『如果章节错误,点此举报』第(1/3)页
凌晨一点十二分,战情室的灯依旧亮着,但亮得更像一盏警示灯。
梁总靠在椅背上,眼睛没闭,手里却一直转着那只笔。顾明把当天所有审计报告按编号顺序排成一列,像给一条刚成形的骨架做X光片。陆律则在电脑上不断刷新纪检联络群的消息——她不是等消息,是等“反扑的下一步”。
周砚坐在白板前,白板上那条拓扑被粗线圈住:临时管理员、信息中心小组长、外包安保主管、访客网络、匿名账号、群体煽动、跟拍威胁。圈住的不只是人和节点,是一种惯性:当规则上锁,灰会转向暗门。
暗门是什么?
不是一个系统漏洞那么简单。暗门是“回收期”的利用:制度刚落地,旧权限还没完全回收;冻结开关刚装上,旧设备还在运行;钥匙刚分散,旧口径仍在传播。回收期的这几天,是灰最擅长的时间窗口。
周砚把目光从拓扑移到桌面那份董事会临时决议,轻轻点了一下关键条款:“取消所有临时管理员权限,改为实名绑定、有效期、强制二次认证。”
“取消”在纸上很干净,执行却一定有缝。因为取消本身就需要权限,需要执行链。
顾明像读懂了他的担心:“我已经让信息安全把‘临时管理员列表’导出来了,一共二十七个。二级冻结只冻结了其中三个与两个服务账号。剩下的二十二个还在。”
梁总皱眉:“不是说取消所有临时管理员权限?”
顾明摊开手:“通知是中午发的,取消要分批执行。信息安全团队人手不够,他们要逐个做权限回收与依赖检查,不然会把业务系统一锅端。”
陆律冷静地接话:“回收期就是对方的机会。我们得盯住最关键的那几类临时权限:协作空间管理、会议预订管理员、门禁导出、打印审计导出、群管理后台。只要这些不全回收,对方还能开暗门。”
周砚点头:“我们把‘回收期风险清单’发董秘办,要求按优先级回收,并把执行进度留痕。”
梁总立刻说:“我来签字发。”
他刚要起草邮件,战情室外的安保人员敲门,声音压得很低:“梁总,楼下前台说有一份快递,指名给周老师。寄件人信息空白。”
空气像被刮了一下。
不明寄件人、指名、空白信息——这三样组合在一起,不可能是正常文件。
陆律立刻起身:“不收。让前台原封不动交纪检。”
安保人员点头:“已经按纪检要求封存了,前台说快递盒很轻。”
周砚没有逞强去看,他只是问:“快递单号有吗?”
安保说:“有。纪检已经登记。”
陆律把这条也写进清单,编号:OD-THR-012(匿名快递投递尝试)。备注只有四个字:**“诱导接触。”**
“他们在试探。”顾明低声,“如果你接了,就能把你和‘外来物’绑在一起。以后任何泄密都能往你身上扣。”
梁总把笔重重放下:“他们的路越来越脏。”
周砚抬眼:“路脏说明路少。开关装上后,他们能走的路越来越窄了。”
这句话像把大家从紧绷里拉回到判断里。战情室继续推进回收期风险清单,邮件标题直接写成制度语言:
《回收期风险清单与临时权限优先回收建议(需留痕)》。
邮件内容不讲情绪,只讲动作:列出五类**险临时权限,给出回收优先级与完成时限,要求每一项回收动作自动生成审计报告并抄送纪检、内审、董秘办。附件附上当天二级冻结执行报告、B区会议室异常链路摘要,以及匿名煽动编号清单。
邮件发出后,周砚把发送回执保存,编号:OD-COM-113(回收期风险清单提交)。
发完邮件,他终于站起来活动了一下肩。疲惫像潮水,但脑子仍清醒。他知道这一晚不会平静,因为对方不会让他们把回收期变成“白天”。
果然,凌晨两点零五分,顾明的电脑跳出一条告警。
“协作空间镜像库有访问尝试。”顾明盯着屏幕,“有人用一个旧的服务账号在拉取镜像索引。按理镜像是只读,能拉索引但拉不到内容。问题是——这个服务账号本该在中午回收列表里。”
梁总立刻问:“来源IP?”
顾明看了一眼,眉头猛地一跳:“不是总部。是……活动中心外网出口。”
活动中心是集团举办大型路演、开放日活动的场地之一,网络由活动执行供应商维护,通常与集团内部网络隔离。但现在出现访问尝试,意味着有人在把“活动网”当跳板。
“活动中心外网出口能触达镜像索引?”陆律问。
顾明指着屏幕:“理论上不行,但如果有人在内部开了一个转发,或者有一个还没关的VPN隧道——就能绕。”
梁总立刻拨给信息安全负责人。电话接通后,对方的声音带着明显的疲惫:“我们正在回收隧道。你们看到什么?”
顾明直接报:“活动中心外网出口访问镜像索引。时间02:05。服务账号X-bridge-svc。请立刻冻结该账号并检查是否存在未关闭的VPN隧道或端口转发。”
信息安全负责人沉默两秒:“我们马上处理。你们把告警截图与哈希发我和纪检。”
顾明把告警截图入库:OD-LOG-118(镜像索引异常访问尝试)。备注:**“活动网出口疑似跳板。”**
陆律看着编号,声音更冷:“对方在把暗门从公司楼里搬到活动供应商那里。这样即使内部权限收口,他们还能用外包网络做触达。”
周砚抬眼:“那就把供应商也纳入冻结范围。”
梁总点头:“明天一早提给董秘办与内审:对活动供应商网络做审计,暂停其远程维护权限,所有隧道必须重新备案。”
夜色更沉,战情室却像被上了发条。越到这种时候,越不能让恐惧掌控节奏。节奏必须被流程掌控。
---
早上七点半,董秘办回了邮件。
季副主任的回复很短,但每一个字都像盖章:
“清单收到。按你们优先级执行。信息安全8:30提交回收进度表。活动中心供应商隧道立即停用并审计。——季”
这条回复意味着回收期被纳入董事会视野,暗门的空间进一步收窄。
八点四十,战情室按纪检要求转移到总部内审层的一个临时工作间。这里门禁更严,出入需要双人刷卡,走廊没有闲人,连空气都更“规矩”。周砚第一次感到一种“制度的保护”——不是温柔,而是冷硬的隔离。
九点整,信息安全回收进度表发出。
表格里列出二十七个临时管理员账号:已回收八个,冻结三个,剩余十六个计划在当天18:00前完成。每一条回收都有工单编号、审批人、执行人、时间戳。表格末尾还有一行红字:“发现未备案隧道2条,已停用,待审计。”
顾明看着那行红字,轻声说:“他们确实有隧道。”
梁总没多说,只把表格入库编号:OD-LOG-124(临时权限回收进度表)。备注:**“回收期执行留痕。”**
十点半,纪检再次召集“交叉核查会”,这次参会名单增加了一个人——集团供应链与外包管理负责人,姓冯,平时管供应商合同与现场安保、活动执行等资源。冯负责人一进会议室就皱眉:“你们把外包安保也拉进来,是不是有点扩大范围?外包公司合作很多年,流程很成熟。”
罗主任没有争辩,只把一张照片推过去——周砚背影被拍的那张。照片旁边是昨晚B区会议室门禁记录与外包安保主管的资料打印件。
“不是扩大范围,是证据指向。”罗主任语气依旧平,“外包安保主管出现在异常会议室,且体态与跟拍者高度相似。另有活动供应商网络出口访问镜像索引的告警。外包与供应商环节存在被利用的可能。我们需要你配合核查三件事:一,外包安保主管的排班与行程;二,活动供应商的远程维护隧道备案;三,外包人员进出顶层的陪同链。”
冯负责人脸色一变:“外包安保怎么可能
(本章未完,请翻页)
第77章 暗门与回收期 我把废案写成爆款
