06:48,天色还带着一点未褪的青灰,电梯门开合的“叮”声在空旷的大厅里显得格外清晰。
周砚迈出电梯时,手里拎着那只熟悉的文件袋,封条上的日期像一条冷硬的刻度线,把昨晚的核验纪要、短信威胁、补充条款修订版和项目数据闭环全都钉在同一条时间轴上。他没有急着坐回工位,先绕去茶水间打了杯温水,站在窗边看了十秒钟——玻璃幕墙外的雾还没散,城市像被一层薄膜罩住,模糊而安静。
这种安静从来都不是好兆头。
越安静,越像暴风雨前的气压变化,逼得人胸口发闷。
他回到工位,打开电脑,第一件事不是点开项目群,也不是看**的未读消息,而是把昨晚安全室核验纪要再次打开,逐字重读。三条关键结论被他用黄色高亮标得像警示牌:
1)失败登录存在不同子网来源迹象;
2)存在4648凭据使用事件,未排除非人工触发;
3)18:48发生设备唤醒,处于监控缺失区间,唤醒来源待补证。
“唤醒来源”这四个字,是整个链路里最锋利的钩子。
门禁能告诉你谁进出,日志能告诉你发生了什么,但只有唤醒来源能告诉你——这台电脑是被“人”叫醒的,还是被“网络”叫醒的;是有人按下了键盘,还是有人在另一台设备上发出了Wake-on-LAN;是办公室里有人当场操作,还是有人在别处隔空触发。
只要把唤醒来源补齐,监控缺口就不再是缺口,只会变成一条故意留下的遮羞布。
视野边缘,蓝色面板亮起,像把下一步行动直接写进空气里:
【关键补证:Power-Troubleshooter(电源疑难解答)事件字段可直接给出唤醒来源(设备/网络/外设)】
【进阶补证:若为网络唤醒,需追溯唤醒包来源MAC/IP→映射资产→锁定操作端口/账户】
【风险预警:对方将以“敏感数据”为由拒绝提供字段,须用“现场核验+纪要留痕”绕过外带限制】
07:12,项目线先跑。
周砚打开“到访后48小时跟进SOP”执行看板,把昨晚归档的群发发送记录抽查了十条,确认全部使用核验版话术,没有绝对化表述,也保留了隐私告知与证据路径。他把抽查结果导出成一页PDF,生成哈希,归档进“合规记录/营销话术抽查”,顺手给梁总抄了一封邮件:
“昨晚到访后跟进群发已按核验版执行,抽查样本10条均合规,记录已归档(含哈希)。避免被外部截图带节奏。”
他要把可能被反咬的每个点都提前堵死——对手既然开始用“敏感数据”恐吓,就一定会顺势把“营销合规”也当成武器,双线夹击。
07:38,**的消息弹出来:“领导要求今天下午看‘二次预约排期+预计到访人数’。别夸张,宁可保守,但要有方法。你们内部有没有人能把到访后48小时的推进节奏讲清楚?”
周砚回得很快:“我今天14:30前给你一版‘二次预约排期表(按时间段)+推进动作说明(48h链路)’,口径保守、方法可复核。并附上抽查样本,确保对外话术合规。”
发完他就把这条对话截图归档。甲方的每一次“要看方法”,都是他最好的护盾——任何内部人想把他踢出局,都必须先解释清楚:谁能在不踩合规雷的前提下,持续把结果往前推。
08:05,梁总发来一句:“08:50安全部,核验唤醒来源。我会到。”
周砚的指尖停顿了一秒。
梁总要到,意味着这次核验不再是“你去看看”,而是梁总亲自把这条线当作项目事故风险来抓。对手最怕的就是这件事:当它变成“项目事故”,就不再能用“敏感数据”“无法提供”随便糊弄过去。
08:50,信息安全部安全室。
灯依旧冷白,空气里有消毒水似的味道,桌面干净得像刚擦过。严负责人、两名安全工程师、法务专员都在。梁总也来了,外套没脱,站在桌边,像一根压住局面的钉子。
严负责人先开口,语气很“规范”:“我们可以现场展示关键事件字段,但依旧不允许外带原始日志。”
梁总不接话,目光落在周砚身上:“你要看什么字段,说清楚。”
周砚不浪费一秒,把打印好的“唤醒来源核验清单”推到桌面中央,语速平稳:“只看三类:一,Power-Troubleshooter事件的WakeSource字段;二,系统日志里对应的唤醒设备或网络唤醒标识;三,如果是网络唤醒,需要给出唤醒包的来源标识(至少MAC前缀或资产编号映射),并形成纪要。所有字段不外带,但纪要必须写清。”
工程师点开事件查看器,按时间定位到18:48附近。
屏幕上跳出一条事件:Power-Troubleshooter。
周砚盯着那一行字段,眼神一瞬间冷下来,却更清醒。
WakeSource:Network(网络唤醒)
WakeSourceDetail:Intel(R)EthernetController(后面是一串型号)
梁总的眉头明显皱了一下。
网络唤醒。
这意味着18:48那次唤醒不是有人按了键盘,也不是保洁碰到了鼠标,而是有人——或者某个系统——从网络端发送了唤醒包,把这台电脑叫醒。
严负责人试图先把话说圆:“网络唤醒也可能是我们的补丁系统例行唤醒,用于夜间更新……”
“夜间更新会在18:48?”周砚把问题压得极准,“而且更新通常在非工作时段,且有固定任务名和管理平台记录。请同步展示该时段是否存在补丁管理任务触发记录,或管理平台的批量唤醒计划。”
工程师翻找了一下,表情略僵:“这个需要去管理平台查。”
周砚没有穷追猛打,而是把更关键的问题抛出来:“网络唤醒包从哪里来?能否看到唤醒包来源MAC或IP?”
工程师迟疑:“原始抓包我们没有,但系统里会记录部分来源信息……”
他点开另一段日志,屏幕上出现一行更细的字段。周砚的视线像刀一样落在那串标识上——不是完整MAC,但有足够的前缀与资产映射字段,旁边还有一个内网地址段标识,明显不是随机的。
梁总看完,声音低了下来:“这来源能映射到哪台设备?”
严负责人明显犹豫了一下,最终还是开口:“可以映射到资产管理系统里的一个终端……但资产信息属于内部敏感,按流程需要审批才能对外披露。”
梁总冷笑一声,短得像刀刃划过:“对外?这里没有外部。你现在是在对项目事故风险披露,还是在给人留遮羞布?”
安全室瞬间安静。
严负责人抿了抿唇,转身对工程师说:“打开资产映射。”
屏幕切换到资产系统查询界面,工程师把那段前缀输入进去,回车。
结果跳出来的一瞬间,周砚的心口像被针扎了一下——不是因为惊讶,而是因为“果然”。
资产名称:IT服务台跳板机(远程管理终端)
责任部门:信息技术部
资产用途:远程协助/终端管理/批量任务执行
使用权限:服务台账号组可登录
梁总的眼神更沉:“跳板机?”
严负责人赶紧解释:“这是服务台用于远程协助的管理终端,很多运维人员都能用,来源是它不代表具体某个人……”
“跳板机不是人,但跳板机的登录账号是人。”周砚把话接得很稳,“如果唤醒包来自跳板机,那就有两条路径:要么是补丁/管理平台计划任务通过跳板机发起;要么是有人登录跳板机手动发起。两种都可以追溯——看当时跳板机的登录记录、操作记录、任务计划记录。”
梁总直接拍板:“查。现在就查18:40到19:05跳板机的登录记录。”
严负责人脸色一紧:“跳板机日志也涉及敏感数据……”
梁总没有给他第二次绕的机会:“你要么查,要么写在纪要里:关键补证拒绝提供,导致项目事故风险无法排除。你自己选。”
严负责人沉默两秒,吐出一个字:“查。”
工程师打开跳板机的审计日志界面,筛选时间。
屏幕滚动了几行记录,停在一个条目上:
18:45:账号helpdesk_wangxx登录(远程会话)
18:47:执行操作:Wake-on-LAN(目标:302公用终端)
18:59:账号helpdesk_wangxx退出
19:01:302终端出现失败登录尝试(目标账号:周砚)
空气像被瞬间抽干。
时间点精准得像有人用尺子量过:18:45登录,18:47发起网络唤醒,正好卡在监控缺失时段的起点;18:59退出,监控缺失结束;19:01失败登录触发,刚好踩到系统保护策略。
这不是“可能”。这是一条完整的攻击链路。
梁总的声音低得像压着怒火:“helpdesk_wangxx是谁?”
严负责人看向工程师,工程师咽了口唾沫:“服务台账号命名规则一般对应具体人员……wangxx很可能是王——”
“不要‘很可能’。”周砚把最致命的一刀落下,语气依旧平稳,“请出示服务台账号组成员清单,确认helpdesk_wangxx对应的实名与工号。我们不需要外带清单,但纪要里必须写明:账号对应人员、授权范围、操作时间、操作类型,以及该操作是否经过工单审批。”
法务专员的笔尖在纸上顿了顿,显然意识到这是可以直接进入问责链的证据。
严负责人脸色发白:“这个……我需要内部确认。”
梁总盯着他:“现在确认。”
严负责人拿起手机去旁边打电话,压着声音说了几句,回来时脸色更难看:“helpdesk_wangxx对应服务台外包工程师王某,隶属IT服务台供应商,入场权限由IT部门申请开通。按流程,执行唤醒与远程协助应有工单记录。”
周砚没有露出任何得意,他只问最关键的一句:“有没有工单?”
严负责人沉默。
工程师翻了两下系统:“没有对应工单。那段时间没有登记的远程协助请求。”
梁总的手指在桌面上轻轻敲了一下,声音不大,却让人背脊发凉:“也就是说,有人用服务台跳板机,在没有工单的情况下,远程唤醒了302公用终端,随后发生了针对周砚账号的失败登录触发。你们之前给我发的邮件说‘无法锁定单一责任人’,现在还觉得锁不住吗?”
没人说话。
周砚看着屏幕那串日志,脑子里却没有“终于抓到人”的轻松,只有更冷静的判断——这只是一条执行链,背后还有指挥链。一个外包工程师没有动机去针对周砚的账号,更没有理由选择302会议室这种**险地点。真正的操盘手一定在公司内部,知道302是公用设备,知道监控缺口在哪,知道触发保护模式的规则,也知道用外包账号做动作更容易把锅推到“流程漏洞”上。
换句话说,这个人不是在赌运气,是在设计“可推诿”的犯罪结构。
视野边缘,蓝色面板像在这时补上最后一块拼图:
【证据链升级:跳板机审计日志=“唤醒来源”与“具体账号”闭环】
【下一步:从执行链追指挥链——调取:1)外包工程师当日工位/门禁轨迹;2)其与内部人员的IM/电话协作痕迹;3)谁有权限指挥服务台绕工单操作】
【风险预警:对方将以“供应商流程问题”快速结案,切断向上追溯】
周砚立刻把节奏往“纪要”上钉:“请现场形成核验纪要,至少写清五点:
1)18:48的302唤醒来源为网络唤醒;
2)唤醒包来源为IT服务台跳板机;
3)18:45-18:59期间账号helpdesk_wangxx登录并执行Wake-on-LAN操作;
4)该操作无对应工单;
5)19:01后302终端发生针对周砚账号的失败登录尝试触发保护模式。
纪要由信息安全部与法务共同签字,抄送梁总、HR,并作为项目事故风险证据归档。”
梁总直接点头:“照做。”
严负责人几乎是硬着头皮答应:“可以。”
09:36,纪要草稿打印出来。
周砚逐字核对,所有关键时间点、账号、操作类型都写进去了。他要求在“结论”部分加一句:“该链路可直接证明异常操作来源与周砚工位无关,且存在未经工单的远程管理行为,需进一步追溯指挥链,暂不得对周砚做任何倾向性定性。”
法务专员看了梁总一眼,梁总没反对,法务把这句写进纪要。
签字,盖章,抄送。
周砚把纪要扫描件按规范命名,上传共享盘“合规记录/302追溯/关键纪要”,生成哈希,记录到合规清单。每一步都干净利落,不留任何“口头说过”的灰区。
10:02,回到工位,周砚刚坐下,项目群里就出现了阿远的一条消息,语气一如既往“站在项目角度”:
“@全体提醒一下,最近内部调查比较多,大家不要私自调取门禁、日志等敏感信息,避免引发合规问题。对外口径由我统一把关,避免信息不一致。”
周砚看着这条消息,眼神像冰一样冷。
太晚了。
对方想用“敏感信息”把他框住,但纪要已经落纸,梁总已经抄送,法务已经签字。现在再喊“别调取”,只能说明他们开始害怕事情继续往上追。
周砚没有在群里回怼。他只做一件事:把刚刚签字的纪要邮件转发到项目归档邮箱,并在合规记录表里新增一行:关键纪要已抄送梁总与法务,授权核验流程明确。这样,任何人想说“你私自调取”,都必须先解释:这是信息安全部现场核验并签字纪要,哪里“私自”?
10:24,**来电。
她的声音比平时更快,背景里像在走路:“周砚,领导今天下午要看二次预约排期。我需要你给我一句话:你们能不能稳定把开放日到访转成二次预约?别说大话,要能落地。”
周砚把电脑屏幕切到“二次预约排期表”,语气稳得像钉子:“能。我们用48小时链路推进:T+2感谢补资料,T+24补证据,T+36答疑,T+48定二次到访时间段。排期表按时间段分布已做,预计到访数按保守口径计算,不夸张。14:30前我发你排期+动作说明+抽查样本,会上可直接用。”
**明显松了一口气:“好,我等你。”
挂断电话,周砚没有停,开始把排期表做得更“可汇报”:把二次到访按用户意向户型与通勤诉求分组,给每组匹配对应的证据素材包与答疑点,形成一页“带队接待提示卡”。甲方领导要的不是“你们很努力”,而是“你们有方法且可复制”。
11:09,手机又震了一下。
陌生号码短信第三条来了,字更短,却更狠:“你把外包扯进来,梁总也保不了你。供应商一刀切就结案,你呢?”
周砚看完,反而更冷静。
这条短信暴露了对方的焦虑方向:他们担心事情停在“外包流程问题”就会结案,而周砚真正要做的是从外包执行链往上追到内部指挥链。对方急于告诉他“会结案”,说明他们已经在内部推动“快速止损”——把责任推给供应商,处分外包工程师,补一份流程整改,事情到此为止。
周砚照旧拍照归档,标记未读。他没有回复,但他知道今天必须抓住梁总在场的窗口,把“指挥链追溯”写进动作项,不给他们“一刀切”的空间。
11:32,梁总给他发了一条消息:“中午12点会议,关于302事件处置。你也来。”
周砚回:“收到。我准备一页‘指挥链追溯动作项’。”
他立刻新建一页纸,标题写得极直白:《302远程唤醒与失败登录链路——指挥链追溯动作项(项目事故风险)》。内容只有四条,但每条都指向“谁指挥”的证据:
1)调取外包工程师王某当日工位/门禁/监控(含供应商驻场区)与服务台工单系统操作轨迹,确认其操作环境与接触对象;
2)调取服务台跳板机在18:30-19:10的完整会话审计(不仅限唤醒操作),包括远程会话来源IP、连接发起端资产编号,以锁定“谁在使用该外包账号或协同其操作”;
3)核对当时段是否有内部人员通过IM/电话/会议安排向服务台提出“绕工单操作”指令(至少形成“排除清单”);
4)形成临时管控:服务台跳板机权限收紧、外包账号二次验证强制开启、Wake-on-LAN操作必须绑定工单编号,否则系统阻断。
他把这一页打印出来,连同纪要复印件一起装进文件袋,封条贴好,写上日期与签名。
12:00,处置会议。
会议室里人不多,但位置很微妙:梁总坐主位,法务、信息安全部负责人、IT负责人、HR主管都在,阿远也被叫来了,坐在靠门的位置,脸色比平时
【当前章节不完整】
【阅读完整章节请前往原站】
【ggd8.cc】