5)1901后302终端发生针对周砚账号的失败登录尝试触发保护模式。
纪要由信息安全部与法务共同签字,抄送梁总、hr,并作为项目事故风险证据归档。”
梁总直接点头:“照做。”
严负责人几乎是硬着头皮答应:“可以。”
0936,纪要草稿打印出来。
周砚逐字核对,所有关键时间点、账号、操作类型都写进去了。他要求在“结论”部分加一句:“该链路可直接证明异常操作来源与周砚工位无关,且存在未经工单的远程管理行为,需进一步追溯指挥链,暂不得对周砚做任何倾向性定性。”
法务专员看了梁总一眼,梁总没反对,法务把这句写进纪要。
签字,盖章,抄送。
周砚把纪要扫描件按规范命名,上传共享盘“合规记录302追溯关键纪要”,生成哈希,记录到合规清单。每一步都干净利落,不留任何“口头说过”的灰区。
1002,回到工位,周砚刚坐下,项目群里就出现了阿远的一条消息,语气一如既往“站在项目角度”:
“@全体提醒一下,最近内部调查比较多,大家不要私自调取门禁、日志等敏感信息,避免引发合规问题。对外口径由我统一把关,避免信息不一致。”
周砚看着这条消息,眼神像冰一样冷。
太晚了。
对方想用“敏感信息”把他框住,但纪要已经落纸,梁总已经抄送,法务已经签字。现在再喊“别调取”,只能说明他们开始害怕事情继续往上追。
周砚没有在群里回怼。他只做一件事:把刚刚签字的纪要邮件转发到项目归档邮箱,并在合规记录表里新增一行:关键纪要已抄送梁总与法务,授权核验流程明确。这样,任何人想说“你私自调取”,都必须先解释:这是信息安全部现场核验并签字纪要,哪里“私自”?
1024,王珊来电。
她的声音比平时更快,背景里像在走路:“周砚,领导今天下午要看二次预约排期。我需要你给我一句话:你们能不能稳定把开放日到访转成二次预约?别说大话,要能落地。”
周砚把电脑屏幕切到“二次预约排期表”,语气稳得像钉子:“能。我们用48小时链路推进:t+2感谢补资料,t+24补证据,t+36答疑,t+48定二次到访时间段。排期表按时间段分布已做,预计到访数按保守口径计算,不夸张。1430前我发你排期+动作说明+抽查样本,会上可直接用。”
王珊明显松了一口气:“好,我等你。”
挂断电话,周砚没有停,开始把排期表做得更“可汇报”:把二次到访按用户意向户型与通勤诉求分组,给每组匹配对应的证据素材包与答疑点,形成一页“带队接待提示卡”。甲方领导要的不是“你们很努力”,而是“你们有方法且可复制”。
1109,手机又震了一下。
陌生号码短信第三条来了,字更短,却更狠:“你把外包扯进来,梁总也保不了你。供应商一刀切就结案,你呢?”
周砚看完,反而更冷静。
这条短信暴露了对方的焦虑方向:他们担心事情停在“外包流程问题”就会结案,而周砚真正要做的是从外包执行链往上追到内部指挥链。对方急于告诉他“会结案”,说明他们已经在内部推动“快速止损”――把责任推给供应商,处分外包工程师,补一份流程整改,事情到此为止。
周砚照旧拍照归档,标记未读。他没有回复,但他知道今天必须抓住梁总在场的窗口,把“指挥链追溯”写进动作项,不给他们“一刀切”的空间。
1132,梁总给他发了一条消息:“中午12点会议,关于302事件处置。你也来。”
周砚回:“收到。我准备一页‘指挥链追溯动作项’。”
他立刻新建一页纸,标题写得极直白:《302远程唤醒与失败登录链路――指挥链追溯动作项(项目事故风险)》。内容只有四条,但每条都指向“谁指挥”的证据:
1)调取外包工程师王某当日工位门禁监控(含供应商驻场区)与服务台工单系统操作轨迹,确认其操作环境与接触对象;
2)调取服务台跳板机在1830-1910的完整会话审计(不仅限唤醒操作),包括远程会话来源ip、连接发起端资产编号,以锁定“谁在使用该外包账号或协同其操作”;
3)核对当时段是否有内部人员通过im电话会议安排向服务台提出“绕工单操作”指令(至少形成“排除清单”);
4)形成临时管控:服务台跳板机权限收紧、外包账号二次验证强制开启、wake-on-lan操作必须绑定工单编号,否则系统阻断。
他把这一页打印出来,连同纪要复印件一起装进文件袋,封条贴好,写上日期与签名。
1200,处置会议。
会议室里人不多,但位置很微妙:梁总坐主位,法务、信息安全部负责人、it负责人、hr主管都在,阿远也被叫来了,坐在靠门的位置,脸色比平时更紧。桌面摆着刚签字的核验纪要,像一块硬邦邦的铁。
梁总没有铺垫,直接把纪要摊开:“302这条链路已经闭环。网络唤醒来自服务台跳板机,账号helpdesk_wangxx无工单执行唤醒,随后触发周砚账号保护模式。现在两件事:一,先定临时结论,不得对周砚做倾向性定性;二,追溯指挥链,不能停在外包。”
it负责人试图先“止损”:“外包账号违规操作,我们会按供应商管理处理,立即停用账号,补流程……”
梁总打断他:“停用账号是处置,不是追溯。你能告诉我谁让他这么做吗?”
it负责人一噎:“目前没有证据……”
周砚把那页“追溯动作项”推到桌面中央,语气平静:“证据需要行动才能出现。现在有明确链路:外包账号在无工单情况下执行**险操作,这不是个人习惯能解释的,必然存在指挥或默许。建议按动作项推进,至少先锁定外包账号远程会话来源端资产编号,确认谁在协同使用。”
信息安全部负责人皱眉:“远程会话来源端属于网络安全敏感数据……”
梁总看着他:“你要继续用‘敏感’挡住追溯?那我就把这件事定性为‘内部安全管理失职导致项目事故风险’,你来背?”
会议室沉默。
hr主管轻声开口,想把议题拉回“用工”:“那周砚这边――补充条款要不要签?毕竟他也接触了敏感资料……”
法务专员抬眼:“他是按信息安全部现场核验流程接触,且不外带原始日志,仅留纪要,流程合规。补充条款可以签,但不能用来限制项目交付。”
梁总直接拍板:“周砚不受限,按最小化策略。项目节奏优先。”
阿远的脸色更沉,终于插话,语气带着一种被逼急的强硬:“梁总,现在内部调查影响大家工作,我建议先把对外口径收紧,所有对甲方的日报先停两天,等我们把事情查清楚再继续,避免信息不一致引发更大风险。”
周砚抬眼看他,没有愤怒,只有一种冷到极致的事实:“日报不是宣传,是交付闭环。停两天,甲方内部会没有连续进展,开放日到访用户的48小时链路会断,二次预约直接掉。这个风险比‘信息不一致’更大。你要停,可以,出具书面说明:停多久、谁批准、对甲方怎么解释、项目指标下滑谁承担。”
阿远的嘴唇抖了一下,没接话。
梁总看向阿远,声音很淡,却像刀:“项目负责人不是拿‘风险’当借口拖死节奏。调查线走调查线,交付线不能停。谁提停谁负责。”
会议到此定调。
处置动作写进会议纪要:追溯指挥链必须推进,不能一刀切甩给供应商;服务台跳板机权限立即收紧;wake-on-lan绑定工单;外包账号二次验证强制开启;对周砚不做任何倾向性定性,继续保障交付权限。
周砚把纪要落纸的每一条都记在脑子里――因为只有写进纪要,才不会在明天变成“你听错了”。
1418,周砚回到工位,先把甲方需要的“二次预约排期表+推进动作说明+抽查样本”整理成三个附件,导出pdf,生成哈希,按规范上传共享盘。1430准时发给王珊,抄送梁总。邮件正文依旧短,但每句话都能扛追问:
“1)二次预约排期按时间段分布,预计到访数采用保守口径;
2)推进链路为48小时动作闭环(t+2t+24t+36t+48),责任人已明确;
3)话术抽查样本已附,确保合规可复核。”
1457,王珊回复:“收到。领导说你们这套‘不夸张但稳’的方式很好。让你们继续按这个节奏走。”
周砚盯着“很好”两个字,心里没有松懈――甲方越认可,内部越有人急。
果然,1620,一封邮件从hr系统自动发来,标题一眼就让人发凉:
《提醒:关于敏感信息接触与合规边界的再次告知》
正文很长,但核心只有一句:任何员工不得在未经授权情况下接触门禁、网络安全日志等敏感信息,违规将追责。
这封邮件发得很巧,刚好在处置会议后,像是在“重新定义叙事”:把刚刚落纸的核验流程,悄悄变成“敏感信息接触风险”。如果周砚不处理,明天就可能有人说:你看,hr系统都提醒了,周砚还在搞日志,肯定有问题。
周砚没有和hr争。他做了最简单也最有效的动作:把处置会议纪要里“现场核验流程合规、仅留纪要不外带原始日志”的条款截取出来(不带敏感字段),写了一封回复邮件给hr主管,抄送梁总与法务:
“已收到系统提醒。本人关于302追溯的所有核验均在信息安全部安排的现场核验流程下进行,不外带原始日志,仅留存签字纪要与必要结论,符合会议纪要约定的合规边界(纪要条款见附件)。请在后续提醒中避免产生对已合规流程的误解,以免影响项目正常交付。”
他不去争“你是不是针对我”,只用纪要把对方的叙事钉死:这是合规流程,不是个人行为。
1806,运营同事发来消息:“二次预约确认又新增5条,今晚答疑专场要不要开?”
周砚看了看数据曲线,回:“开,十分钟,围绕两点:通勤浮动怎么理解、月供区间怎么计算。口径按v1.1,证据路径置顶。结束后立刻推二次预约入口。”
他把答疑话术卡更新为v1.2,生成哈希,归档。对手想用内斗拖慢节奏,他就用节奏把对手逼到墙角――只要用户在转化,甲方在认可,任何人想把他踢出局都得付出更大代价。
2023,答疑专场结束。
后台数据显示不算爆,但二次预约入口点击率比昨天高,且没有出现带节奏刷屏。运营发来一张截图:有用户说“你们挺谨慎,讲得清楚”。周砚照例归档,并把这条截图放进“甲方汇报可用素材”文件夹――这是结果的证据,也是信任的证据。
2147,信息安全部发来补充邮件:服务台跳板机远程会话来源端资产编号已初步锁定,需明日进一步核验;外包工程师王某已暂停权限,供应商要求内部指派对接人沟通。
邮件末尾还有一句看似礼貌的“建议”:为避免舆情扩大,建议内部不再追溯更多细节,先按供应商整改结案。
周砚看着“建议结案”四个字,眼神冷下来。
他们开始收口了。
但他已经知道,真正的战斗不在“外包是否违规”,而在“是谁指挥、谁默许、谁利用流程漏洞发动针对周砚账号的打击”。只要指挥链不追溯,下一次他们还会换一条链路继续打,换个外包账号、换个公用终端、换个缺口,合规绞索会永远套回来。
周砚没有当场回这封邮件。他先把它归档,然后在“302追溯缺口清单”里新增一条:
“追溯风险:存在‘供应商整改结案’倾向,可能导致指挥链追溯中断。”
随后他给梁总发了一条消息,只有一句,但足够清晰:
“安全部建议供应商整改结案,需防止指挥链被截断。建议明日优先核验‘远程会话来源端资产编号’映射结果,并形成书面结论。”
梁总回得很短:“我盯。”
2216,周砚收拾文件袋准备离开,手机又震了一下。
陌生号码第四条短信来了,这次没有威胁,而像一句阴冷的“提醒”:
“跳板机是公用的,谁都能用。你追不出来的。”
周砚看完,嘴角没有任何弧度。
“谁都能用”这句话,和之前“监控缺一段很正常”一样,都是在试图把一切拉回灰区。但他们忽略了一点:只要系统能记录账号、会话来源、资产编号,只要纪要能落纸,只要追溯能继续推进,“公用”就不再是护盾,只会变成失控管理的铁证。
周砚照旧拍照归档,标记未读。然后他把手机收进口袋,走出写字楼。
夜风比昨晚更冷,吹在脸上像细小的刀口。周砚却走得更稳,因为他已经拿到了那块最关键的证据:唤醒来源来自跳板机,操作账号有迹可循,无工单执行链路清晰。
监控缺口不再是他们的盾牌。
它现在反而像一道证据的阴影,把1847那一下网络唤醒照得更亮。
接下来,只剩最后一步――把“跳板机远程会话来源端资产编号”映射到具体终端,找到那台发起会话的设备、那个人、以及他背后真正的指挥者。
等这一步落下,整条链就不再是“流程漏洞”。
它会变成一场有意图、有手法、有指挥的攻击。
周砚不会让他们用“供应商整改”把它抹平。_c