08:07,天色仍旧沉在一片灰蒙里,写字楼一层大堂的灯光像被水流磨平了棱角,冷白、均匀,落在地板上没有半点温度。
周砚没有直接上楼,而是先站在大堂角落的安全通道口,指尖触了触口袋里的手机——昨晚那条匿名威胁短信的截图归档记录,就存在相册的加密文件夹里。他很清楚,这条短信只能证明“有人在施压”,却无法直接绑定“谁在动手”。要把这种模糊的施压,变成可追责的攻击行为,必须将其重新锚定在那条完整的攻击链上:302会议室公用电脑→针对性失败登录→账号保护模式触发→项目交付通道中断。
他抬手理了理衣领,转身绕到信息安全室外的走廊尽头,停在那扇熟悉的磨砂玻璃门前。这里是追溯的关键节点,也是最容易出现“证据缺口”的地方,他必须把节奏握在自己手里。
抬手敲门,三下,力度不重不轻,刚好能穿透门板,却不显得急切。
门开的一瞬,负责302追溯的安全工程师看到他,眉头明显皱了一下,语气里带着几分不耐:“这么早?我们还没正式开工。”
“越早越好,省得晚上又出意外。”周砚的语气没有半分寒暄,直接切入核心,“昨天你们回复邮件说,302公用电脑的本地事件日志需要走封存解封流程,预计17:00前提供。我今天来,是提前确认两件事:一是日志的提取范围是否完整,二是关键字段是否齐全,避免等到晚上又出现‘信息不全无法判定’的情况。”
安全工程师侧身让他进来,办公桌上已经摆着一份打印件,封面用黑体字写着《302公用电脑事件日志提取说明(初稿)》。周砚扫过标题,没有去翻正文,直接盯着工程师的眼睛问:“我不关心流程,只关心四类核心字段:第一,设备唤醒或开机的精确时间;第二,所有登录尝试记录,包括成功与失败的账号、时间戳;第三,外设插拔记录,比如U盘、外接键盘鼠标这类可移动设备的接入与拔出痕迹;第四,网络状态变化记录,比如有线无线切换、IP地址变更、网关连接状态。这四类字段,能不能全部完整提供?”
工程师拿起桌上的打印件,指尖在纸页边缘摩挲了一下,迟疑着开口:“外设插拔记录……可能有点麻烦。这部分数据涉及公司设备安全策略,默认只保留七天,而且不一定能完整导出所有字段。”
周砚没有争辩“你们必须给我”,也没有用“合规”施压,只把逻辑平铺在桌面上:“监控已经出现了12分钟的缺口,这是既定事实。如果外设记录再缺失,就等于告诉所有人,那段最关键的时间里发生了什么,我们永远无法核验。你们昨天的邮件里,已经出现了‘建议账号持有人加强管理’的倾向性表述,这已经在往我身上引责任了。如果日志字段再不全,最后得出的结论,就会天然偏向‘账号持有人管理不当’。这不是合规追溯,是合规甩锅。”
他顿了顿,声音压低了几分,却更有分量:“我今天来,不是要逼你现在就告诉我‘是谁干的’,只是要确保日志字段完整。字段不全,就不能出任何倾向性结论;你们要出结论,就必须把字段补齐。这对你们,对项目,都是最基本的负责。”
安全工程师的喉结滚了一下,低头沉默了几秒,最终点了点头:“行,我现在就去协调后台同事,按你说的这四类字段提取。17:00前,我给你一份带哈希值的可核验版本,不会少关键信息。”
周砚没有再多说,转身离开。他要做的不是压制信息安全部,而是一点点补齐证据链的缺口,逼着所有人从“无法确认”的灰色地带,重新回到“必须确认”的规则框架里。
09:02,周砚回到工位,第一件事不是看项目群消息,而是打开公司的会议室预约管理系统。昨天信息安全部的邮件里,那句“302涉事时段未预约,为临时使用”像根细刺卡在他心里——只要“未预约”的说法成立,就等于没有明确的使用主体;但只要能证明“有人动过预约记录”,或者“临时使用登记制度未被执行”,这句话就会反过来变成“追溯流程存在缺失”的证据。
系统页面加载完成,302会议室在18:00—20:00的时段,果然显示为“空闲未预约”。周砚没有意外,真正的手脚从来不会留在明面上。他按下打印屏幕键,把页面导出为PDF,生成SHA-256哈希值,存入共享盘“合规记录/302追溯/预约记录核验”目录,在留言区清晰标注:“09:06导出,系统显示涉事时段(18:30—19:10)无预约记录,需进一步核验是否存在预约撤销或修改历史。”
紧接着,他打开第二个关键入口——行政部的会议室临时使用登记表单。公司有明确规定,未预约临时使用会议室,必须通过扫码登记使用人、部门、使用事由和时间段。很多人觉得这流程麻烦,常常忽略,但只要流程存在,就一定会留下数据痕迹。
表单后台数据里,302会议室18:30—19:10的临时使用登记栏,赫然写着“无记录”。
周砚盯着那两个字看了两秒,没有打电话追问,直接给行政部负责人发了一条IM消息,语气平淡却带着不容置疑的必要性:“请提供302会议室近一周的临时使用登记后台完整数据,包括表单访问日志、数据提交记录、修改或删除记录,用于配合信息安全部的302追溯工作。数据需导出为CSV格式并生成哈希值,10:30前同步给我。”
他不问“为什么没人登记”,也不指责行政部监管不到位,只索要“是否存在修改痕迹”的核心证据——只要有人动过这条记录,数据的访问日志和修改日志就会自己开口说话。
10:18,周砚处理完追溯相关的事宜,才终于点开项目群。运营同事已经同步了最新进度:D3批次的资料分批发已完成30%,咨询量平稳,没有出现新的带节奏言论;预约确认名单新增2条,都是明确了周末到访时间的用户;开放日的接待流程,也已经按**昨天的反馈优化完毕。
周砚快速扫完消息,把这些进度整理成《D3项目推进滚动记录(10:20版)》,明确标注了“已完成事项”“待推进事项”“责任人”和“时间节点”,然后同步到项目群,并抄送梁总和项目归档邮箱。对手越是想用内部追溯拖慢节奏,他就越要让项目保持持续推进的惯性——这种惯性一旦形成,任何“暂停”或“放缓”的建议,都必须有人站出来承担“影响甲方交付”的责任。
11:34,梁总的IM消息突然弹了出来,没有多余的铺垫,直接切入主题:“你昨晚收到的匿名威胁短信,把原始截图和归档路径发我一份。”
周砚没有迟疑,立刻把加密相册里的截图原图、归档时的命名规则、共享盘里的存放路径一起发了过去,补充了一句:“所有归档记录均带时间戳和哈希值,可核验未篡改。”
不到三分钟,梁总的消息再次发来,语气像从高处落下的重锤,带着不容置疑的威严:“我已经跟信息安全部负责人打过招呼了,302追溯按‘项目事故风险’等级推进,谁再敢用‘无法确认’‘信息不全’来糊弄,我就让他亲自解释,什么叫‘合规追溯’,什么叫‘责任担当’。”
周砚盯着这条消息,指尖在屏幕上顿了半秒,没有回复“谢谢”,只把这条对话截图归档——梁总的态度,是他推动追溯证据链闭环的关键杠杆,也是压在对手身上的另一重压力。
13:07,行政部负责人的消息回了过来,语气明显带着谨慎:“周砚,302会议室的临时使用登记后台数据,我没有权限直接导出,需要IT支持部门协助提取。我已经提交了申请,预计14:30前能拿到完整数据。”
周砚没有继续追问行政部,而是直接把这条消息转发给梁总,附上一句简短的说明:“302追溯缺口项:临时使用登记后台日志需IT支持部门协助导出,当前已由行政部提交申请,待跟进。”
他不把问题压在自己和行政部之间,而是把它上升到“项目追溯所需”的层面,推给有决策权的人。追溯从来不是个人英雄主义,而是组织内的规则博弈——只要梁总站在“项目事故风险”这一边,必要的权限和资源就会自动流向需要的地方。
15:42,信息安全部的邮件终于发来,标题比昨天正式了许多:《302公用电脑事件日志(涉事时段提取版)》。附件只有一个加密压缩包,正文里还附了一份《字段说明清单》。
周砚没有急着解压,而是先按惯例做了基础留痕:把邮件全文导出为PDF,给压缩包生成哈希值,将所有文件分类存入共享盘“合规记录/302追溯/事件日志”目录,更新《302追溯证据索引表》,明确标注“证据名称、来源、提取时间、关键字段、哈希值”。做完这一切,他才输入解压密码,打开了事件日志文件。
一行行时间戳精准的记录滚动而过,周砚的目光快速锁定在关键区域,指尖在触控板上缓缓停下——其中几行记录,像一把钥匙,**了监控缺口的锁孔里:
18:45:36设备状态变更:从休眠模式唤醒,唤醒源:本地键盘操作;
18:46:12本地用户会话启动:未绑定公司域账号,为临时访客会话;
18:46:58外设接入记录:可移动存储设备接入,设备识别ID:XXXX-XXXX-XXXX(部分脱敏),厂商:XX科技;
18:47:21应用启动记录:浏览器启动,访问地址:公司统一登录门户;
18:48:15登录尝试记录:账号输入(周砚@公司域名),验证状态:待验证;
19:01:03登录失败记录:账号(周砚@公司域名),验证失败原因:密码错误,来源设备:302公用电脑;
19:01:18登录失败记录:账号(周砚@公司域名),验证失败原因:密码错误;
19:01:32登录失败记录:账号(周砚@公司域名),验证失败原因:密码错误,触发账号保护模式;
19:03:45会话结束:临时访客会话锁定,设备恢复休眠模式。
周砚的手指缓缓收紧,指节微微泛白。
监控缺口是18:47—18:59,而外设接入发生在18:46:58——刚好压在缺口的起点前一秒。这意味着,在监控失去信号的前一刻,有人通过键盘唤醒了302的公用电脑,启动了临时会话,插入了可移动存储设备,随后立刻访问了公司登录页,输入了他的账号。整个动作链条完整且有明确的时间线,完全印证了他之前的推断:这不是偶然的误操作,是针对性极强的攻击行为。
监控缺口不等于没有证据。这条事件日志,已经把那段“无法确认”的时间,补成了一条可追溯、可核验的动作链。
视野边缘,蓝色面板准时亮起,提示的字色冷得像刀锋:
【监控缺口已被补齐:事件日志+门禁记录已形成完整攻击链路】
【下一步核心动作:锁定“可移动存储设备”的完整身份(全序列号/厂商ID/首次接入记录),并与门禁记录中的人员信息交叉匹配】
周砚立刻翻到附件里的《字段说明清单》,果然在“外设接入记录”一栏看到一行小字:“设备识别ID已部分脱敏,完整序列号可向资产管理部门申请调取。”他把那串脱敏的设备ID截图下来,新增到《302追溯证据索引表》里,标注为“核心关联证据”。
随后,他几乎没有停顿,接连发出两封邮件,动作精准得像执行战术指令:
第一封发给信息安全部负责人,主题明确:《请求补充:302涉事
【当前章节不完整】
【阅读完整章节请前往原站】
【ggd8.cc】