『如果章节错误,点此举报』第(1/3)页
06:48,天色还带着一点未褪的青灰,电梯门开合的“叮”声在空旷的大厅里显得格外清晰。
周砚迈出电梯时,手里拎着那只熟悉的文件袋,封条上的日期像一条冷硬的刻度线,把昨晚的核验纪要、短信威胁、补充条款修订版和项目数据闭环全都钉在同一条时间轴上。他没有急着坐回工位,先绕去茶水间打了杯温水,站在窗边看了十秒钟——玻璃幕墙外的雾还没散,城市像被一层薄膜罩住,模糊而安静。
这种安静从来都不是好兆头。
越安静,越像暴风雨前的气压变化,逼得人胸口发闷。
他回到工位,打开电脑,第一件事不是点开项目群,也不是看王珊的未读消息,而是把昨晚安全室核验纪要再次打开,逐字重读。三条关键结论被他用黄色高亮标得像警示牌:
1)失败登录存在不同子网来源迹象;
2)存在4648凭据使用事件,未排除非人工触发;
3)18:48发生设备唤醒,处于监控缺失区间,唤醒来源待补证。
“唤醒来源”这四个字,是整个链路里最锋利的钩子。
门禁能告诉你谁进出,日志能告诉你发生了什么,但只有唤醒来源能告诉你——这台电脑是被“人”叫醒的,还是被“网络”叫醒的;是有人按下了键盘,还是有人在另一台设备上发出了Wake-on-LAN;是办公室里有人当场操作,还是有人在别处隔空触发。
只要把唤醒来源补齐,监控缺口就不再是缺口,只会变成一条故意留下的遮羞布。
视野边缘,蓝色面板亮起,像把下一步行动直接写进空气里:
【关键补证:Power-Troubleshooter(电源疑难解答)事件字段可直接给出唤醒来源(设备/网络/外设)】
【进阶补证:若为网络唤醒,需追溯唤醒包来源MAC/IP→映射资产→锁定操作端口/账户】
【风险预警:对方将以“敏感数据”为由拒绝提供字段,须用“现场核验+纪要留痕”绕过外带限制】
07:12,项目线先跑。
周砚打开“到访后48小时跟进SOP”执行看板,把昨晚归档的群发发送记录抽查了十条,确认全部使用核验版话术,没有绝对化表述,也保留了隐私告知与证据路径。他把抽查结果导出成一页PDF,生成哈希,归档进“合规记录/营销话术抽查”,顺手给梁总抄了一封邮件:
“昨晚到访后跟进群发已按核验版执行,抽查样本10条均合规,记录已归档(含哈希)。避免被外部截图带节奏。”
他要把可能被反咬的每个点都提前堵死——对手既然开始用“敏感数据”恐吓,就一定会顺势把“营销合规”也当成武器,双线夹击。
07:38,王珊的消息弹出来:“领导要求今天下午看‘二次预约排期+预计到访人数’。别夸张,宁可保守,但要有方法。你们内部有没有人能把到访后48小时的推进节奏讲清楚?”
周砚回得很快:“我今天14:30前给你一版‘二次预约排期表(按时间段)+推进动作说明(48h链路)’,口径保守、方法可复核。并附上抽查样本,确保对外话术合规。”
发完他就把这条对话截图归档。甲方的每一次“要看方法”,都是他最好的护盾——任何内部人想把他踢出局,都必须先解释清楚:谁能在不踩合规雷的前提下,持续把结果往前推。
08:05,梁总发来一句:“08:50安全部,核验唤醒来源。我会到。”
周砚的指尖停顿了一秒。
梁总要到,意味着这次核验不再是“你去看看”,而是梁总亲自把这条线当作项目事故风险来抓。对手最怕的就是这件事:当它变成“项目事故”,就不再能用“敏感数据”“无法提供”随便糊弄过去。
08:50,信息安全部安全室。
灯依旧冷白,空气里有消毒水似的味道,桌面干净得像刚擦过。严负责人、两名安全工程师、法务专员都在。梁总也来了,外套没脱,站在桌边,像一根压住局面的钉子。
严负责人先开口,语气很“规范”:“我们可以现场展示关键事件字段,但依旧不允许外带原始日志。”
梁总不接话,目光落在周砚身上:“你要看什么字段,说清楚。”
周砚不浪费一秒,把打印好的“唤醒来源核验清单”推到桌面中央,语速平稳:“只看三类:一,Power-Troubleshooter事件的Wake Source字段;二,系统日志里对应的唤醒设备或网络唤醒标识;三,如果是网络唤醒,需要给出唤醒包的来源标识(至少MAC前缀或资产编号映射),并形成纪要。所有字段不外带,但纪要必须写清。”
工程师点开事件查看器,按时间定位到18:48附近。
屏幕上跳出一条事件:Power-Troubleshooter。
周砚盯着那一行字段,眼神一瞬间冷下来,却更清醒。
Wake Source:Network(网络唤醒)
Wake Source Detail:Intel(R) Ethernet Controller(后面是一串型号)
梁总的眉头明显皱了一下。
网络唤醒。
这意味着18:48那次唤醒不是有人按了键盘,也不是保洁碰到了鼠标,而是有人——或者某个系统——从网络端发送了唤醒包,把这台电脑叫醒。
严负责人试图先把话说圆:“网络唤醒也可能是我们的补丁系统例行唤醒,用于夜间更新……”
“夜间更新会在18:48?”周砚把问题压得极准,“而且更新通常在非工作时段,且有固定任务名和管理平台记录。请同步展示该时段是否存在补丁管理任务触发记录,或管理平台的批量唤醒计划。”
工程师翻找了一下,表情略僵:“这个需要去管理平台查。”
周砚没有穷追猛打,而是把更关键的问题抛出来:“网络唤醒包从哪里来?能否看到唤醒包来源MAC或IP?”
工程师迟疑:“原始抓包我们没有,但系统里会记录部分来源信息……”
他点开另一段日志,屏幕上出现一行更细的字段。周砚的视线像刀一样落在那串标识上——不是完整MAC,但有足够的前缀与资产映射字段,旁边还有一个内网地址段标识,明显不是随机的。
梁总看完,声音低了下来:“这来源能映射到哪台设备?”
严负责人明显犹豫了一下,最终还是开口:“可以映射到资产管理系统里的一个终端……但资产信息属于内部敏感,按流程需要审批才能对外披露。”
梁总冷笑一声,短得像刀刃划过:“对外?这里没有外部。你现在是在对项目事故风险披露,还是在给人留遮羞布?”
安全室瞬间安静。
严负责人抿了抿唇,转身对工程师说:“打开资产映射。”
屏幕切换到资产系统查询界面,工程师把那段前缀输入进去,回车。
结果跳出来的一瞬间,周砚的心口像被针扎了一下——不是因为惊讶,而是因为“果然”。
资产名称:IT服务台跳板机(远程管理终端)
责任部门:信息技术部
资产用途:远程协助/终端管理/批量任务执行
使用权限:服务台账号组可登录
梁总的眼神更沉:“跳板机?”
严负责人赶紧解释:“这是服务台用于远程协助的管理终端,很多运维人员都能用,来源是它不代表具体某个人……”
“跳板机不是人,但跳板机的登录账号是人。”周砚把话接得很稳,“如果唤醒包来自跳板机,那就有两条路径:要么是补丁/管理平台计划任务通过跳板机发起;要么是有人登录跳板机手动发起。两种都可以追溯——看当时跳板机的登录记录、操作记录、任务计划记录。”
梁总直接拍板:“查。现在就查18:40到19:05跳板机的登录记录。”
严负责人脸色一紧:“跳板机日志也涉及敏感数据……”
梁总没有给他第二次绕的机会:“你要么查,要么写在纪要里:关键补证拒绝提供,导致项目事故风险无法排除。你自己选。”
严负责人沉默两秒,吐出一个字:“查。”
工程师打开跳板机的审计日志界面,筛选时间。
屏幕滚动了几行记录,停在一个条目上:
18:45:账号 helpdesk_wangxx 登录(远程会话)
18:47:执行操作:Wake-on-LAN(目标:302公用终端)
18:59:账号 helpdesk_wan
(本章未完,请翻页)
第24章 唤醒来源 我把废案写成爆款
