21:38,城市的路灯在车窗外一盏盏掠过,像一串被拉长的时间戳。周砚把车速压在限速线内,手指却没有一秒空闲——他用工作手机把“审计告警”截图、现场结果包邮件回执、共享盘拦截提示三份材料,按同一套命名规范分别归档到“合规记录/审计告警”“现场/结果固化”“甲方沟通记录”三个目录。
他不是在“保存文件”,是在把今晚的风险从“口头猜测”变成“可核验的事实”。对手动用高权限触碰结果证据,本质上已经越过了内部扯皮的边界,进入“组织级风险”的范畴——只要让梁总和内控看到,这是会让公司直接背锅的动作,博弈的重心就会从“周砚是否合规”转移到“公司是否正在被内鬼拖进事故”。
车内的导航语音提示他前方右转,周砚把方向盘打过去的同时,手机又震动了一下。
不是高岚,也不是**。
是一条来自项目群的消息,发信人是阿远,语气表面上像在“关心现场复盘”,字里行间却带着钝刀割肉的冷:
“现场辛苦了。刚才有人在内部提到‘预约名单’这类数据比较敏感,建议先不要对外广泛流转,避免后续被质疑‘收集个人信息过度’。你那边今晚先别再同步相关表格了,等法务把口径再统一一下。”
周砚盯着“先别再同步”这五个字,心里没有一丝意外。
他们总是用“合规”做缓冲垫:先让你停,再让你乱,最后让你在混乱里背锅。更关键的是——阿远发这条话的时间,距离系统拦截admin02尝试覆盖只有四十分钟。他不可能不知道。
周砚没有在群里争,也没有@梁总。他只回了两句,像盖章一样把边界钉死:
“预约数据仅以脱敏必要字段同步甲方,用于现场接待与到访安排,已取得明示同意并留痕。后续如需调整流转范围,请走法务+信息安全书面通知流程,并明确责任归属。”
发完,他把这条对话同样截图归档。
因为这不是沟通,这是未来可能被拿来追责的证据之一。
22:07,车子驶入小区地库。周砚没有像往常那样直接上楼,而是在车里多坐了三分钟。他打开行车记录仪的回放,往前拉到刚才那段路——后视镜里有一辆黑色SUV跟了他两个路口,距离不近不远,像刻意控制在“你看不出我在跟踪”的阈值里。
周砚把那段画面导出到手机,记录车牌末三位和时间点,命名为“可疑尾随-地库入口-22:03”,存进加密相册。然后他才下车,拎着文件袋上楼。
他不会用想象力吓自己,但也不会把“可能”当成“没事”。
22:26,家里灯亮的那一刻,周砚把包放下,第一件事不是洗澡,也不是吃饭,而是打开电脑,登陆公司指定的电子数据保全平台入口——这是他早就准备好的“第三方时间戳”方案,平时用不上,一旦用上,就意味着事情已经走到“任何内部系统都可能被动手脚”的阶段。
他把三份关键材料打包:
1)系统审计告警截图(含admin02、时间、目标文件名、拦截结果);
2)对甲方同步的现场结果包邮件回执(含收件人、抄送、发送时间);
3)共享盘中预约脱敏名单V1.3的哈希值生成记录(含生成时间、算法、存放路径)。
上传、生成时间戳、返回保全编号。每一步都像在给证据钉钢钉。
电脑屏幕右上角跳出“保全成功”的提示时,周砚的呼吸才微微放松了一点点。他不是在追求“绝对安全”,他追求的是:无论内部发生什么,至少有一份证据在公司之外,被独立固化。
视野边缘,蓝色面板亮起,提示像一条冷静的规则:
【当内部系统可能被污染时,必须引入外部不可逆时间戳】【把证据从“公司资产”升级为“第三方可信资产”】【这不是对抗,是风险隔离】
22:49,手机再震,是高岚的消息:“内控已启动应急:冻结admin02相关操作权限,调取当班运维远程会话记录。你今晚不要再连公司VPN,避免被‘嫁接’。”
周砚回:“收到。外部保全已做,编号已归档。若需我配合核验,我明早08:40到内控会议室。”
他不问“查到谁了”,因为在内控的语境里,没闭环之前任何“猜测”都是负债。只要他把自己放在“可配合、可核验”的位置,就能最大限度减少被动。
23:14,手机又亮了一次,是那条威胁短信的陌生号码发来的第二条信息,只有一句:
“你以为你能把每一口锅都推回去?小心连锅台都被掀掉。”
周砚没有回复。他按既定动作:截图、命名、归档、保留未读状态。然后把手机放到桌面上,像把一块冰放到灯下——它冷,但不需要怕,它需要被记录。
23:40,周砚终于去洗了个热水澡。水汽蒸上来时,他的脑子反而更清醒:对手今晚同时做了三件事——高权限触碰结果证据、项目群里制造“暂停同步”的**、匿名短信二次施压。三件事相互配合,目的是同一个:把“结果”变成“争议”,把“可核验”变成“不可核验”。
他们怕的从来不是他嘴硬,怕的是他把每件事都变成能复盘、能追责的链路。
00:18,周砚关掉灯,没睡。他把笔记本放到床边,写下明天的三条优先级,像在排一个审计项目的工作底稿:
A线:内控核验——admin02来源、远程会话记录、授权链路闭环;
B线:甲方交付——到访结果日报、预约转化跟进清单、D4动作更新;
C线:舆情防护——未知二维码海报核验、异常事件简报固化、现场流程强化。
他给每一条后面都加了一个“可交付物”:邮件、表格、简报、时间戳。只有可交付物,才算推进。
02:06,周砚终于睡着。
——
07:31,闹钟响起。周砚起床的第一件事,是检查手机短信是否被系统“自动归类”或“异常消失”。两条威胁短信还在,状态未读,时间戳完整。他再检查外部保全平台的记录,编号可查,时间戳有效。
确认完毕,他才打开工作手机的飞行模式,连接家里Wi-Fi,避免触发公司VPN相关风险。然后,他把昨晚可疑尾随的视频片段又备份了一份到本地加密盘——不是为了报警,而是为了防止它在关键时刻“刚好丢失”。
08:36,周砚到公司。电梯门打开时,内控会议室外的走廊已经站了两个人:信息安全部代表、运维代表许工。两人脸色都不太好,像一夜没睡,又像被更大的东西压着。
08:41,高岚准时推门:“进来。”
会议室的投影已经亮着,屏幕上是一张时间线图:16:52—17:05,关键目录审计事件密集出现;16:57,admin02尝试覆盖预约脱敏名单;17:01,系统拦截并告警;17:08,运维平台出现一次远程会话断开重连。
高岚开门见山:“先结论:admin02不是从你工位登录的,也不是从302公用电脑直接登录的。来源是‘远程运维平台’——有人通过运维平台以管理员身份发起了覆盖操作。”
许工的喉结动了一下,像想解释,又不敢抢话。
高岚继续:“运维平台的远程会话发起端,是市场部的一台终端。终端编号MKT-17,使用人登记——”她停顿半秒,“王XX。”
周砚的眼神仍旧平静,但心里那条链路在瞬间闭合:门禁里出现的“阿远助理王XX”、监控缺口起点的刷卡、现在又是市场部终端MKT-17。对方以为监控缺口能遮住前置动作,却没想到高权限操作留下了更硬的数字指纹。
信息安全部代表终于开口,语气比以往更谨慎:“我们还在核验王XX是否存在‘终端被盗用’的可能。终端当时处于登录状态,可能存在他离席后被他人操作。”
“那就查离席。”周砚没有争论动机,只抓关键可核验点,“查当时终端前摄像头、查门禁进出市场部区域记录、查终端的本地输入事件。你们既然能查到终端编号,就能查到USB插拔、键鼠输入、远程控制来源IP。不要停在‘可能被盗用’。”
高岚点头:“已经在做。还有一个更关键的:那通请求临时权限的电话录音我们听了三遍。讲话的人刻意压低声音,但有两个习惯性口癖非常明显——一句是‘别走邮件’,一句是‘来不及’。我们把录音做了声纹比对的预筛,样本库来自公司公开会议录音。”
许工的脸色更白了一点。
高岚没有立即报名字,而是看向周砚:“你昨晚发的外部保全编号给我一下,我要把它纳入内控附件,防止后续有人质疑‘你们自己生成的哈希不可信’。”
周砚把编号写在纸上递过去,动作很稳:“编号已归档,随时可核验。”
高岚接过编号,终于抬起头,声音压得更低:“声纹预筛最接近的,是阿远。”
会议室里空气像被抽走了一截。
信息安全代表迅速说:“声纹只是预筛,不能直接定性。”
“我知道。”高岚的语气没有波动,“所以我们不会用它做结论,只会用它决定下一步核验范围。现在的问题不是‘谁说了那句话’,而是‘谁让远程运维平台动用了admin02’,谁让监控在18:47断联,谁让市场部终端在16:57发起覆盖操作。只要这三条链路有两条能落到同一条授权线上,就够了。”
周砚没有插话。他明白,高岚说的“够了”,不是够定罪,是够让组织不得不处理。组织不需要英雄叙事,只需要风险闭环——有人触碰结果证据、有人滥用权限、有人制造追溯缺口,这三件事足以构成内控事故。
高岚把一份纸推到周砚面前:“这是你今天需要配合签收的《电子数据封存确认单》,确认你提交的外部保全材料来源、生成过程、存放路径。签收不是让你背锅,是让证据进入内控流程。”
周砚看完条款,确认没有“你承认存在违规操作”之类的陷阱,只是事实确认。他签字,落笔干净利落。
签完,他补了一句:“我建议同时封存MKT-17终端的本地事件日志和远程会话记录,避免被清理。封存动作要有时间戳,最好今天10点前完成。”
高岚点头:“已经下令。还有一件事——你今天继续做项目,不要被拖进内部调查的漩涡。调查我们来做,你只要保持交付节奏,把甲方侧的认可持续放大。”
周砚站起身:“明白。”
他离开会议室时,许工追出来两步,声音发紧:“周砚……我真不知道会变成这样。我们运维就是按流程办事,有人说梁总同意,我就……”
周砚没有责怪,也没有安慰,只问一句:“你当时有没有要求对方发邮件确认?”
许工苦笑:“他说来不及,还说‘你要是卡流程耽误项目,后面你扛’。”
周砚看着他:“现在你看到了。卡流程不是耽误项目,不卡流程才是把项目扛到事故里。”
许工的嘴唇动了动,最终什么都没说。
周砚回到工位,第一时间不是开项目群,而是打开“D4日报模板”,把昨天到访结果、预约转化、现场异常封存、核验路径执行情况,用最短的语言固化成一份可以被复核的日报。他不写“有人试图覆盖”,不写“内鬼”,只写:
“16:57出现对预约脱敏名单的覆盖尝试,系统拦截并触发审计告警,相关截图已归档,外部时间戳已固化;现有版本以V1.3为准,不追溯修改。”
他把这句话写在“异常说明”栏里,像把一颗**先画出来,再用红线把它圈住:这里有风险,但风险已被控制并留痕。
09:37,他把日报发给**,抄送梁总。主题仍旧干净硬朗:
《熙湖云庭到访日结果日报(脱敏口径+核验路径+异常事件封存已固化)》
**十分钟后回复:“收到,领导很满意。今天重点是把‘到访-二次预约-锁定意向’的漏斗走起来。你那边把跟进话术也按核验口径写一下,避免销售乱说。”
周砚立刻开新文档:《到访后跟进话术库(V1.0)》。每一句话术都避免夸大、避免承诺、避免模糊词,全部带可核验依据:
“通勤时长我们按实测区间呈现,视频可在官方资料页核验;”
“月供区间以公开利率与首付比例为假设,计算过程可查;”
“如需带家人复看,请选择官方预约入口,填写必要字段并勾选隐私告知。”
他不是在写销售话术,是在给一线人员装上“不会被追责”的护栏。
11:02,梁总的消息发来:“11:30来我办公室。”
短短一句,像把电梯按钮按下。
周砚合上电脑,把文件袋封条检查一遍
【当前章节不完整】
【阅读完整章节请前往原站】
ggdowns.cc