06:49,周砚比闹钟早醒了十分钟。
他没有像往常一样先摸手机,而是坐在床沿,盯着窗外还没完全褪去的夜色,脑子里把“门禁缺口”的交叉链条重新跑了一遍——门禁刷卡、会议室临时使用、监控缺失、会话日志、账号保护触发、匿名短信与IM威胁、以及今天开放日后必然出现的“合规核查扩大化”。
对手的节奏越来越清晰:他们不追求一次性把他打死,而是用一连串看似合理的小动作,把他从“交付链路的核心”一点点挤到边缘。只要他在链路里失去“最后一米”的控制权,结果就可以被重新叙述;只要他被迫停下来解释,项目节奏就会断;只要项目节奏断一次,“试用期复核”就能被重新启动。
所以他必须同时做两件事:让D4的执行继续产出可见结果;让302的追溯从“无法确认”变成“必须确认”。
他起身洗漱,换衣服时把那本离线硬壳笔记本塞进包里,又把昨晚整理的《开放日现场风险事件记录(中午版)》和《开放日闭环日报(D3)》的打印件放进文件袋最上层,透明封条没拆。
封条不是装样子,是一种宣告:我不靠口头解释,我靠可审计的记录。
07:41,周砚到公司。
电梯门一开,办公区的灯比平时亮,显然有人更早到。走廊尽头的玻璃会议室里,有两个人影在对着电脑屏幕低声说话,屏幕反射出的光像一条细细的白线,切开了清晨的雾气。
他还没坐下,项目群里就跳出两条消息。
运营同事:“D4跟进计划:上午10点前完成二次触达,预计回访30人,目标新增确定预约≥6。”
媒介主管:“法务那边说有外部投诉线索,可能要我们暂停社群资料发放,等声明。”
同一时间,两条线的拉扯就来了——一条要继续跑结果,一条要用“合规核查”把动作按停。
周砚没有在群里回任何一句。他先打开共享盘,把D4的动作清单拉出来,逐项看责任人与时间节点,然后单独给运营负责人发了一条指令,短到像战术口令:
“执行不断:1)二次触达按脱敏名单走CRM,通话录音与备注必须完整;2)资料发放继续分批私信,只发‘资料清单与证据路径’+‘隐私告知链接’,不发任何疑似内部截图;3)每小时汇总新增确定预约,15:00前给我一次中间复盘。”
发完,他把手机放到一边,打开邮件。
一封来自信息安全部的邮件躺在未读里,主题带着一种刻意的“程序感”:《302公用电脑本地事件日志(封存提取版)》。
附件是一个压缩包,里面有两个文件:System.evtx、Security.evtx,还有一份提取说明,写着“日志由信息安全部在封存状态下提取,未做内容编辑,仅做脱敏处理”。
周砚的指尖停了半秒。
他们终于把他要的关键东西拿出来了——这意味着他昨天那封《302追溯缺口清单》确实起了作用,也意味着对方意识到“拖”会引发更大的项目事故风险,只能先交出一部分证据。但交出并不代表配合,交出也可能是“选择性投喂”:给你足够多的信息让你分心,却不给你能落锤的那一根钉子。
他没有急着打开evtx文件,而是先把压缩包下载到本地,按规范命名:202X-XX-XX_302追溯_本地事件日志_信息安全部提取版.zip,然后拖进共享盘“合规记录/302追溯/原始证据”目录,留言区写清楚“原始提取件,未解压版本,保留校验值”。
做完留痕,周砚才解压文件,用事件查看器打开。
第一眼,他就找到了他最想要的东西:时间戳。
System日志里有一条“Power-Troubleshooter”事件:18:48:12,系统从睡眠唤醒。
紧接着是“Kernel-PnP”事件:18:49:03,检测到新的USB输入设备连接,设备描述为“HIDKeyboardDevice”。
这条记录像一道冷光掠过周砚的眼底。
HID键盘设备——意味着在那一分钟,302公用电脑**入了一个“键盘类设备”。它可以是真实键盘,也可以是伪装成键盘的注入器。关键在于:公用电脑本来就有键盘,为什么还会额外插入一个HID设备?除非有人用它去自动输入。
他继续往下翻。
18:50:27,有一条“TaskScheduler”事件:创建了一个计划任务,任务名是一串看似随机的字符“OfficeUpdateCheck_3A9F”。
18:50:29,任务被设置为“在用户登录时触发”。
19:01:10,任务触发执行。
紧接着,Security日志里出现三条连续的4625事件:登录失败,账户名为周砚的账号,失败原因“密码错误”,来源类型显示为“交互式”。
三次失败,时间间隔几乎一致,像机械敲击。
这不是一个人临时手抖输错密码的节奏,这是脚本的节奏。
周砚的背脊没有发凉,反而一种更冷的清醒在胸口沉下去——对方用的不是“有人坐在电脑前输密码”,而是“提前布置计划任务,在固定时间自动触发失败登录”。这就解释了为什么监控缺失那十二分钟如此关键:那十二分钟里发生的不是“失败登录”,而是“布置触发器”。
失败登录只是结果,触发器才是凶器。
视野边缘,蓝色面板亮起,像把推理的最后一块拼图递到他手里:
【关键突破:18:49插入HID设备→18:50创建计划任务→19:01自动触发失败登录→账号保护模式被触发】
【结论导向:攻击不依赖操作人当时在场,操作人只需在监控缺失时段布置触发器即可】
周砚没有立刻把“攻击”这两个字写进任何文档。他知道,在公司语境里,“攻击”是定性词,会引发部门之间的防御本能。他要用更合规、更难反驳的表达:异常操作链路、非授权自动化输入、计划任务创建记录。
他打开一个新的文档,标题写得像审计底稿:《302公用电脑异常操作链路梳理(基于本地事件日志)》。里面只列事实,不写推断:
-18:48:12系统从睡眠唤醒(System日志事件ID…)
-18:49:03新增USBHID键盘设备连接(System日志事件ID…)
-18:50:27创建计划任务OfficeUpdateCheck_3A9F(System日志事件ID…)
-19:01:10计划任务触发执行(System日志事件ID…)
-19:01:12/19:01:38/19:02:05连续三次账号登录失败(Security日志4625…)
每一条后面,他都写了“证据来源:日志文件名+事件ID+截图编号”,把证据路径钉死。
08:36,门禁明细、监控缺失说明、本地事件日志三条线终于可以叠加了。
门禁显示:18:46王XX进入,18:49离开;监控缺失从18:47开始;日志显示18:49插入HID设备、18:50创建计划任务。
时间线几乎无缝衔接。
这是交叉证据的力量:你可以说监控缺失是故障,你可以说门禁进出只是路过,你也可以说登录失败无法锁定责任人,但你解释不了——为什么监控缺失开始的那一分钟里,公用电脑被唤醒并插入了一个额外的键盘类设备;你解释不了——为什么刚好在王XX离开一分钟后,计划任务被创建。
周砚把这条时间线打印出来,红笔圈住“18:49”和“18:50”两个点,在旁边写了四个字:必须落锤。
可落锤需要“人”的对应关系。日志告诉你发生了什么,门禁告诉你谁进出,下一步就是把“动作”落到“人”。
他要的不是“怀疑王XX”,他要的是“证明王XX是否是唯一可能实施该动作的人”,或者“证明王XX的卡被他人使用”,从而逼出真正的操作者。
09:02,周砚起身去茶水间倒水。
路过行政区时,他看见行政部的孙XX正站在打印机旁整理纸张,动作熟练。孙XX就是门禁明细里19:02和19:08两次刷卡进入的人。周砚没有停,也没有盯着看,只把这个画面记在脑子里:孙XX今天来得也很早。
回到工位,他给物业安保主管发了一封邮件——物业邮箱在公司通讯录里,平时只用于访客管理与消防演练。但现在,他需要物业系统的一个细节:门禁刷卡是否有联动抓拍。
邮件主题写得很克制:《门禁刷卡联动抓拍留存状态咨询(302会议室门禁)》。
正文只问两句:
“1)302会议室门禁刷卡是否联动抓拍照片或短视频(含抓拍设备型号与留存周期);
2)若有抓拍留存,能否按公司内部调查流程提供涉事时段(18:40—19:10)刷卡抓拍记录,供核验。”
他没有说“谁干的”,没有说“攻击”,只说“核验”。同时抄送梁总和信息安全部负责人。
这是他惯用的手法:把请求从“个人追查”升格为“公司调查”,让任何阻挠都显得不合规。
09:28,物业回复很快,字里行间明显谨慎:“门禁系统具备联动抓拍功能,但抓拍设备位于门侧上方,清晰度受角度影响。资料提供需走公司安全部正式函件流程。”
周砚没有嫌麻烦。他把邮件转发给信息安全部负责人,附言只有一句:“请以安全部名义向物业出具正式函件调取门禁抓拍,涉事时段18:40—19:10。”
他知道对方可能会拖,但他也知道:梁总在开放日后强调“核查不得扩大解释”,同时又要求“原始线索与范围明确”。现在他给的就是明确的范围、明确的证据链、明确的调取路径。
10:03,运营负责人按要求发来第一小时汇总:二次触达完成9人,新增确定预约2,关键顾虑集中在“通勤浮动”和“月供区间”。
周砚回:“按Q&A卡片回应,强调区间+来源+实测证据。下午14:00加一次短答疑,控制在8分钟内,不增新口径。”
他把项目执行继续往前推,像把车轮死死压在轨道上,不给任何“暂停”的理由。
10:26,阿远终于出现了。
他不是来吵架的,而是带着一种刻意的“组织关怀”姿态走到周砚工位旁,声音压得很低:“你最近太紧绷了。开放日结束,接下来该把风险收一收。法务那边已经收到投诉线索,我建议你这两天把所有导出动作先停掉,避免再给人抓把柄。”
周砚没有抬头看他,手指仍在键盘上敲着日报表格,语气平淡:“导出只发生过一次脱敏导出,审批链路与日志都在。停掉导出会影响现场接待与预约转化,你要停,请走书面流程,写明影响与责任归属。”
阿远脸上的肌肉抽了一下,笑意更薄:“你总拿责任归属说事,做事不是这样做的。组织是要协同的。”
“协同的前提是规则明确。”周砚终于抬眼,眼神没有锋芒,只有清晰,“你要协同,就把你的建议写成可审计的动作项。否则都是口头话。”
阿远沉默了两秒,像是强压怒意,转身走了。
他走得很快,像怕自己再多停一秒就会失控。
周砚看着他的背影,心里更确定了一件事:对方开始急于让他“停”。因为他已经拿到了能落锤的链条。
11:17,信息安全部负责人发来消息:“门禁抓拍调取需要梁总签字的正式函件。我这边在起草。”
周砚回:“函件内容请写明:用于核验302公用电脑异常操作链路,与项目交付风险评估直接相关,范围限定18:40—19:10,资料仅用于内部调查并按合规归档。”
他把每一个字都写细,不给对方后续“范围太大”“目的不明”的借口。
11:46,梁总把函件签了,发在一个小范围群里:信息安全部负责人、法务专员、周砚。
梁总附了一句:“今天把抓拍拿回来,别拖。”
周砚没有回复多余的话,只发了一个“收到”,然后截图归档。梁总的态度清晰——他不喜欢内部扯皮,也不喜欢项目节奏被拖,更不喜欢有人拿合规当工具做权力游戏。只要周砚把风险与证据写得足够硬,梁总就会站在“结果”那一边。
12:38,午休时间。
周砚没有去吃饭,他把上午的日志链路梳理补成一份更完整的“交叉证据矩阵”,一张表里横向是证据源(门禁、监控、系统日志、会话日志、审批邮件、威胁短信/IM),纵向是关键时间点(18:46、18:47、18:49、18:50、19:01)。每个交叉格子里写“有/无/缺失/待调取”。
这张矩阵不是给自己看的,是给任何一个想“模糊焦点”的人看的——你想说无法确认?你先解释为什么这些格子会在同一段时间里形成如此密集的异常。
13:20,物业安保主管来电。
对方声音很谨慎:“我们按函件范围调取了302门禁抓拍,照片有,但角度偏,清晰度一般。现在安全部的人可以来取。”
周砚把电话开免提,直接对信息安全部负责人说:“你们去取,我不经手原始件。取回来后请按流程归档,我只需要在合规室查看并做记录。”
他从一开始就把自己从“直接接触原始证据”的动作里摘出去——不是怕麻烦,而是避免对方说他“篡改”“选择性呈现”。他只在合规室查看,只做记录,全程留痕,任何人要质疑,就去质疑流程,而不是质疑他。
14:05,安全部负责人把抓拍照片发来了一份“查看版”,并说明原始件已封存。
周砚打开第一张照片,呼吸没有变化,但指尖却在那一瞬间收紧。
照片里,刷卡进入的人戴着帽子,口罩拉得很高,遮住了大半张脸。但有两个细节极其清晰:一是手腕上的表带颜色,二是外套袖口的反光条纹。
周砚不是靠脸认人,他靠细节。
他把照片放大,对比门禁明细上“18:46王XX刷卡进入”的时间点,再把视线移到照片角落的时间戳:18:46:17。
时间对上了。
然后,他打开第二张照片——18:49刷卡离开。画面里还是同一个人,帽子口罩没变,手腕表带没变,外套条纹没变。
这意味着:至少在门禁系统层面,“王XX的卡”确实被用于进出,而且门口抓拍的人与门禁记录绑定。
问题来了:这个人是不是王XX本人?
周砚脑子里闪过昨天门禁明细里的另一个点:19:02与19:08,孙XX两次进出。
抓拍照片里,19:02进入的那个人没有戴帽子,脸清晰,是孙XX本人。
物业抓拍至少在这个角度能看清脸。
那为什么“18:46的那个人”要把自己裹得这么严?
周砚把两组照片对比后,在笔记本上写下两个字:刻意。
刻意遮脸意味着两种可能:他知道自己不该在这个时间出现在这里;或者他知道这里可能有抓拍。
无论哪一种,都不是“正常临时使用会议室”的行为。
视野边缘,蓝色面板亮起,像一道冷光切开雾气:
【交叉证据升级:门禁抓拍证明“刷卡动作对应具体人形”,且遮脸行为具有主观规避特征】
【下一步:用“设备接触证据”锁死——HID设备插入记录是否能追溯到具体硬件资产/USB序列号/领用人】
14:22,周砚把抓拍照片的查看版存入共享盘“合规记录/302追溯/抓拍查看版”,并在留言区写清楚“查看版来源安全部,原始件封存于安全部”。然后,他给安全部负责人回了一个更具体的请求:
“请补充:18:49插入的HID设备是否存在USB设备实例ID/序列号记录(System日志可查);若存在,请在资产管理系统中检索该设备是否为公司配发硬件或常见外接设备;若无法检索,请提供设备实例ID供进一步追溯。”
他要把“有人插了一个键盘设备”变成“插的是哪一个键盘设备”。一旦设备有实例ID,就能追溯它曾在哪台电脑出现过、曾被谁使用过、甚至曾在哪个工位接入过。这就是技术证据的残酷:它不认口供,只认轨迹。
15:03,运营负责人发来中间复盘数据:二次触达已完成22人,新增确定预约5,总确定预约达到了28,且有3个客户提出“愿意带家人一起来”。
周砚把这条数据同步给**,语气简洁:“D4中段新增确定预约5,总28,客户带家人到访意愿上升。18:30前给你更新脱敏名单与时间段分布。”
**回:“太好了,领导最喜欢看这个趋势。”
结果线继续向前滚动,这就是他抵抗影子结算的底盘。
15:48,法务专员突然发来一封邮件,语气比上午更硬:“外部投诉线索涉及‘内部数据引流’与‘**处理’两项风险,请周砚于今日17:30到法务会议室配合核查,携带所有相关资料。”
周砚看完,没有情绪。
对方终于把“核查”从邮件推送升级为“当面问询”,目的很明显:用会议把他拖出执行现场,让他在口头对话中被动解释,再从解释里挑漏洞。
周砚没有拒绝。他回复邮件:“17:30可到。请提前明确核查范围与具体线索原文(投诉内容截图/渠道/时间),便于对照核验,避免扩大推定。相关资料将以共享盘归档版本为准。”
他把“线索原文”四个字钉在回复里——没有线索原文,就没有核查范围;没有范围,就容易扩大推定。对方想用模糊吓住他,他偏要把模糊写成具体。
16:11,安全部负责人回消息:“HID设备实例ID已提取,稍后发你。初步看像一种常见USB键盘注入器,但不排除普通键盘。”
周砚的眼神微微一沉。
“键盘注入器”这个词一旦出现,事情的性质就不再是“某人输错密码”那么简单。它意味着有人蓄意设计了自动化触发链路。公司一旦承认这一点,就必须启动真正的安全事件流程,牵涉面会扩大,很多人会不愿意让它发生。
所以他必须小心表达——不让对方抓住“周砚夸大定性”的把柄,同时把证据链推进到无法回避的程度。
他回:“请发实例ID与对应日志截图,我只写‘非授权外接HID设备’,不做性质推断。”
他不给自己挖坑,但也不放过证据。
16:58,安全部发来一份截图与一串长长的设备实例ID。
周砚把实例ID输入资产管理系统的检索框,按回车。
结果弹出:该设备实例ID曾在两台电脑上出现过——一台是302公用电脑,另一台是……市场部媒介主管的笔记本。
媒介主管。
周砚没有立刻把这条结果丢出去,他盯着屏幕足足五秒,脑子里把近几天的“舆情攻击+假截图+媒体号带节奏”这条线与“媒介主管”的角色瞬间串了起来。
这不是巧合的概率已经接近零。
但他仍然不下结论。他按规范截图,记录检索时间、系统页面、设备实例ID、匹配结果,然后把截图归档进“302追溯/设备追溯”目录,留言区写清楚“资产管理系统检索结果截图,待安全部复核”。
他还做了一个动作:把媒介主管上午在群里说“法务要暂停社群资料发放”的那条消息截图,存入“舆情应对/内部协作记录”。他要把“动作”与“证据”并排放在同一条线上,让任何人想说“巧合”都站不住脚。
17:24,周砚起身去法务会议室。
走廊里很安静,安静得能听见自己的鞋底与地面摩擦的细响。他拎
【当前章节不完整】
【阅读完整章节请前往原站】
【ggd8.cc】