第98章 落地:触发者的手与最后的门
诗和远方提示您:看后求收藏(
http://m.biqugess.com)
『如果章节错误,点此举报』第(1/3)页
清晨七点二十,周砚刚到办公室,手机里就多了三条未读消息,全部来自董事长办公室秘书。内容很短,却像三根钉子:
1)董事会部分成员收到“内鬼名单”后情绪波动,要求尽快“明确责任人”;
2)重组方希望当日获得第三方阶段性结论摘要;
3)秘书长办公室请董事长安排一场“沟通会”,主题是“避免扩大化”。
避免扩大化这五个字,像旧时代的暗号。它曾经是影子机制最锋利的刀:把调查变成扩张,把追责变成斗争,把边界变成过激。现在它被重新喊出来,说明装置被拔喉管后,最后的门开始被推。
门不是系统门,是组织门。
周砚没有回复“等会儿”。他把三条消息截图编号入库,然后直接走向战情室。顾明已经在白板前写了新的词:**触发者名单候选**。下方列着一排:ga.pipeline触发记录、notify.exec部署账号、令牌授信实体持有人、隐藏模板库作者、云文档协作者、门禁短时恢复操作员、物业推送接口维护人。
“落地的意思,就是把这些‘候选’变成‘实名’。”顾明说,“第三方说外部托管日志能保。我们要抓住这个支点,今天就把ga.pipeline的触发者挖出来。”
“先做触发记录链。”周砚说,“再做权限持有人链。最后做指令链。三条链合一,幽灵就会变成人。”
罗主任翻出一份编号通知:“董事长同意。今日重点:ga.pipeline触发记录复核、notify.exec镜像深挖、董事会情绪管理、对外阶段性摘要。”
陆律补上一句:“还有一件事:秘书长办公室的‘避免扩大化沟通会’,我们要去,但要把会议变成编号会议。任何口头劝退都要落纸面。”
周砚点头:“去。”
---
上午九点,第三方许衡带着两名审计员进到隔离环境。他们手里拿着一份“外部托管日志调取申请”。外部托管日志是自动化平台供应商的审计记录,通常包括:谁在什么时间触发了什么流水线、触发来源IP、触发方式(网页、API、脚本)、触发所用凭证(token指纹)、触发所提交的代码变更哈希。
“我们需要你们法务配合,以公司名义向供应商调取近一年ga.pipeline所有触发记录。”许衡说,“尤其是授信规则变更相关流水线的触发。我们只要元数据,不要业务代码内容。”
陆律立刻安排。供应商响应比预想快:因为公司有合规调查与警方协查背景,供应商给了一个临时的只读审计接口。许衡在隔离环境登录,调出第一批数据。
屏幕上滚出一串触发记录,像一条很长的河。河里有泥沙也有石头。许衡停在三条记录上,指给周砚看:
* 触发时间:伪造投票包出现前一天夜里 23:12
* 触发流水线:GA-SEC-TRUST-POLICY-UPDATE
* 触发来源:API
* 触发token指纹:**TKN-7F2A**
* 触发者标识:**ga.pipeline**
* 触发关联账号:**ga.office.coordinator**
第二条记录:
* 触发时间:打印区维护黑屏当天 16:41
* 触发流水线:EXEC-NOTIFY-ROUTE-REFRESH
* 触发来源:API
* token指纹:**TKN-7F2A**
* 关联账号:**sec.exec.gateway**
第三条记录:
* 触发时间:证人保护点“临时维修”入侵当天 11:18
* 触发流水线:PROPERTY-EXT-PUSH-ENABLE
* 触发来源:API
* token指纹:**TKN-7F2A**
* 关联账号:**hr.guard**
同一个token指纹,跨三条关键事件,触发三条关键流水线,关联三类关键账号:集团办公室协调、网关指令、HR保障。
“这就是授信实体。”许衡说,“TKN-7F2A是一把主钥匙。谁持有它,谁就是触发者。”
顾明立刻问:“token在哪发?能追到发放链吗?”
许衡点开token指纹详情:“供应商审计只能看到调用者token指纹,不会给出token明文。但你们内部如果有API网关日志,可以对齐:哪些请求携带了这个token指纹。通常网关会记录token哈希或指纹。”
信息中心主任迅速调出内部API网关日志。对齐很快完成:TKN-7F2A对应的请求来自一台固定的“自动化跳板机”,资产编号:GA-JMP-03。位置:集团办公室楼层机柜间。管理员归属:集团办公室信息协调专员——**何祁**。
名字落地得比想象更快。
何祁不是领导,不是主任,不是副主任。他是一个“专员”。专员最危险,因为他有技术能力,有执行权限,又容易被上面当作“可替换零件”。如果影子机制要献祭,何祁是完美的献祭品。
“我们不能让他变成唯一中心。”周砚立刻说,“我们要问:谁给他token,谁授予他使用跳板机,谁让他触发哪条流水线。触发者不一定只有他,但他是关键手。”
“先控干预。”罗主任说,“立即冻结何祁所有权限,安排他进入谈话与保护双重状态:既防他继续触发,也防他被灭口或被逼背锅。”
警方技术人员点头:“我们可先以证人身份控制接触范围,必要时升级措施。”
许衡提醒:“在你们控制他前,先做两件事:一,镜像GA-JMP-03;二,冻结相关token并让供应商吊销。否则有人可能用同token继续触发,或者让他远程销毁证据。”
信息中心
(本章未完,请翻页)
第98章 落地:触发者的手与最后的门
『加入书签,方便阅读』
第98章 落地:触发者的手与最后的门 我把废案写成爆款
