『如果章节错误,点此举报』第(2/3)页
在他给的就是明确的范围、明确的证据链、明确的调取路径。
10:03,运营负责人按要求发来第一小时汇总:二次触达完成9人,新增确定预约2,关键顾虑集中在“通勤浮动”和“月供区间”。
周砚回:“按Q&A卡片回应,强调区间+来源+实测证据。下午14:00加一次短答疑,控制在8分钟内,不增新口径。”
他把项目执行继续往前推,像把车轮死死压在轨道上,不给任何“暂停”的理由。
10:26,阿远终于出现了。
他不是来吵架的,而是带着一种刻意的“组织关怀”姿态走到周砚工位旁,声音压得很低:“你最近太紧绷了。开放日结束,接下来该把风险收一收。法务那边已经收到投诉线索,我建议你这两天把所有导出动作先停掉,避免再给人抓把柄。”
周砚没有抬头看他,手指仍在键盘上敲着日报表格,语气平淡:“导出只发生过一次脱敏导出,审批链路与日志都在。停掉导出会影响现场接待与预约转化,你要停,请走书面流程,写明影响与责任归属。”
阿远脸上的肌肉抽了一下,笑意更薄:“你总拿责任归属说事,做事不是这样做的。组织是要协同的。”
“协同的前提是规则明确。”周砚终于抬眼,眼神没有锋芒,只有清晰,“你要协同,就把你的建议写成可审计的动作项。否则都是口头话。”
阿远沉默了两秒,像是强压怒意,转身走了。
他走得很快,像怕自己再多停一秒就会失控。
周砚看着他的背影,心里更确定了一件事:对方开始急于让他“停”。因为他已经拿到了能落锤的链条。
11:17,信息安全部负责人发来消息:“门禁抓拍调取需要梁总签字的正式函件。我这边在起草。”
周砚回:“函件内容请写明:用于核验302公用电脑异常操作链路,与项目交付风险评估直接相关,范围限定18:40—19:10,资料仅用于内部调查并按合规归档。”
他把每一个字都写细,不给对方后续“范围太大”“目的不明”的借口。
11:46,梁总把函件签了,发在一个小范围群里:信息安全部负责人、法务专员、周砚。
梁总附了一句:“今天把抓拍拿回来,别拖。”
周砚没有回复多余的话,只发了一个“收到”,然后截图归档。梁总的态度清晰——他不喜欢内部扯皮,也不喜欢项目节奏被拖,更不喜欢有人拿合规当工具做权力游戏。只要周砚把风险与证据写得足够硬,梁总就会站在“结果”那一边。
12:38,午休时间。
周砚没有去吃饭,他把上午的日志链路梳理补成一份更完整的“交叉证据矩阵”,一张表里横向是证据源(门禁、监控、系统日志、会话日志、审批邮件、威胁短信/IM),纵向是关键时间点(18:46、18:47、18:49、18:50、19:01)。每个交叉格子里写“有/无/缺失/待调取”。
这张矩阵不是给自己看的,是给任何一个想“模糊焦点”的人看的——你想说无法确认?你先解释为什么这些格子会在同一段时间里形成如此密集的异常。
13:20,物业安保主管来电。
对方声音很谨慎:“我们按函件范围调取了302门禁抓拍,照片有,但角度偏,清晰度一般。现在安全部的人可以来取。”
周砚把电话开免提,直接对信息安全部负责人说:“你们去取,我不经手原始件。取回来后请按流程归档,我只需要在合规室查看并做记录。”
他从一开始就把自己从“直接接触原始证据”的动作里摘出去——不是怕麻烦,而是避免对方说他“篡改”“选择性呈现”。他只在合规室查看,只做记录,全程留痕,任何人要质疑,就去质疑流程,而不是质疑他。
14:05,安全部负责人把抓拍照片发来了一份“查看版”,并说明原始件已封存。
周砚打开第一张照片,呼吸没有变化,但指尖却在那一瞬间收紧。
照片里,刷卡进入的人戴着帽子,口罩拉得很高,遮住了大半张脸。但有两个细节极其清晰:一是手腕上的表带颜色,二是外套袖口的反光条纹。
周砚不是靠脸认人,他靠细节。
他把照片放大,对比门禁明细上“18:46 王XX刷卡进入”的时间点,再把视线移到照片角落的时间戳:18:46:17。
时间对上了。
然后,他打开第二张照片——18:49刷卡离开。画面里还是同一个人,帽子口罩没变,手腕表带没变,外套条纹没变。
这意味着:至少在门禁系统层面,“王XX的卡”确实被用于进出,而且门口抓拍的人与门禁记录绑定。
问题来了:这个人是不是王XX本人?
周砚脑子里闪过昨天门禁明细里的另一个点:19:02与19:08,孙XX两次进出。
抓拍照片里,19:02进入的那个人没有戴帽子,脸清晰,是孙XX本人。
物业抓拍至少在这个角度能看清脸。
那为什么“18:46的那个人”要把自己裹得这么严?
周砚把两组照片对比后,在笔记本上写下两个字:刻意。
刻意遮脸意味着两种可能:他知道自己不该在这个时间出现在这里;或者他知道这里可能有抓拍。
无论哪一种,都不是“正常临时使用会议室”的行为。
视野边缘,蓝色面板亮起,像一道冷光切开雾气:
【交叉证据升级:门禁抓拍证明“刷卡动作对应具体人形”,且遮脸行为具有主观规避特征】
【下一步:用“设备接触证据”锁死——HID设备插入记录是否能追溯到具体硬件资产/USB序列号/领用人】
14:22,周砚把抓拍照片的查看版存入共享盘“合规记录/302追溯/抓拍查看版”,并在留言区写清楚“查看版来源安全部,原始件封存于安全部”。然后,他给安全部负责人回了一个更具体的请求:
“请补充:18:49插入的HID设备是否存在USB设备实例ID/序列号记录(System日志可查);若存在,请在资产管理系统中检索该设备是否为公司配发硬件或常见外接设备;若无法检索,请提供设备实例ID供进一步追溯。”
他要把“有人插了一个键盘设备”变成“插的是哪一个键盘设备”。一旦设备有实例ID,就能追溯它曾在哪台电脑出现过、曾被谁使用过、甚至曾在哪个工位接入过。这就是技术证据的残酷:它不认口供,只认轨迹。
15:03,运营负责人发来中间复盘数据:二次触达已完成22人,新增确定预约5,总确定预约达到了28,且有3个客户提出“愿意带家人一起来”。
周砚把这条数据同步给王珊,语气简洁:“D4中段新增确定预约5,总28,客户带家人到访意愿上升。18:30前给你更新脱敏名单与时间段分布。”
王珊回:“太好了,领导最喜欢看这个趋势。”
结果线继续向前滚动,这就是他抵抗影子结算的底盘。
15:48,法务专员突然发来一封邮件,语气比上午更硬:“外部投诉线索涉及‘内部数据引流’与‘客户信息处理’两项风险,请周砚于今日17:30到法务会议室配合核查,携带所有相关资料。”
周砚看完,没有情绪。
对方终于把“核查”从邮件推送升级为“当面问询”,目的很明显:用会议把他拖出执行现场,让他在口头对话中被动解释,再从解释里挑漏洞。
周砚没有拒绝。他回复邮件:“17:30可到。请提前明确核查范围与具体线索原文(投诉内容截图/渠道/时间),便于对照核验,避免扩大推定。相关资料将以共享盘归档版本为准。”
他把“线索原文”四个字钉在回复里——没有线索原文,就没有核查范围;没有范围,就容易扩大推定。对方想用模糊吓住他,他偏要把模糊写成具体。
16:11,安全部负责人回消息:“HID设备实例ID已提取,稍后发你。初步看像一种常见USB键盘注入器,但不排除普通键盘。”
周砚的眼神微微一沉。
“键盘注入器”这个词一旦出现,事情的性质就不再是“某人输错密码”那么简单。它意味着有人蓄意设计了自动化触发链路。公司一旦承认这一点,就必须启动真正的安全事件流程,牵涉面会扩大,很多人会不愿意让它发生。
所以他必须小心表达——不让对方抓住“周砚夸大定性”的把柄,同时把证据链推进到无法回避的程度。
他回:“请发实例ID与对应日志截图,我只写‘非授权外接HID设备’,不做性质推断。”
他不给自己挖坑,但也不放过证据。
16:58,安全部发来一份截图与一串长长的设备实例ID。
周砚把实例ID输入资产管理系统的检索框,按回车。
结果弹出:该设备实例ID曾在两台电脑上出现过——一台是302公用电脑,另一台是……市场部媒介主管的笔记本。
媒介主管。
周砚没有立刻把这条结果丢出去,他盯着屏幕足足五秒,脑子里把近几天的“舆情攻击+假截图+媒体号带节奏”这条线与“媒介主管”的角色瞬间串了起来。
这不是巧合的概率已经接近零。
但他仍然不下结论。他按规范截图,记录检索时间、系统页面、设备实例ID、匹配结果,然后把截图归档进“302追溯/设备追溯”目录,留言区写清楚“资产管理系统检索结果截图,待安全部复核”。
他还做了一个动作:把媒介主管上午在群里说“法务要暂停社群资料发放”的那条消息截图,存入“舆情应对/内部协作记录”。他要把“动作”与“证据”并排放在同一条线上,让任何人想说“巧合”都站不住脚。
17:24,周砚起身去法务会议室。
走廊里很安静,安静得能听见自己的鞋底与地面摩擦的细响。他拎
(本章未完,请翻页)
第50章 交叉证据 我把废案写成爆款
