06:58,城市还没完全亮起来,写字楼外的路灯光晕被雾气揉成一团,像一层刻意做旧的滤镜,把所有边界都模糊掉。
周砚进门时,门禁“嘀”了一声,声音很短,却像一个清晰的时间戳,在他脑子里落了地——今天的核心不在项目数据,也不在口径脚本,而在一个序列号背后到底挂着谁的名字。
他走到工位,先没开电脑,而是把文件袋放在桌面正中央。透明封条还在,签名没动。他抽出手机,打开加密相册,昨晚导出的匿名邮件、陌生短信、HR纪要草稿截图、权限异常工单回滚记录,全都在一个“施压证据”相册里按时间线排得整整齐齐。周砚盯了两秒,就把手机扣在桌面上——他不是在回味压力,而是在提醒自己:对方已经从“做事干扰”转向“纸面裁决”,每一个细节都会被拿来写结论。
台灯亮起,电脑开机。共享盘、项目邮箱、合规记录表、资产系统工单页面,他按固定顺序开了四个窗口。顺序永远不能乱,乱了就会被逼着在情绪里做决定。
07:11,邮箱右下角弹出新邮件提醒,发件人:资产管理中心;主题短得像一张名单:《USB资产归属核查结果(序列号XJ7-3A9-…)》。
周砚没有立刻点开附件,而是先看抄送列表——抄送了信息安全部负责人、法务专员、HR主管、梁总,还有韩策。抄送名单太整齐,整齐得像他们早已准备好把这份“归属”当作终评证据直接塞进纪要里。
他点开邮件正文,只有两句话:
“经核查,USB设备序列号XJ7-3A9-…对应公司资产编号U-202X-1187,归属部门:行政部;当前领用人:孙XX;领用记录见附件《资产领用单(电子签)》。”
周砚的指尖停在“孙XX”三个字上,停了半秒。
孙XX——门禁明细里那个在19:02、19:08两次刷卡进出302会议室的行政员工。这个名字不陌生,但也不“关键”。关键的是:事件日志显示USB插入发生在18:46:03,拔出发生在19:03:11;而孙XX的门禁记录显示他第一次进入是19:02,接近USB拔出前一分钟,第二次进入是19:08,已经在三次失败登录之后。这个时间链条意味着一件事:即便U盘归属真的是孙XX,他也不可能在18:46把它**电脑。
归属和插入时间不匹配。
也就是说——这份“归属结果”最多只能解释“U盘是谁名下的资产”,不能解释“是谁在关键时刻使用了它”。更可怕的是,它很可能被用来制造一种错觉:你看,U盘属于行政员工,行政员工进出302很正常,所以异常也很正常,无法锁定责任人,账号持有人自负其责。
周砚点开附件《资产领用单(电子签)》,页面上是标准的公司模板:资产编号、序列号、领用人、领用时间、审批人、电子签名。领用时间显示为“202X-XX-XX09:18”,审批人是行政经理,签名看起来完美无瑕。
完美得让人起鸡皮疙瘩。
09:18——几乎就是他昨天要求补充运维记录之后,安全部开始“公开化”回应的时间段。这个时间点太合适:只要在追溯压力变大时,把U盘挂到一个“看起来合理的普通行政员工”名下,就能把矛头从王XX、从韩策、从任何敏感人身上挪开,让整条链条掉进“合理但无法确认”的泥潭。
视野边缘,蓝色面板亮起,字色像钢:
【归属结果的陷阱:用“资产名义领用人”替代“实际使用人”,把证据链导向可牺牲的普通角色】
【应对关键:区分三件事——资产登记归属、首次安装痕迹、涉事时段实际插拔;要求提供资产系统变更历史与首次登记记录】
周砚没有急着回邮件。他先把资产领用单下载到本地,生成哈希值,上传到共享盘“302追溯/资产归属”目录,留言区写明“资产中心核查结果原件已归档,待核验时间链与变更历史”。然后,他打开《302攻击链交叉证据比对(门禁×事件日志)》文档,新增一行红字:
“资产归属:孙XX(行政部)——与USB插入时间18:46不匹配,需进一步核查U盘首次安装痕迹与资产变更记录。”
写完这行字,他才开始回邮件。
收件人只填资产管理中心,抄送梁总、法务、信息安全部负责人;主题写得不客气但完全事实化:
《关于USB资产U-202X-1187归属结果的补充核查请求(需用于302追溯时间链校验)》
正文四点,每一点都像钉子:
“1)请提供该USB资产U-202X-1187的资产系统全量变更历史(含创建时间、首次入库登记、领用人变更记录、变更操作账号、操作时间、审批链),以核验当前领用记录是否为首次登记;
2)请提供该资产的首次领用单/入库验收单(如有),并说明该序列号是否曾存在‘公用资产池/临时借用’记录;
3)基于信息安全部提供的事件日志显示该USB于18:46:03插入302公用电脑、19:03:11移除,且门禁记录显示孙XX首次进入302为19:02,时间链存在不匹配。请协助核查是否存在‘实际使用人与资产名义领用人不一致’的情况;
4)如资产系统支持,请提供该资产领用单生成时对应的系统日志截图/审计编号,确保取证链条可用于后续合规审计。”
点击发送,他截图归档,把邮件也放进“302追溯/资产归属”目录。
他要做的不是否定孙XX,而是让“孙XX”这个结论无法被当作终局。只要变更历史一出来,真相就会露出一点缝:这支U盘到底什么时候登记、谁操作了变更、为何偏偏在关键时间点挂到某人名下。
07:49,梁总的消息跳出来:“你看到资产归属了?”
周砚回:“看到了。归属写孙XX,但插入时间18:46与孙XX门禁19:02不匹配。已要求资产中心提供变更历史与首次登记记录。另:需要安全部提供302电脑USB首次安装痕迹(SetupAPI日志或USBSTOR首次识别时间),才能锁定这支U盘之前插过谁的设备。”
梁总回了两个字:“继续。”
短得像命令。周砚明白:梁总不想让他公开点名任何人,但允许他把证据链往“系统审计”方向推。系统审计是公司最怕也最难拒绝的东西——因为一旦开了口子,很多“合规外衣”会被掀开。
08:12,HR主管发来纪要修订版,标题还是那样官方:《终评预审会议纪要(修订版)请确认》。
周砚点开,第三段“协作评价”换了一种更阴的写法:不再写“强势”,改成“多方反馈”,并加了一句“已收到多位同事关于周砚沟通方式的反馈,建议加强协同与柔性沟通”。
“多位同事”四个字,是把模糊定性升级为“群体共识”的万能武器。它不需要证据,只需要声音;它不指向一个具体人,因此也无法对质;它不要求时间点,因此永远无法核验。
周砚看着那一行,眼神冷了下来。他没有在邮件里争辩“我不强势”,那等于把自己拖进“人格辩论”。他只回一条规则:
“请补充‘多位同事反馈’的核验要素:至少包含反馈收集方式(匿名/实名)、反馈时间窗、反馈对象角色范围(运营/销售/设计/项目管理等)、具体事例条目(事件-时间-参与人-影响-证据路径)。若无法提供事例条目,请删除该模糊描述,不纳入终评依据。——本人仅确认可核验事实,不确认抽象主观评价。”
发送成功截图归档。他知道这会激怒HR,但这是唯一能把“多方反馈”从空气里拉回地面的方式。
08:38,项目侧的消息同步涌入:**要答疑脚本,运营要更新预约流程,设计要确认海报文案,社群还需要一条“对外柔性核验入口”的置顶话术。
周砚把脑子切回执行模式。他打开脚本模板,仍然是那套“短、稳、可核验”的结构:
“1)我们不讲单点,只讲区间:通勤±浮动、月供按不同付款方式区间计算;
2)每一条数据都有来源:公开竞品报告+甲方样本+实测视频证据;
3)预约到访流程三步走:填表同意隐私告知→确认时间段→收到到访须知与路线实测入口。”
他把Q&A写成“可复制口径卡”,把核验入口写成“实测入口链接+资料来源说明”,文字温和,但每一句都能回到证据。
09:27,答疑脚本v1.0发给**,抄送梁总和项目归档邮箱。周砚没有忘记在邮件里写一句:“脚本口径与v1.1一致,引用来源与核验入口已在附件末页标注,便于领导追问时直接对应。”
他按下发送,截图归档。对外节奏继续推进,内部裁决才更难下手。
09:53,资产管理中心终于回复了一封邮件,语气开始变得谨慎:“变更历史需从资产系统后台导出,涉及审计数据,需经信息安全部批准后提供。我们已提交申请,预计今日15:00前反馈。”
周砚看着“需经信息安全部批准”这几个字,胸口一沉。
这意味着安全部可能会卡变更历史。卡住变更历史,就等于卡住“是谁改的归属”。他们可以让归属停留在孙XX,把链条锁死在“普通行政员工”,然后让终评会在变更历史出来前完成,用时间赢。
周砚没有回“那就等你们”。他立刻给信息安全部负责人发了一封更硬的邮件,抄送梁总与法务:
主题:《关于USB资产变更历史导出的审计必要性(302追溯关键交叉证据)》
正文只写三句:
“1)资产变更历史属于追溯关键证据,不提供将导致结论无法核验,风险持续悬而未决;
2)该审计数据仅用于内部追溯与项目事故风险评估,可按最小化原则提供(仅限U-202X-1187该条资产记录的变更日志),不涉及其他资产信息;
3)请于今日14:00前明确是否批准导出及提供方式,避免追溯在关键证据层面被延迟,影响项目正常推进。”
他把时间点卡死,不是为了催促,而是为了在梁总那边形成“拒绝/拖延”的事实记录。一旦安全部继续拖,梁总就必须介入,否则项目事故风险会落在他这个负责人头上。
10:41,韩策在内网IM里丢来一条消息:“中午一起吃个饭?我有个建议,能让你少折腾。”
周砚看着“少折腾”三个字,几乎能闻到里面的味道:妥协、撤权、换取一个体面的离场或一个“后台岗位”安排。对方不再试图用权限掐死他,改用“解决方案”让他自己退。
周砚没拒绝,也没答应,只回:“会议和项目节奏优先。建议请写在邮件里,便于核验与留痕。”
韩策没再回。
对方要的不是沟通,要的是私下消解。周砚不进私下场。
11:36,安全部终于发来另一封邮件,附件标题写着《302公用电脑事件日志补充说明》。周砚点开,发现里面试图把“QuickAssist.exe”轻描淡写:“远程协助服务启动不代表存在外部连接,可能为系统组件自检或内部维护触发。”
周砚读完就笑了一下——不是轻松的笑,是那种看见对方开始修辞的笑。
他们越解释,越说明这条线痛了。系统组件自检为什么偏偏在18:58启动?为什么偏偏发生在监控缺口覆盖的时间窗后?为什么偏偏与USB插入/移除、失败登录形成闭环?
解释不是证据。解释越多,漏洞越大。
周砚立刻回邮件,只问一个问题,像把刀刃递到对方眼前:
“请提供QuickAssist.exe启动对应的系统事件记录编号(EventID)及连接记录字段(若无连接记录,请明确‘连接记录字段为空’并说明取证来源与哈希),以便核验该进程是否存在实际远程会话。”
他不说“你在撒谎”,他只要求“给出字段”。字段给不出,就只能承认没有做取证;字段给得出,就可能暴露连接轨迹。
12:18,周砚去茶水间接水,路过行政区时听见两个同事低声议论:“孙XX今天被叫去谈话了,说资产U盘的事可能要背锅。”
周砚脚步顿了一下,但没有停。他的第一反应不是“抓到人了”,而是“他们开始找替死鬼”。
替死鬼一旦被立起来,真相就会被埋进人情和恐惧里——孙XX会为了保饭碗承认“我可能借给别人了”“我可能忘了放哪了”,然后结论就会写成“管理不当”。管理不当的下一步,就又回到“账号持有人管理不当”。链条会绕一圈,绕回他身上。
周砚回到工位,打开“施压证据相册”,把这一条“替死鬼苗头”用文字记录进合规表:时间、地点、信息来源、内容摘要。不是为了指控孙XX,也不是为了散布消息,而是为了在后续出现“孙XX承认”时,能把它放到时间线里:这份承认是否发生在被谈话之后,是否存在压力诱导。
13:07,梁总发来消息:“安全部同意资产变更历史导出,但只给我,不给你。你先别碰这条线,继续把答疑和预约转化做稳。晚上我叫你。”
周砚回:“明白。建议同时封存资产系统该条记录的审计日志(操作账号/时间/审批链),防止后续追溯被‘更新覆盖’。”
梁总回:“已让他们封存。”
周砚这才稍微松了一口气。封存意味着“改不了过去”,至少改起来会留下痕迹。
14:36,项目侧又传来一个好消息:**转发了甲方内部群截图,领导
【当前章节不完整】
【阅读完整章节请前往原站】
ggdowns.cc