『如果章节错误,点此举报』第(1/3)页
战情室的灯从中午一直亮到傍晚,白得没有阴影。墙上挂着两块大屏,一块滚动着权限与日志的时间轴,另一块是“链路图”的新版:中心节点从“B区例会”移动到了“董事会议题材料”,边上多出一条粗红线——**board.viewer → 外包运维点 → 董事会议题目录**。
“这不是普通的窥探。”顾明把访问轨迹放大,手指在屏幕上点出节奏,“每次只打开三到六秒,像在做‘存在性验证’:文件有没有、版本是不是新的、哈希有没有变。有人在等一个特定材料出现,一出现就会被搬出去。”
梁总眉头紧锁:“搬出去做什么?匿名号喂料?”
顾明摇头:“不止。匿名号要的是碎片和情绪,但这个账号的行为像是在服务一个更‘确定’的目标:董事会投票。有人要确保某个议题材料在投票前被‘处理过’——要么提前泄露制造舆情压力,要么替换版本影响决策条件。”
陆律把笔放在桌上,语气一贯冷静:“两种都属于重大治理风险。前者是干预舆论,后者是干预决议。后者更致命,因为它直接碰董事会决策的合法性。”
罗主任站在白板前,没讨论可能性,只下达动作:“三步。第一,立刻封控董事会议题材料目录的访问策略:只读白名单、硬件密钥、双人审批。第二,锁定board.viewer账号的真实归属:谁创建、谁审批、谁在用。第三,去外包点做现场取证,拿到那台终端与VPN网关的镜像。”
“外包点在郊区运维园区,二十公里。”顾明补充,“他们有自己的机房,设备可能会被迅速断电。我们要在对方反应前进场。”
“进场要有程序。”陆律提醒,“必须有纪检授权、警方旁听、外包合同条款依据。否则对方一句‘你们侵犯商业秘密’,就能把取证打成纠纷。”
罗主任点头:“授权我来搞。警方技术跟我们一起去。合同条款——梁总,你找法务把外包运维的审计条款、取证条款、应急接管条款整理出来。”
梁总立刻打电话。
周砚一直在看那条红线。他脑子里不断回放今天说明会上周秘书长那几句“效率”“稳妥”“避免直链”。这些词听上去像风险管理,实际上是暗门的通用密码。暗门一旦把董事会议题目录也变成“可控材料”,公司就不是被舆情绑架,而是被内部某个目标绑架。
“外包点取证之前,”周砚终于开口,“先做一个动作:把董事会议题目录做一次全量快照,生成哈希树,封存到离线介质。这样即便外包点把版本动了,我们也能证明‘前态’。”
顾明立即响应:“可以。我用只读镜像做快照,不触碰原目录。哈希树会写进纪检系统。”
罗主任拍板:“做。”
十分钟后,OD-LOG-224(董事会议题目录全量快照)生成。警方技术人员在场计算哈希,写入记录卡。那一串字符落下时,周砚心里稍微松了一点:至少董事会材料的“原样”被钉住了。
但这只是止血。真正的病灶在外包点。
---
傍晚六点四十,三辆车离开总部。车里很安静,只有导航的提示音偶尔打断。警方技术人员坐在后排,箱子放在脚边。顾明抱着笔记本,指尖一直在刷新告警。
“对方还没发现?”梁总问。
顾明盯着屏幕:“目前没有异常删改动作。但board.viewer刚刚又访问了一次,四秒。像是在‘确认我们有没有封控’。”
周砚轻声:“他会很快发现。发现之后,就会灭证或断网。”
罗主任没回头:“我们速度要更快。”
外包运维园区的门口有安保,看到纪检与警方技术证件时,态度明显变了。对方先是礼貌,随后是谨慎,最后是拖延——这是组织与组织之间最常见的对抗形式:不拒绝,但让你走流程,走到天亮。
“我们需要你们负责人到场。”安保说,“机房是高敏区域,不能随便进。要先联系客户经理。”
罗主任把授权函和合同条款复印件摆出来:“这不是随便进。合同里写了审计与应急接管条款,触发条件是‘重大安全事件’与‘证据保全需求’。现在我们有三次擦除尝试、管理员账号异常、证人定位告警、以及董事会议题目录被异常访问。属于重大安全事件。请你们立刻配合。”
安保明显犹豫,但仍然拖:“我只能联系上班经理。”
警方技术人员开口,声音不高却很压:“我们不抢你们的业务,我们只做取证。你们拖延越久,越容易被怀疑参与。我们建议你们按流程配合,否则后果你们自己承担。”
“参与”两个字像一块石头砸下去。安保脸色变了,终于打电话。
十分钟后,外包方的运维经理赶来,姓董,四十岁上下,穿着冲锋衣,脸上挂着职业笑,笑里有一种“我见过风浪”的淡定。
“各位领导辛苦。”董经理先递烟,被陆律直接拒绝。董经理把烟收回去,笑意不减,“我理解你们的需求,但机房里有很多客户设备,涉及商业秘密。你们要取证可以,我们需要你们提供更明确的范围:取哪台、取哪段日志、取到什么程度。”
罗主任把板子钉死:“范围很明确:VPN网关、堡垒机、与board.viewer相关的会话日志、以及可能承载该账号的运维终端。我们不碰其他客户数据,取证全程有警方技术旁听并做隔离。你们配合,我们按合同走;你们不配合,纪检会向监管部门报备,警方也会按程序处理妨碍取证。”
董经理笑容终于僵了一下。他迅速调整:“好。我们配合。但你们也要保证不把我们客户数据带走。”
陆律把准备好的“隔离取证说明”递过去:“签字。我们只取指定设备镜像与指定日志快照,其余数据做屏蔽处理。你们也可以派人员旁站。”
董经理签字时,笔尖在纸上停顿了两秒,像在衡量这件事对他意味着什么。签完,他抬头:“我需要提醒一句,我们这边的VPN网关是云化的,很多日志在云平台,你们取证需要平台权限。平台权限一般在你们公司那边,外包只有操作权限。”
“平台权限在我们公司?”梁总皱眉。
顾明立刻反应:“如果平台权限在公司内部,那board.viewer能在外包点登录,很可能是通过公司内部授权的VPN策略下发的。也就是说,这条通道不是外包单独能开出来的,背后有人在公司内给它开绿灯。”
周砚看向罗主任:“这就回到授权链。”
罗主任没犹豫:“先取外包点现场证据。授权链回去再追。”
---
机房门打开,一股冷风扑出来。柜体的风扇声像持续的低吼。顾明和警方技术人员戴上手套,接入写保护器,开始对VPN网关与堡垒机做镜像。董经理站在旁边,表面配合,眼睛却一直在观察每一个动作,像怕他们抓到不该抓的东西。
镜像进度条缓慢爬升。时间越长,风险越大。周砚能感觉到董经理的耐心在下降——不是对他们,而是对某个“看不见的上级”。他像在等一个消息:能不能拖到让某些日志滚动覆盖。
“顾明,”周砚低声,“重点看两类:board.viewer的认证方式和会话来源IP。还有,谁在外包点下发过设备管理擦除指令的链路。”
顾明点头,指尖敲击更快。警方技术人员在旁边记录每一步的哈希。镜像完成后,顾明立即在只读副本上做分析。
“找到了。”顾明声音压低,“board.viewer不是个人账号,是一个‘读者角色账号’。它的创建记录显示:创建者不是外包方,是你们公司内部的……董事会办公室IT联络角色账号。”
梁总眼皮一跳:“又回到董事会办公室?”
顾明继续:“审批链更有意思。审批人不是周秘书长,也不是集团办公室,而是……董秘办的一名系统管理员。审批备注写的四个字:‘议题支持’。”
“议题支持。”陆律轻声重复,“这就是动机的外衣。听起来合理,实则把权限开到外包点。”
罗主任沉声:“谁是董秘办系统管理员?”
顾明报出名字:“许元。职级不高,但掌握系统策略审批权。”
周砚脑子里迅速拼图:董事会办公室的共享账号池、终端、密钥;董秘办负责对外口径;集团办公室负责行政骨架;再加上一个掌握审批权的系统管理员——这是一套完整的“议题控制”装置:材料进出、权限开关、舆情烟雾都能被联动。
“会话来源IP呢?”周砚问。
顾明把一条日志放大:“board.viewer的会话来源IP,确实来自外包点机房网段。但它先通过公司内部VPN策略建立隧道,隧道的策略包由公司内部平台下发。下发人——ops.emergency。”
梁总猛地吸了一
(本章未完,请翻页)
第85章 外包点与喂料口 我把废案写成爆款
