凌晨一点十二分,战情室的灯依旧亮着,但亮得更像一盏警示灯。
梁总靠在椅背上,眼睛没闭,手里却一直转着那只笔。顾明把当天所有审计报告按编号顺序排成一列,像给一条刚成形的骨架做x光片。陆律则在电脑上不断刷新纪检联络群的消息――她不是等消息,是等“反扑的下一步”。
周砚坐在白板前,白板上那条拓扑被粗线圈住:临时管理员、信息中心小组长、外包安保主管、访客网络、匿名账号、群体煽动、跟拍威胁。圈住的不只是人和节点,是一种惯性:当规则上锁,灰会转向暗门。
暗门是什么?
不是一个系统漏洞那么简单。暗门是“回收期”的利用:制度刚落地,旧权限还没完全回收;冻结开关刚装上,旧设备还在运行;钥匙刚分散,旧口径仍在传播。回收期的这几天,是灰最擅长的时间窗口。
周砚把目光从拓扑移到桌面那份董事会临时决议,轻轻点了一下关键条款:“取消所有临时管理员权限,改为实名绑定、有效期、强制二次认证。”
“取消”在纸上很干净,执行却一定有缝。因为取消本身就需要权限,需要执行链。
顾明像读懂了他的担心:“我已经让信息安全把‘临时管理员列表’导出来了,一共二十七个。二级冻结只冻结了其中三个与两个服务账号。剩下的二十二个还在。”
梁总皱眉:“不是说取消所有临时管理员权限?”
顾明摊开手:“通知是中午发的,取消要分批执行。信息安全团队人手不够,他们要逐个做权限回收与依赖检查,不然会把业务系统一锅端。”
陆律冷静地接话:“回收期就是对方的机会。我们得盯住最关键的那几类临时权限:协作空间管理、会议预订管理员、门禁导出、打印审计导出、群管理后台。只要这些不全回收,对方还能开暗门。”
周砚点头:“我们把‘回收期风险清单’发董秘办,要求按优先级回收,并把执行进度留痕。”
梁总立刻说:“我来签字发。”
他刚要起草邮件,战情室外的安保人员敲门,声音压得很低:“梁总,楼下前台说有一份快递,指名给周老师。寄件人信息空白。”
空气像被刮了一下。
不明寄件人、指名、空白信息――这三样组合在一起,不可能是正常文件。
陆律立刻起身:“不收。让前台原封不动交纪检。”
安保人员点头:“已经按纪检要求封存了,前台说快递盒很轻。”
周砚没有逞强去看,他只是问:“快递单号有吗?”
安保说:“有。纪检已经登记。”
陆律把这条也写进清单,编号:od-thr-012(匿名快递投递尝试)。备注只有四个字:**“诱导接触。”**
“他们在试探。”顾明低声,“如果你接了,就能把你和‘外来物’绑在一起。以后任何泄密都能往你身上扣。”
梁总把笔重重放下:“他们的路越来越脏。”
周砚抬眼:“路脏说明路少。开关装上后,他们能走的路越来越窄了。”
这句话像把大家从紧绷里拉回到判断里。战情室继续推进回收期风险清单,邮件标题直接写成制度语:
《回收期风险清单与临时权限优先回收建议(需留痕)》。
邮件内容不讲情绪,只讲动作:列出五类**险临时权限,给出回收优先级与完成时限,要求每一项回收动作自动生成审计报告并抄送纪检、内审、董秘办。附件附上当天二级冻结执行报告、b区会议室异常链路摘要,以及匿名煽动编号清单。
邮件发出后,周砚把发送回执保存,编号:od--113(回收期风险清单提交)。
发完邮件,他终于站起来活动了一下肩。疲惫像潮水,但脑子仍清醒。他知道这一晚不会平静,因为对方不会让他们把回收期变成“白天”。
果然,凌晨两点零五分,顾明的电脑跳出一条告警。
“协作空间镜像库有访问尝试。”顾明盯着屏幕,“有人用一个旧的服务账号在拉取镜像索引。按理镜像是只读,能拉索引但拉不到内容。问题是――这个服务账号本该在中午回收列表里。”
梁总立刻问:“来源ip?”
顾明看了一眼,眉头猛地一跳:“不是总部。是……活动中心外网出口。”
活动中心是集团举办大型路演、开放日活动的场地之一,网络由活动执行供应商维护,通常与集团内部网络隔离。但现在出现访问尝试,意味着有人在把“活动网”当跳板。
“活动中心外网出口能触达镜像索引?”陆律问。
顾明指着屏幕:“理论上不行,但如果有人在内部开了一个转发,或者有一个还没关的vpn隧道――就能绕。”
梁总立刻拨给信息安全负责人。电话接通后,对方的声音带着明显的疲惫:“我们正在回收隧道。你们看到什么?”
顾明直接报:“活动中心外网出口访问镜像索引。时间0205。服务账号x-bridge-svc。请立刻冻结该账号并检查是否存在未关闭的vpn隧道或端口转发。”
信息安全负责人沉默两秒:“我们马上处理。你们把告警截图与哈希发我和纪检。”
顾明把告警截图入库:od-log-118(镜像索引异常访问尝试)。备注:**“活动网出口疑似跳板。”**
陆律看着编号,声音更冷:“对方在把暗门从公司楼里搬到活动供应商那里。这样即使内部权限收口,他们还能用外包网络做触达。”
周砚抬眼:“那就把供应商也纳入冻结范围。”
梁总点头:“明天一早提给董秘办与内审:对活动供应商网络做审计,暂停其远程维护权限,所有隧道必须重新备案。”
夜色更沉,战情室却像被上了发条。越到这种时候,越不能让恐惧掌控节奏。节奏必须被流程掌控。
---
早上七点半,董秘办回了邮件。
季副主任的回复很短,但每一个字都像盖章:
“清单收到。按你们优先级执行。信息安全830提交回收进度表。活动中心供应商隧道立即停用并审计。――季”
这条回复意味着回收期被纳入董事会视野,暗门的空间进一步收窄。
八点四十,战情室按纪检要求转移到总部内审层的一个临时工作间。这里门禁更严,出入需要双人刷卡,走廊没有闲人,连空气都更“规矩”。周砚第一次感到一种“制度的保护”――不是温柔,而是冷硬的隔离。
九点整,信息安全回收进度表发出。
表格里列出二十七个临时管理员账号:已回收八个,冻结三个,剩余十六个计划在当天1800前完成。每一条回收都有工单编号、审批人、执行人、时间戳。表格末尾还有一行红字:“发现未备案隧道2条,已停用,待审计。”
顾明看着那行红字,轻声说:“他们确实有隧道。”
梁总没多说,只把表格入库编号:od-log-124(临时权限回收进度表)。备注:**“回收期执行留痕。”**
十点半,纪检再次召集“交叉核查会”,这次参会名单增加了一个人――集团供应链与外包管理负责人,姓冯,平时管供应商合同与现场安保、活动执行等资源。冯负责人一进会议室就皱眉:“你们把外包安保也拉进来,是不是有点扩大范围?外包公司合作很多年,流程很成熟。”
罗主任没有争辩,只把一张照片推过去――周砚背影被拍的那张。照片旁边是昨晚b区会议室门禁记录与外包安保主管的资料打印件。
“不是扩大范围,是证据指向。”罗主任语气依旧平,“外包安保主管出现在异常会议室,且体态与跟拍者高度相似。另有活动供应商网络出口访问镜像索引的告警。外包与供应商环节存在被利用的可能。我们需要你配合核查三件事:一,外包安保主管的排班与行程;二,活动供应商的远程维护隧道备案;三,外包人员进出顶层的陪同链。”
冯负责人脸色一变:“外包安保怎么可能进顶层?”
顾明把一份门禁权限清单投屏:“顶层门禁权限本不包含外包。但外包人员可以通过‘陪同通行’进入,陪同者是谁,门禁系统有记录。”
罗主任点头:“我们要查的就是陪同链。”
冯负责人开始意识到问题不是“外包有没有坏”,而是“谁在用外包”。他沉声:“我配合。但我要声明,我们供应链对外包人员有背景审查。”
苏内审在旁边冷冷补一句:“背景审查防不了被指令的人。我们查的是指令链,不是道德链。”
会议室气氛更冷。
周砚没有插话,他知道这类会议的关键是把范围从“个人执行”扩展到“资源调动”。资源调动一旦纳入核查,很多看似不相关的人都会被迫面对一个事实:他们提供的工具正在被拿来做阴影动作。
罗主任翻到一份新的材料:“还有一条线。b区会议室那晚十点到十一点,门禁记录显示pmo副经理也在场。这个人是谁?负责什么?谁给他临时接管权限?”
梁总看向顾明:“副经理名字你知道吗?”
顾明点开接管通知:“邱霆。接管小组副组长,负责‘协作权限统一与口径协同’。”
“协作权限统一与口径协同。”周砚在心里默念这八个字,突然觉得它们像某种伪装:把“权限控制”与“口径控制”绑在一起,听起来像治理,实际上可能是切割与遮盖的工具箱。
罗主任看向冯负责人:“邱霆是否能调动外包安保或活动供应商资源?”
冯负责人犹豫一下:“按合同,活动执行与安保调度由集团公关办公室发起需求,我们供应链负责下单与验收。pmo一般不直接提需求,但如果他以‘接管应急’名义发临时需求,也可以走内部流程。”
“临时需求。”陆律轻声重复,眼神更冷,“又是临时。”
罗主任点头:“所以我们要把‘临时需求’也纳入回收期重点:危机窗口期禁止任何临时外包需求,除非走双钥匙审批并留痕。”
冯负责人点头,但脸色已经很难看。他这时才意识到:外包不是外围,外包是组织的延伸。延伸被利用,责任仍会回到组织。
会议末尾,罗主任宣布:“我们将对邱霆启动重点问询,并冻结其相关权限。外包安保主管与信息中心小组长作为关联人员,移交警方与纪检联合核查。供应商隧道与远程维护权限全部停用,待审计通过方可恢复。”
一句句“冻结”“停用”“移交”,像一根根钉子,把暗门钉死。
但周砚很清楚:暗门被钉死的瞬间,灰会去找下一扇门。
下一扇门往往不是技术门,是叙事门。
---
午后两点,叙事门果然被推开。
集团内部论坛出现一篇署名文章,署名不是匿名,而是“项目建设贡献者联合署名”,标题更煽动:
《别让“应急机制”变成内部清算》
文章表面上支持整改,字里行间却把矛头对准纪检与内审:“过度冻结会导致业务瘫痪”“任何人都可能被误伤”“内部互相举报会破坏信任”。最后一段更直接:“我们需要的是效率恢复,而不是把所有权限都交给少数人。”
这篇文章没有点名周砚,但每个句子都在暗示:冻结开关是在夺权,钥匙分散是在制造恐惧。
顾明看完冷笑:“他们把矛头从周砚身上挪开,开始打制度本身。”
梁总沉声:“这是更高一级的反扑。打人容易被纪检抓住,打制度可以伪装成‘为公司好’。”
陆律迅速把文章截图与发布时间、发布账号、ip段、引用链接入库编号:od-int-131(署名文章抹黑冻结机制)。备注:**“叙事反制,否定开关。”**
周砚看完文章,没有生气,只问一句:“发布账号是谁?”
顾明放大页面:“账号属于‘知识库运营’团队,权限可以置顶、推送。”
“知识库运营。”周砚轻轻点头,“他们在用内容分发渠道造势。冻结开关锁住了权限,他们就用内容渠道制造‘反冻结共识’。”
梁总抬眼:“怎么处理?”