『如果章节错误,点此举报』第(1/3)页
08:58,茶水间的咖啡机刚完成第一轮萃取,蒸汽声在安静的楼层里显得格外清晰。
周砚没有把自己放进“等对方来找”的被动节奏里。他提前五分钟到,选了一个背对摄像头、但能看见走廊来人的位置。桌面只放着两样东西:一支笔、一张空白便签。没有打开电脑,没有翻资料——他要的不是“证据堆叠”,而是对方口中能被核验的字段:工单号、发起时间、请求人、审批链、触发端资产、服务账号调用记录。
09:10整,茶水间门被推开。一个身形偏瘦的男人走进来,工牌上写着“IT服务台 组长:陈屿”。他扫了一眼周砚,明显紧张,手指无意识地摩挲着杯子的纸套,像在给自己找一个抓手。
“你真要把我说的写成备忘?”陈屿开门见山,声音压得很低,“我不是不想说,但我怕……最后又变成我操作不规范。”
周砚点头,语气平稳得像在确认一份验收口径:“我会把你说的每一句话拆成字段。你只需要确认字段是否准确,不需要写情绪、也不需要推断动机。你确认后,我就按‘事实备忘’归档。你不确认,我也不会拿你的名字去做结论。”
陈屿喉结滚了一下,像终于找到一个可站的台阶:“行,那我就只讲我能确认的。”
周砚把便签往前推了一点:“先从最关键的开始。svc_rpa是谁能用?谁能触发?触发源在哪里?”
陈屿犹豫了一秒,还是开口:“svc_rpa是服务账号,用来跑一些自动化脚本——比如批量账号创建、定时巡检、WOL唤醒这种。按制度,svc_rpa应该只允许服务台和网络运维的两个人用,而且必须走工单授权。但……你也知道,制度是制度,现实是现实。”
“现实是什么?”周砚不催促,只把笔尖停在纸上,等他自己把话说完。
“现实是,有些部门领导嫌流程慢,会让我们临时开权限或者代跑脚本。”陈屿吸了一口气,“上周……也就是那天晚上之前,确实有人提过WOL唤醒的需求,说要在某台公用电脑上做‘系统维护预检’,要确认设备能被唤醒、能触发安全策略。”
周砚没有抬眼,笔尖在纸上写下四个字:需求话术。
“谁提的?”他问。
陈屿嘴唇发干:“请求是从‘王远宁助理 王XX’那边来的。她发了邮件给服务台公共邮箱,抄送了……阿远。”
空气像被冷水浇了一遍,茶水间里咖啡机的蒸汽声突然显得刺耳。
周砚没有做出任何表情变化,只问:“邮件时间?”
陈屿想了想:“18:40左右。具体我可以给你工单号,你去查系统会更准。”
“工单号。”周砚把笔尖停住。
陈屿报出一串编号:“INC-202X-0919-1736。标题写的是‘302会议室设备唤醒测试(紧急)’。请求人字段填的就是王XX,备注里写:‘领导要求当晚完成预检,影响项目直播,麻烦加急。’”
周砚在便签上写下工单号,旁边加了一个括号:标题/请求人/备注关键字。然后问:“审批链呢?谁同意你们用svc_rpa跑WOL?”
陈屿苦笑了一下:“这就是问题。制度上必须有网络安全组的授权,但那天王XX在工单里贴了一个‘领导已知悉’的截图——看起来像是阿远在IM里回了一个‘OK’。我们服务台那边的值班同事……就把它当成授权了。”
“值班同事是谁?”周砚问得依旧平静。
陈屿明显更紧张:“这个我不想点名。我可以给你值班表,你自己去核验。因为我不确定最后追责会不会落到他身上。”
周砚点头:“你给值班表字段,不给姓名。字段同样能核验。”
陈屿松了一口气:“行。那天18:30—20:30的值班是A组。A组里有一个人有权限调用svc_rpa的凭据库。按规范,调用凭据库会有记录……但我们一般不看那个记录,除非出事故。”
“事故已经发生了。”周砚把这句话说得很淡,却像一根钉子落下。
陈屿脸色微微发白:“对,所以我才说,我不想背锅。那天跑WOL的时候,值班同事告诉我:‘就跑一次唤醒测试,不会有什么后果。’但我后来看到你们那边说触发了账号保护模式,我才意识到……这不是普通测试。”
周砚把笔在便签上划出三列:工单字段、触发字段、凭据字段。然后问:“触发端资产MKT-WS-0417,你们知道是谁的电脑吗?”
陈屿点头:“那个资产编号属于市场部的一台电脑。正常来说,市场部电脑不该作为跳板去唤醒公用设备。除非有人用市场部电脑登录了跳板机,或者有人远程接入了市场部电脑。”
“谁能远程接入?”周砚问。
“能远程接入的人很多。”陈屿摇头,“但远程接入也要走会话系统,会话系统会记日志。那天你们拿到的摘要里,SourceAsset就是MKT-WS-0417,说明至少在日志层面,触发端确实是那台市场部电脑。”
周砚的笔尖停了一下,写下:SourceAsset=市场部资产,异常。然后问:“你能提供两样东西吗?一是INC工单的完整导出;二是svc_rpa凭据库调用记录在那个时段的条目。”
陈屿沉默几秒,眼神闪烁:“工单导出我可以给,但凭据库调用记录……权限在网络安全组,不在我们服务台。我能做的是——把你说的请求写成工单补充,挂到INC下面,要求网络安全组按事故处理流程提供。”
“可以。”周砚没有要求他越权,“你只要把请求挂上去,字段写清,我就能在流程里追。”
陈屿点头:“那我今天上午就挂。”
周砚把便签翻到空白面,开始写“事实备忘”摘要,像写审计底稿一样简洁:
1)INC-202X-0919-1736,标题《302会议室设备唤醒测试(紧急)》;请求人=王XX;备注含“领导要求当晚完成预检/影响项目直播/加急”;时间约18:40;
2)工单附“领导已知悉”截图(疑似阿远IM确认);服务台按截图视为授权;
3)svc_rpa为服务账号,制度要求工单授权+限定人员使用;当晚A组值班有人可调用凭据库;
4)SourceAsset=MKT-WS-0417为市场部资产,作为触发端异常;需追溯是否远程会话/跳板机登录;
5)建议补证:工单完整导出、svc_rpa凭据库调用记录、会话系统原始日志(含触发账号/触发端IP/命令列表)。
他把便签推到陈屿面前:“你只确认这五条有没有事实错误。没有的话,你点头,我就归档。你不用签名。”
陈屿逐条看完,喉咙发紧,最后点头:“都对。唯一不确定的是‘疑似阿远’,因为我没核验截图真伪。但截图确实存在。”
周砚立刻把那一条改成:“工单附领导确认截图(未核验真伪)”。把“推断”剥掉,只留下“存在”。
陈屿看着修改后的句子,像终于松了一口气:“这样就行。”
09:28,周砚回到工位,第一件事不是发群消息,而是把刚才的“事实备忘”整理成文档,标题写得像检索字段: 《事实备忘-302唤醒测试工单INC-202X-0919-1736(字段确认版)》。导出PDF,生成哈希,归档共享盘“合规记录/302追溯/交叉证据/工单线索”目录。
做完归档,他才给梁总发了一条极短的IM:“svc_rpa触发源已出现:INC工单编号+请求人字段+领导确认截图存在;已形成字段备忘并归档。10点前发你一页问询树。”
梁总回:“发。”
09:41,周砚打开文档模板,写“一页问询树”。他不写长篇推理,只写问法,确保对方无法用一句“系统自动化”糊过去:
——问询树(svc_rpa触发源)
Q1:svc_rpa服务账号的持有人与授权范围?(限定人员名单/部门/权限清单/审批人)
Q2:涉事时段凭据库调用记录(调用时间/调用人账号/调用端IP/调用用途/关联工单号)
Q3:涉事时段会话系统原始日志(会话发起账号/SourceAsset/目标终端MAC/命令列表/会话认证链)
Q4:关联工单INC-202X-0919-1736完整导出(请求人/附件截图/审批链/处理人/操作记录)
Q5:SourceAsset=MKT-WS-0417的当晚使用情况(登录用户/远程接入记录/跳板机连接记录/屏幕解锁事件)
Q6:打印服务器日志(AR_YUAN账号18:44/18:45打印)与门禁记录18:46进入的关联解释
每个问题后面都写一个“可接受答案格式”,比如“需提供原始日志截图+导出文件+哈希值”。对方想绕,也得在格式上露出破绽。
10:03,他把“一页问询树”发给梁总,同时抄送信息安全部负责人和法务专员,邮件主题干净得像落锤: 《svc_rpa触发源问询字段清单(拒绝‘系统自动化’模糊结案)》。
他没有写情绪,也没有写指控,只写“字段”。字段越多,模糊空间越小。
10:17,项目线的提醒把他拉回现实。运营同事发来今日上午的承接数据:新增有效咨询7条,预约入口点击继续上升,用户在群里开始问“到访当天能看到哪些点”“有没有接驳车”。周砚把“开放日接待SOP-v1.0”里新增一页“接驳与动线说明”,补了两句“可选路线”与“到访时段限流”,并把SOP升级为v1.1,再次归档、生成哈希、同步王珊。
他始终保持两条线并行:对甲方侧,结果必须滚动产生;对内部侧,证据链必须持续补齐。任何一条断档,都可能成为对方翻盘的入口。
11:06,信息安全部
(本章未完,请翻页)
第28章 触发源 我把废案写成爆款
