『如果章节错误,点此举报』第(1/3)页
08:57,周砚提前抵达九楼的“项目风险专项沟通会”会议室。
会议室门口的电子门牌亮着,字体规整,像一条写死的程序:09:30—11:00,专项沟通会,参会人员名单一长串,末尾还多了一行小字——“会议纪要纳入正式档案”。
“纳入档案”这四个字,比任何威胁短信都更锋利。
它意味着:今天说出去的每一句话,都可能变成未来的“定性依据”;每一个没有被及时纠正的表述,都可能在某个节点被剪裁、被引用、被放大,最终把责任落到某个人头上。
周砚没急着进门,先在走廊尽头的打印机旁停下,把昨晚准备好的《证据包目录页》《交叉证据矩阵》《302异常链路事实梳理(日志版)》以及《项目交付风险影响说明》各打印两份。纸张吐出的声音很轻,却像一根根钉子落在地板上,敲出隐形的节奏。
他把文件按顺序装进透明文件夹,封面只写一句话:本次沟通以“可核验事实+明确动作项”为唯一依据。
封面下面还有一行更小的字:所有材料均来自公司系统归档版本,含路径、时间戳、哈希。
他做这件事不是为了显得“专业”,而是为了把讨论的边界从一开始就框死——今天谁想把话题带向“态度”“协同”“个人风格”,谁就必须先解释清楚:这些词与证据、与事实、与风险控制到底有什么关系。
09:12,梁总先到了。
他没有像往常一样边走边看手机,而是直接拉开会议室门,站在门口扫了一圈座位安排,眉头几不可察地皱了皱。
“把水和纸笔准备好。”梁总对旁边的行政同事说,语气很平,“今天不讲空话,按事实走。”
周砚走进去,找了一个不靠近任何部门阵营的位置坐下——既不靠近法务、也不靠近安全部,更不靠近媒介与阿远。站队会让人天然带滤镜,他今天要的是“让所有人面对同一份事实”。
09:20,监察内控负责人到了。
她叫高岚,四十岁出头,穿深灰色套装,手里拿着一本硬皮笔记本,封面没有任何装饰。她进门后没有寒暄,只是看了一眼桌上的资料堆叠,点了点头,坐下时把笔记本放在桌面正中,像把一块秤砣压在现场气氛上。
09:27,法务专员、HR主管、信息安全部负责人陆续入座。
最后进来的,是媒介主管和阿远。
媒介主管今天没带电脑,只带了一支笔和一叠纸,脸色看起来比昨天更白;阿远则依旧是那副“我在承担压力”的表情,领带打得紧,像要把所有焦虑勒回喉咙里。
09:30整,梁总关上会议室门。
门锁“咔哒”一声响,像把所有人关进一间只能靠证据出去的房间。
“今天的会有两个目标。”梁总开门见山,“第一,302事件的事实链路要形成可落笔的阶段性结论;第二,项目交付不能被任何调查拖断,开放日执行必须按计划落地。两条线同时推进,谁也别拿一条当借口去卡另一条。”
他扫了一眼众人:“会议纪要由监察内控牵头,法务审核,安全部提供技术事实,HR补充用工与权限边界。周砚,你负责把你掌握的证据链按可核验顺序呈现。阿远,你负责说明你这条项目线的版本管理与对外口径是怎么控的。媒介组说明投诉线索与舆情处置过程。”
梁总停顿了一秒,语气更冷了一点:“先说清楚一条底线:今天不讨论‘感觉’,只讨论‘证据’。谁要讲判断,就把判断背后的事实摆出来。”
高岚抬起头:“会后会形成纪要,逐条确认,签字留档。任何对个人或部门的定性,必须有对应证据来源与责任边界。现在开始。”
会议室短暂安静,像所有人都在调整呼吸。
法务专员率先开口,语气像条款:“目前收到外部投诉线索,称项目使用内部资料引流,并存在客户信息处理风险。昨天已初步核验投诉截图与共享盘归档版本不一致,但需要进一步确认来源。与此同时,302事件可能导致账号保护模式反复触发,影响交付权限稳定,风险叠加。”
梁总没接法务的话,而是直接点周砚:“你先来。十分钟内,把你掌握的事实链路讲完。记住,只讲事实。”
周砚把《证据包目录页》推到桌子中间,声音很稳:“我按五条线讲,都是公司系统里可复核的事实,不做推断。”
他把第一张纸翻开,指尖点在时间线矩阵上:
“一,门禁刷卡明细:18:46王XX刷卡进入302,18:49刷卡离开;19:02行政孙XX进入,19:05离开;19:08孙XX再次进入,19:10离开。该明细由信息安全部提供,已归档。”
“二,监控缺失说明:302走廊监控18:47—18:59出现信号异常,视频缺失,运维记录尚未补齐完整告警编号与处置细节。”
“三,本地事件日志:System日志显示18:48:12系统从睡眠唤醒,18:49:03新增USB HID键盘设备连接;18:50:27创建计划任务OfficeUpdateCheck_3A9F,并设置为用户登录触发;19:01:10计划任务触发执行。”
他把第四张纸翻出来:
“四,会话与安全日志:19:01起连续三次4625登录失败事件,账户为我本人账号,失败原因密码错误,触发账号保护模式,导致交付权限受限。日志由安全部封存提取,事件ID截图已归档。”
“五,设备实例ID与资产匹配:HID设备实例ID在资产管理系统检索结果显示,曾出现在302公用电脑与媒介主管笔记本两台设备上。该检索结果截图已归档,标注检索时间与系统页面。”
他停顿,抬眼看向梁总:“以上五条事实,形成闭环链路:监控缺失时段前后,存在非授权外接HID设备连接与计划任务创建,且计划任务触发导致我账号出现自动化失败登录,从而触发保护模式,影响项目交付通道稳定。”
周砚没有说“谁干的”,也没有说“攻击”,只是用“非授权外接”“计划任务”“自动化节奏”把性质指向一个任何懂流程的人都无法忽视的方向。
梁总看向信息安全部负责人:“你确认周砚讲的日志事实无误?”
安全部负责人点头:“无误。我们内部已经把该链路标记为疑似蓄意自动化触发特征——这是我们的技术描述,不是主观判断。我们建议按信息安全事件流程处理,封存涉事设备,追溯外接HID设备来源与领用流转。”
高岚在笔记本上记了几行,抬头问:“‘外接HID设备实例ID’能否进一步追溯到具体硬件资产、领用人或使用记录?”
安全部负责人稍微犹豫了一下:“如果该设备是公司配发并录入资产系统,有可能追溯到领用人;如果是个人设备,资产系统无法直接锁定,但可以通过端点管控系统、USB接入历史、以及设备在其他电脑出现的轨迹做交叉核查。”
梁总不耐烦地敲了下桌面:“说清楚:现在你们能做什么,做不成什么,需要什么配合。”
安全部负责人立刻把话收紧:“现在我们能做三件事:第一,封存302公用电脑与媒介主管笔记本,提取完整USB接入记录与计划任务创建源;第二,调取门禁抓拍原始件,确认刷卡行为对应的人形与装束细节;第三,结合内网端点日志,筛查同类HID设备是否在其他终端出现过。我们做不成的是Wi-Fi接入轨迹对个人层面的定位,这涉及网络安全数据权限,需要内控与法务共同授权。”
高岚点头:“授权路径可以走,我会在纪要里列为动作项,责任人明确。”
媒介主管的喉结动了一下,像在吞咽某种紧张。
阿远突然插话,语气看似平衡:“梁总,安全事件流程我不反对。但我觉得周砚把事情讲得太技术化了,容易扩大恐慌。项目现在最重要的是交付,内部追溯可以慢一点,不要影响协同。再说,账号密码管理也确实是个人责任……”
“慢一点?”梁总抬眼,语气不高,却像压着火,“账号保护模式影响交付权限,影响项目节奏,你跟我说慢一点?”
阿远立刻改口:“我不是那个意思。我是说,追溯要有边界,别把各部门搞得互相不信任。”
周砚没有跟阿远争辩,他只补了一句事实:“我已经按最小化权限配合,所有交付动作均留痕。现在的问题不是‘信任’,是‘交付通道稳定性’。只要通道被反复触发保护模式,项目就会断档,这是客观风险。”
高岚把笔记本翻了一页,语气冷静:“我们需要回答两个问题:第一,302事件的链路是否可以被解释为误操作?第二,如果不是误操作,组织层面如何止损并防止再次发生。”
她看向安全部负责人:“计划任务的创建来源能追溯吗?是谁创建的?”
安全部负责人摇头:“计划任务创建本身记录在System日志里,但创
(本章未完,请翻页)
第51章 档案落笔 我把废案写成爆款
