06:52,天色还带着一点未醒的青灰。周砚在出租屋的小桌前坐了十分钟,咖啡没喝完,手机屏幕一直亮着——他在等两个东西:信息安全部对USB设备ID的阶段性检索结果,以及HR那份“岗位调整沟通会纪要”的正式版。
两者都不是“结果”,却都能决定接下来一整天的战场走向。
纪要决定他在公司内部的合法位置;设备归属决定302追溯能不能从“无法确认”推到“必须确认”。他必须同时拿到这两把钥匙,否则任何一边断档,对手都能把他拖回灰区。
07:20,**发来早会提醒:“一页纸风险说明你准备好了吗?领导9:30要听。”
周砚回:“已完成初稿,9点前发你。只含控制措施与交付保障,不涉及内部人员判断。”
他把那份《追溯进展风险说明(甲方早会专用)》又检查了一遍:不提“是谁干的”,只提“我们做了什么来保证交付不受影响”。每个动作都带路径、时间戳、责任人、可核验的证据形态。
他清楚甲方的安全感来自“可控”,不是来自“抓到坏人”。
07:48,手机震动,依旧是陌生号码。周砚没有立刻打开,他先截图保存,然后才点开短信。内容比前两条更短,却更像最后通牒:“别再发邮件抄送甲方。你动外部,内部就动你。”
周砚盯着那句话,没觉得恐惧,反而确认了一件事——对手真正害怕的不是他查到什么,而是他把“风险控制”呈现给外部,让外部形成“他在扛交付”的既定印象。一旦外部认可建立,内部要动他就会显得像自断臂膀。
他把短信按流程保全,新增一条风险记录:威胁指向“外部抄送链路”,说明对手把甲方视为压力源。这条记录将来很可能成为“内部干预交付”的旁证。
08:10,周砚到公司,办公区还没完全热起来。许多人不敢与他对视,但他习惯了。他坐下第一件事不是开项目群,而是打开共享盘,检查“组织承诺邮件”的下载记录——甲方项目总监下载过,甲方法务下载过,梁总下载过。
这说明**没夸张,领导确实看了,而且认可了这种“交付链路当资产”的表达方式。
08:31,信息安全部负责人发来邮件推送,标题干净利落:《USB设备ID检索阶段性结果(限定范围)》。
周砚指尖在触控板上停了一瞬,像在给自己一个缓冲。他没立刻点开附件,而是先把邮件整体下载保存,生成哈希值,拖进“302追溯/设备归属”目录,再在合规清单里新增一条记录:邮件主题、发送时间、抄送范围、附件哈希、后续动作。
做完这些,他才点开附件。
附件是一份两页的检索报告,第一页写“检索范围”:近90天公司终端管理系统USB识别记录、资产管理登记、IT服务台外设借用台账;范围限定为“门禁刷卡进入302会议室人员对应工位设备+302公用设备自身记录”。
第二页写“命中结果”,只有一条命中,字像石头一样沉:
“USB\VID_XXXX&PID_XXXX近30天内曾被识别于:市场部员工李XX工位电脑(资产编号:PC-07XX),识别时间:昨日18:45—18:47;另:该USB设备在IT服务台外设借用台账登记归属:项目管理办公室(PMO)共享U盘(编号:U-32X),借用人:王XX(阿远助理),借用时间:昨日17:58,归还记录:无。”
周砚的视线从“借用人:王XX”那行字上慢慢挪开,又落回“归还记录:无”。他没有任何“终于抓到你”的兴奋,反而升起一种更冷的警觉——这条链路太完整,完整得像对方以为“就算被查到,也可以把锅甩给共享资源”。
共享U盘、PMO、借用台账、未归还——这些关键词组合起来,很容易构成一种“制度性漏洞”:共享设备被借用、未按时归还、被人拿去做违规操作。最后仍然可以绕回“无法锁定单一责任人”。
但周砚也看见了致命的锚点:借用人是王XX,且时间点与302事件高度吻合。再加上门禁记录里王XX18:46进出,电脑事件日志18:46插入USB,所有链条对齐到分钟。
灰区开始变窄。
视野边缘,蓝色面板像一把冷刀递进来:
【证据链进入“可指向阶段”:共享U盘借用台账+门禁刷卡+设备插入日志=三重对齐】
【下一步关键:把“共享资源”从遮羞布变成责任链——核查借用审批、归还制度、U盘编号实体封存与内容取证】
周砚没有任何迟疑,打开一个新文档,标题定为《USB设备归属交叉证据链及处置建议(供梁总/法务/信息安全)》。他把证据链拆成四段,每段都写“事实—证据—风险—建议动作”,没有情绪,没有推测:
1)事实:302公用电脑18:46插入USB设备;证据:本地事件日志;风险:监控缺失时段关键前置动作被遮蔽;建议:将USB插入行为纳入追溯核心链路;
2)事实:该USB设备登记为PMO共享U盘,借用人王XX,借用17:58未归还;证据:IT服务台台账;风险:共享资源被滥用、归还制度失效导致责任稀释;建议:立即封存U-32X实体并取证,锁定内容是否含登录脚本/缓存;
3)事实:门禁记录显示王XX18:46进入302;证据:门禁明细;风险:与USB插入时间高度对齐;建议:对王XX进行事实核查询问,形成书面问询纪要;
4)事实:该USB设备在市场部李XX工位电脑18:45被识别;证据:终端管理识别记录;风险:设备在进入302前曾在其他工位出现;建议:核查李XX与王XX之间的接触链路(会议/工位相邻/IM沟通),限定范围,不扩大无效排查。
文档末尾,他只写一句结论:“以上链路足以替代监控缺失时段形成阶段性结论,建议以项目事故风险为由启动‘共享外设管理漏洞’专项处置,避免追溯被无限拖延。”
08:58,周砚把这份文档连同检索报告一起发给梁总,抄送法务与信息安全负责人。邮件主题用最容易被决策层接受的表达:
《302追溯关键进展:共享U盘借用人命中(建议启动封存取证与书面问询)》
他不写“抓到王XX”,他写“关键进展”“建议动作”。他要推动的不是情绪裁决,而是流程处置。
09:06,他把给**的一页纸风险说明发出,内容只围绕三件事:
-追溯进展:已形成替代证据链,监控缺失不影响阶段性判断;
-合规控制:对外沟通全留痕、资料路径可核验、个人信息三项必要字段+明示同意;
-交付保障:预约到访接待排班已确认,复盘答疑口径库v1.1锁定,任何口径调整走审批链路。
**回:“收到,今天领导只要看到‘不影响交付’就行。”
周砚把这句回执截图归档。外部只要稳住,内部再怎么折腾也难把项目从他手里夺走。
09:22,HR主管终于把沟通会纪要发来,标题温柔得一如既往:《岗位调整沟通会纪要(待确认)》。
周砚点开,第一眼就看见一个熟悉的陷阱:纪要里写“周砚拒绝配合岗位调整安排”,而关于梁总当场指令“确认书撤回、岗位调整暂缓、按替代方案执行”的表述,被写成了模糊的“后续由管理层评估”。
他没有生气,只把纪要当成另一份需要修订的交付物。他拿起红笔,直接在PDF上标注三处必须修改的关键点:
1)“拒绝配合岗位调整”改为“对确认书条款存在文本冲突提出异议,确认书暂缓签署”;
2)补充梁总明确指令:确认书撤回、岗位调整暂缓,替代方案为当前执行标准;
3)补充责任边界:对外沟通走项目邮箱留痕抄送,资料走共享盘审批,个人信息按工具清单处理。
他把修订版回发HR,抄送法务和梁总,正文只有一句:“请按标注修订,确保纪要与现场指令一致,避免后续责任争议。”并明确“修订后我再确认签字”。
他不允许任何人用文字把他写成“拒不配合”。
09:47,阿远出现在办公区,走到周砚工位旁,声音压得很低:“你最近动作太大了。你拿共享U盘说事,牵扯的人不止我这边。你知道PMO是什么吗?你搞不好会把自己炸掉。”
周砚没有抬头,只把共享盘里的“替代方案执行标准”那份文件打开,指尖点在“所有指令需书面化、所有风险需评估”的那行字上,语气平静得像在讲流程:“我没有拿U盘说事,我在补证据链。PMO也好,谁也好,只要涉及项目事故风险,就应该走处置流程。你担心牵扯面大,可以做风险评估报告,说明为什么不封存、不取证。只要你写出来,能经得起审计,我就配合。”
阿远盯了他两秒,像想从他的表情里找出一丝退缩,但周砚的脸上没有任何情绪波动。阿远最终没再说什么,转身走了。
周砚看着他的背影,心里却更加确定:对方开始怕的不只是“被抓到”,而是“流程一旦启动,控制权不在他们手里”。
10:12,信息安全代表在IM里发来简短通知:“梁总要求今日12点前完成U-32X共享U盘实体封存与取证,参与人:信息安全、法务、IT服务台。你需要到场吗?”
周砚回复:“我不参与取证,避免被指控‘干预证据’。但请取证形成书面纪要并抄送我,供项目风险评估归档。”
他很清楚对方会找任何机会说他“操纵调查”。他不需要站在现场,他需要的是一份合规纪要。
10:35,**打来电话,背景声音嘈杂,应该在去楼盘现场的车上:“你们内部追溯有没有实质进展?领导下午可能还要问‘你们是不是内部有人搞破坏’。”
周砚声音稳得像一条直线:“有进展,但我不会对外说‘有人搞破坏’。对你可以这样表述:我们已通过设备日志与外设台账形成交叉证据链,并启动共享外设封存取证流程,追溯机制已转入可核验阶段;同时项目交付链路不受影响,所有对外资料依旧按v1.1与审批链路执行。”
**沉默半秒:“好,就这么说。你把这段话写成两句话发我,我直接用。”
周砚立刻发出两句可复制口径,并附上“取证流程已启动、纪要待出”的事实表述。**回“收到”,语气明显安心。
11:58,信息安全部发来封存取证纪要。纪要里写得非常规范:
-封存对象:PMO共享U盘U-32X;
-封存时间:11:42;
-在场人员:信息安全A、法务B、IT服务台C;
-取证方式:镜像复制、哈希校验、原件密封;
-初步发现:U盘内存在一份名为“login_cache.txt”的文本,包含公司统一登录页面缓存片段;另存在一个“AutoRun.bat”文件,但是否执行需进一步核查;
-后续动作:调取302公用电脑执行记录与系统策略日志,确认AutoRun是否触发;对借用人王XX进行事实问询,形成问询纪要。
周砚看到“AutoRun.bat”那行字,心里一沉——这已经不是“无意登录失败”能解释的范围了。如果AutoRun被触发,意味着有人试图用脚本自动化发起登录,触发保护模式就不是偶然,而是设计。
但他依旧没有急着“定性”。他把纪要下载保存、生成哈希、归档,并在合规清单里新增一条“封存取证纪要(阶段性发现)”。随后写了一封极短的邮件给梁总,只有一句建议:
“建议将‘共享外设管理漏洞’与‘自动化触发登录’纳入项目事故风险评估,尽快形成阶段性处置结论,避免再出现触发式攻击影响交付。”
梁总回:“明白。”
12:26,午餐时间,周砚没去食堂。他打开项目数据日报,把到访确认的趋势、回访完成率、二次到访意向数,全部更新到D3闭环表,并在“异常波动说明”里新增一条:“内部追溯推进中,已启动封存取证,不影响交付节奏。任何对外口径不讨论内部调查,仅提供证据核验路径。”
他把“内部风暴”隔离在合规文件里,不允许它污染对外交付叙事。
13:40,办公室里突然传来一阵轻微的骚动。有人低声说:“王XX被叫去法务那边问话了。”另一个人接:“听说是U盘的事。”
消息像灰尘一样在空气里飘,没人敢大声。周砚没有去打听,他知道越是这种时候,越要保持“动作像流程,不像围观”。
14:15,法务专员发来一条IM:“周砚,关于302追溯,我们需要你提供一份‘与你账号密码管理相关的自证说明’,比如你是否共享密码、是否在公共设备登录、是否有二次验证设置情况。请今天下班前给。”
周砚盯着那句“自证说明”,明白他们仍然在预留一条回撤通道:即便证据链指向王XX,也要保留“账号持有人管理不当”的兜底定性。只要这条兜底存在,阿远就能继续用“风险员工”框他。
他没有拒绝,但也不会被迫写成自我认罪。他立刻新建文档《账号安全控制措施说明(事实版)》,只写四块:
1)密码管理:从未共享密码、未在IM/邮件传递密码;
2)登录行为:仅在本人工位设备与公司授权笔记本登录;不在公共会议室设备登录;
3)二次验证:已开启(启用时间、截图证据);
4)异常事件应对:每次触发保护模式后均第一时间报告信息安全部并要求最小化限制、保留交付权限(附证
【当前章节不完整】
【阅读完整章节请前往原站】
【ggd8.cc】