『如果章节错误,点此举报』第(1/3)页
07:38,电梯门在九楼“监察内控”标识牌前打开时,周砚先闻到了一股很淡的消毒水味,像有人提前把现场擦得过于干净。
走廊尽头的会议室门口已经摆好了折叠桌,桌上整齐地放着两沓纸:一沓是《封存确认单》,一沓是《取证授权与保全告知》。旁边还有一叠透明自封证据袋、一次性扎带、封条、以及几枚印着“内控/安全”字样的红色圆章。纸张边角对齐得几乎苛刻,像在提醒所有人:今天不是“沟通”,是“流程”。
高岚站在桌旁,手里拿着一张清单,清单上按部门、按姓名列了三行,旁边标注着对应的设备编号与资产标签:
— 媒介主管:公司配发笔记本(资产编号M-…)
— 王XX(阿远助理):台式机终端(资产编号P-…)
— 阿远:项目线工作站/个人笔记本(资产编号A-…)
信息安全部负责人也在,身后跟着两名安全工程师,其中一人背着便携式取证箱,箱子外侧贴着“写保护器”“镜像存储”几个醒目的标签。另一人手里拿着一台小型摄像机,镜头对准折叠桌,红灯亮着,正在录制。
周砚脚步没停,走过去站在高岚左侧半步的位置。他不主动开口,也不多看任何人,只把自己的手机静音,打开“合规记录表”,把时间戳先写上:07:41,封存取证现场到场。
高岚抬眼看他:“你是项目交付关键账号持有人,我们需要你作为流程见证人之一,确保取证过程与项目权限调整边界一致。你只需要看清楚‘封存范围’和‘时间节点’,不需要参与判断。”
“明白。”周砚点头,语气平稳,“我只关注流程是否完整留痕、以及取证是否影响项目交付节奏。”
07:49,媒介主管到了。
他今天没有穿西装,穿了件普通的深色毛衣,领口略松,像刻意让自己看起来“没那么正式”。他一出现就先看了一眼摄像机,眼神闪了一下,随即挤出一个不自然的笑:“高总,这么大阵仗啊?我昨晚不是都说了么,那些外部截图就是造谣,查也查不到我们头上。”
高岚没接他的情绪,直接递出《封存确认单》:“流程不是针对谁。请确认设备在你本人掌控范围内、当前状态、以及你是否做过任何清理或重装。按实际填写,虚假陈述会单独定性。”
媒介主管伸手接纸,笔尖悬了两秒,才勉强落下。他写“未做清理”四个字时,手腕微不可察地抖了一下。
07:55,王XX到了。
他比上次在门禁明细里呈现出来的名字更“普通”——身材偏瘦,戴黑框眼镜,手里拎着一个电脑包,包看上去很轻。走近折叠桌时,他的视线先掠过周砚,又迅速移开,像怕被人多看一眼。
“台式机在工位,我现在去搬过来?”王XX声音很低。
安全部负责人看了看高岚,高岚点头:“由安全工程师陪同取走,现场断网、断电后再搬。你只负责带路,不允许触碰键盘鼠标,不允许自行关机。”
王XX喉结滚动了一下:“我明白。”
08:02,阿远到了。
他一出现,走廊的空气就紧了一截。阿远脸上带着一种刻意的镇定,像提前背过“标准答复”。他站定后先对梁总不在场这一点做了一个短暂的扫视,随后目光落在高岚身上,语气很“合理”:“内控流程我完全配合。但我这边要先说明,今天项目要对外推进开放日,任何封存动作不能影响团队交付。我建议先封存302公用电脑和媒介主管的笔记本,至于我个人设备,里面有大量项目资料,封存会造成工作断档。”
高岚翻开清单,语气冷静:“封存不是拿走就不动。取证会做镜像,设备封存期间可以按流程提供替代终端。你说的‘工作断档’,可以通过流程消除,但证据如果被破坏,就不可逆。”
阿远叹了口气,像在承担无辜的麻烦:“我担心的是效率。我们不能因为怀疑就把项目停了。”
“没有人要停项目。”周砚这时才开口,声音不高,却把边界钉住,“流程也没有说要停项目。今天的封存取证,是为了避免交付账号再被异常触发保护模式,反而是为了项目不停。”
阿远看向他,眼底一闪而过的情绪很快被压下去:“周砚,你别把任何事情都往我身上引。项目协同有问题不是一天两天了,你把它解释成安全事件,很危险。”
周砚没接“协同”这个话题,只看着高岚:“我建议在封存确认单里补一条:封存设备期间,项目归档版本由共享盘为唯一有效,任何临时拷贝与私下传输视为违规。这样既不影响交付,也能控制风险。”
高岚点头:“这条写进告知。”
08:10,流程开始。
安全部工程师先进行“现场录制声明”:时间、地点、参会人员名单、取证授权范围。摄像机镜头扫过每一个人的脸,红灯持续亮着。
高岚宣读《保全告知》:“封存取证期间,任何人不得以任何形式删除、篡改、覆盖设备数据;不得远程登录设备进行操作;不得指示他人操作。违反者按‘证据破坏’处理。”
念到“远程登录”时,媒介主管的眼角不自觉跳了一下。
08:17,第一台设备封存:媒介主管笔记本。
媒介主管把电脑放在折叠桌上,手掌压着机身边缘,像下意识想控制它的去向。安全工程师戴上手套,先在摄像机前展示设备外观、资产标签、序列号,再插入写保护器,把取证硬盘接入,开始做“只读镜像”。
镜像进度条缓慢跳动,像一条冷静的倒计时。
08:23,异常出现。
安全工程师的终端弹出一条提示:检测到设备尝试建立外联连接,目的地址为某个云盘同步域名。工程师迅速抬头:“设备在做同步。”
媒介主管立刻解释:“那是自动的,我昨晚做表格用过,云盘会同步文件,很正常。”
高岚没有争辩,只问一句:“你刚才有没有接触键盘?”
“没有。”媒介主管几乎是条件反射式否认。
安全工程师没有再问,直接拔掉网线,把无线模块硬断,继续镜像,同时对摄像机说:“记录:08:23,设备出现外联同步行为,已断网保全。”
周砚站在旁边,心里却很清楚:真正“正常”的同步会在登录态、网络正常时发生,而不是在封存流程、无人工操作的瞬间突然启动。除非有人提前设置了触发条件。
视野边缘,蓝色面板像冰一样亮起:
【证据破坏尝试出现:同步=掩护,覆盖=目的】
【应对重点:记录“触发条件”与“触发时刻”,不争辩动机】
08:31,第二台设备:王XX台式机。
王XX带路去了工位区。安全工程师全程跟在他身侧半步,像押运。到了工位,工程师先用手机录像记录工位环境:主机、显示器、键盘鼠标摆放状态、USB口是否插着设备。
然后他蹲下身,直接拔电源,拔网线,贴封条。
王XX想说什么,嘴唇动了动,最终还是没开口。
08:47,第三台设备:阿远个人工作站。
阿远依旧试图争取:“我这台机子下午还有资源协调,封了我怎么干活?”
高岚把替代终端清单递过去:“内控可以提供临时机,权限由安全部按最小化策略开。你只要配合。”
阿远接过清单,面色僵了一瞬,最终点头:“行。”
09:12,镜像完成第一阶段。
安全工程师把取证硬盘封进证据袋,贴封条,封条上写:设备编号、镜像哈希、时间戳、经手人签名、见证人签名。高岚签了字,安全部负责人签了字,媒介主管签字时,笔尖停了两秒,才勉强落下。
周砚作为见证人之一也签了字。他签得很慢,像签一份不可撤回的合同。
09:26,内控临时会议。
高岚把三份封存确认单摊开,语气依旧平静,却像刀刃落下:“取证开始后出现外联同步行为,属于取证风险点。现在需要确认三件事:一,外联同步是否为系统自动;二,是否存在远程触发;三,是否与302链路同源
(本章未完,请翻页)
第52章 封存确认 我把废案写成爆款
