表示访问时需要有一种权限或其他权限。也被用于分隔危害警告。 |
| + | 表示访问时需要有一种权限和其他权限。比或算子有更高优先级。 |
| [ ] | 用于表示优先级,可以编写出更复杂的表达。可别乱用。 |
| ( ) | 将危害标志和文件区别开。 |
于PCP编码不同,DCP编码的权限排列从左至右依次递减。
示例
SCP-173
G1-1/ANY
对具有1级全域权限或1级部门权限的人员开放访问。
SCP-7000,3级文件
G4-3/ETTRA-3/DATA
对具有4级全域权限、3级ETTRA权限、或3级分析学部权限的人员开放访问。
SCP-7000,5级文件
G5-5/ETTRA
对具有5级全域权限或5级ETTRA权限的人员开放访问。
G4-3/ADM-2/CTN+2/OPS-1/083D
对具有4级全域权限、具有3级行政部门权限、同时具有2级收容部门及2级运营权限、或者具有1级SCP-083-D权限的人员开放访问。
SCP-001(引导页)
G5-4/ADM-4/RSC-3/001-ANY-(x)
对具有5级全域权限、4级行政部门权限、4级研究部门权限、或者对任何SCP-001有3级权限的人员开放访问。受模因抹杀触媒保护。
这是做什么用的?
为什么文件和雇员ID需要这些冗长、语法复杂的权限编码,原因非常明显;但你了解这些后,又能拿来干什么用呢?
- 如果你是研究员,你可能想知道在你的文件开头要插入哪种权限等级。答案是部门权限要求,用于标明你的部门中除直接团队外有谁可以查阅。
- 如果你是一位监督员或管理员,你会经常需要快速表达谁对你项目中的哪个部分掌握有情报,且不需要口头说出来。
- 如果你是一名守卫,你需要知道谁有许可凭证访问安保检查点和受限区域。
- 如果你是负责处理安保突破的职员,你需要掌握正确解读雇员许可凭证的能力,而后才能甄别未授权闯入之人并予以射杀。
- 如果你负责数据安保,所有人和他们的狗都会来找你更新文件的DCP编码。
- 如果你是个彻底的怪胎,你来阅读这些大概是单纯找乐子。
但在大部分情况下,你不需要为此担心。你大可以用你的标准安保级别在你的下属面前夸耀自己。
另见: