第15章 资产台账
07:18,楼下便利店的热咖啡还烫手,周砚已经站在写字楼一层的访客闸机旁。
大堂的LED屏循环播放“信息安全月”的宣传海报:强口令、双因素、设备合规、禁止外接存储……每一句都像在提醒他:这家公司最擅长把“制度”当成绳索,也最擅长用“制度”掩盖真正的手。
他没急着上楼,而是在闸机旁的长椅坐下,把手机里那串完整的可移动存储设备序列号又看了一遍。屏幕的冷光映在指尖,像一条细细的冰线。
序列号不会撒谎,台账也不会凭空消失。只要把这串字符放进资产系统和终端管理系统里反查,所有“无法确认”都会被逼到墙角。
视野边缘,蓝色面板像夜里残留的余温一样亮起,字色沉冷:
【关键节点:序列号已到手,下一步不是“指控”,而是“归属核验”】【行动顺序:资产台账→借用记录→终端接入历史→人员交叉验证】【底线:在归属核验前,不对外扩散,不激怒对手】
07:33,周砚刷卡进门,电梯上行时几乎没停。楼层门一开,走廊里还空,清洁车的轮子声在远处滚动,空气里带着消毒水和金属的冷味。
他到工位,没开项目群,先把昨晚的“302追溯证据包(v1.0)”复制出一份“只读版”,放进一个仅梁总可见的加密目录。随后打开电脑,直接写了一封邮件——收件人不是安全部,也不是HR,而是IT资产管理与终端管理的公共工单邮箱。
主题写得干净利落:《紧急:外接存储设备序列号归属核验请求(涉及项目事故追溯)》。
正文更短,像提交审计取证申请:
“请按以下序列号(完整序列号见附件)核验:
1)是否在公司固定资产台账/外设白名单中登记(含资产编号、领用人、部门、领用时间);
2)是否存在借用/归还记录(含借出人、审批人、时间戳);
3)该设备近30天在公司终端的接入历史(接入的终端名/设备ID、接入时间、对应登录账号)。
该核验用于项目事故追溯,请以工单形式反馈,反馈结果请同时抄送信息安全部负责人及梁总。”
附件里,他只放了两样:序列号信息的截图+安全部补充邮件(作为来源证明)。每个附件都生成哈希值,邮件发出后,他按惯例截图存档、更新合规清单。
他做得极稳:不去问“谁干的”,只问“归谁”。在制度里,归属比动机更致命。
08:06,项目线开始滚动。运营发来D3早报:资料分批发放完成到第三批,群情稳定;预约确认新增1条;昨晚答疑直播带来的新增咨询5条,均已标注高意向。周砚把这些写进《D3闭环日报》草稿,口径仍旧沿用“必要字段、可追溯、可核验”的标准,然后在共享盘留言区标明“10:00前形成对甲方同步版”。
他知道今天的对手不会闲着。序列号一旦被推动,很可能触发对方的“止损机制”——删台账、改登记、找替罪羊、或者干脆把矛头指回他“越权调取IT数据”。
08:21,阿远果然出现了。他没有直接找周砚,而是在项目群里发了一条看似“管理动作”的通知:
“@全体 为避免外部舆情扩大,从即刻起,所有社群资料发放必须经项目负责人审批后统一发出;预约表单暂停外链转发,等待法务确认合规声明。”
字里行间,仍然是那两个字:暂停。只不过披上了“审批”外衣。
周砚看完,没有立即反驳。他先把这条消息截图归档,然后用私信把一张“甲方需求”牌甩回去——不情绪、不争执,只让对方在书面责任前自选:
“阿远,甲方已明确要求连续推进预约到访,且昨晚已按隐私告知条款上线表单。你提出审批与暂停,请用邮件形式写明:暂停原因、暂停范围、预计恢复时间、对甲方汇报口径,以及若导致到访滞后由谁承担对甲方解释责任。抄送梁总与王珊。我按邮件执行。”
发出去的瞬间,他顺手把聊天截图存档。对方想把执行权收回去,就得把责任写出来。写不出来,所谓“审批”就是空话。
08:34,王珊在私聊里发来一句:“上午领导问今晚能不能再加一个‘到访提醒’动作,防爽约。”
周砚回:“可以,今天18:00前出一版‘到访提醒SOP(含话术与发送节奏)’,不触碰敏感信息,仅用用户编号+到访时段触达。”
他边回边在D3动作清单里加了一条:到访提醒SOP,责任人运营,输出物话术卡+发送时间表+退订机制,合规点:不外发用户联系方式、不群发暴露隐私、全程留痕。
“执行惯性”继续滚动,像把车轮压在轨道上,不给任何人随手扳道岔的机会。
09:12,IT工单系统自动回了一封确认邮件:工单已受理,编号IT-INC-7XXXX,预计4小时内反馈。周砚把工单编号加入合规清单,备注:资产核验关键节点。
09:26,安全工程师发来一条消息:“你发IT工单了?”
周砚只回四个字:“归属核验,按流程。”
他没有解释,不辩解,也不暴露自己掌握了哪几段日志。越少信息被对方知道,越少人能提前做“擦除动作”。
09:40,行政部负责人也回了邮件,语气很谨慎:“会议室临时登记系统后台需要IT协助,已提需求,待排期。”
周砚把“待排期”这三个字翻译成风险:拖延。拖延就是给对手操作空间。于是他立刻把该邮件转发给梁总,只加了一句:“临时登记后台日志导出需IT协助,建议纳入项目事故追溯优先级。”
梁总秒回:“我让他们今天出。”
周砚没有再回复。他只把梁总这句话截图归档。只要梁总把优先级抬上去,所有“排期”都会变成“现在”。
10:03,《D3闭环日报(24h滚动)》成稿。周砚按惯例导出PDF,生成哈希值,上传共享盘固定目录,留言区写明口径与来源,并给王珊发邮件同步:新增预约确认数、爽约风险控制动作、今晚到访提醒SOP将于18:00前提供。抄送梁总与归档邮箱。发送成功截图、哈希值、邮件时间戳一并归档。
到这一步,甲方侧“连续性”已经锁死。任何内部人想喊停,都要先解释为什么要让甲方的连续推进断档。
10:28,HR主管又出现了。这次她没有拿承诺书说事,而是拿着一份“员工行为规范补充提醒”,站在周砚工位旁,声音温柔得像棉花:
“周砚,最近项目确实进展快,但公司也很关注你有没有越权去调取一些系统数据。比如门禁、监控、网络日志这些,正常员工是不能随便查的。你这边做事别太‘专业’,容易被误解。”
“误解”两个字像一把软刀,刀刃不见血,却能把你往“违规”方向推一步。
周砚抬眼看她,语气平静:“我没有越权调取任何数据。我所有的追溯请求都通过正式工单和部门负责人邮件提出,由信息安全部、IT、行政按流程提供。我只是提出核验需求,并保留项目事故追溯所需的材料。流程内取证,不存在越权。”
HR主管笑意僵了一瞬:“我的意思是,别把事情搞太大。”
“项目事故已经被梁总定义了。”周砚更平静,“追溯不清才是把事情搞大。搞大不是我决定的,是那些让交付通道断档的人决定的。”
HR主管没再说,转身离开。她走的时候,周砚看见她握文件的手指用力到发白——温柔失效后,下一招往往更狠。
11:11,IT资产管理工单的第一轮反馈终于来了,邮件标题很公事公办:《工单IT-INC-7XXXX反馈:外接存储设备序列号核验结果(初步)》。
周砚点开邮件的那一刻,后背的肌肉微微绷紧——不是紧张,而是进入战术状态的本能反应。
邮件内容分三段:
“1)固定资产台账核验:该序列号对应设备未在公司固定资产台账登记,非公司统一采购资产;
2)外设白名单核验:该设备不在公司‘允许外接存储设备白名单’;
3)终端接入历史(近30天):在以下终端出现接入记录——
A)LAP-PRJ-AYUAN-02(19:?? 接入一次)
B)MEET-302-PC(18:46 接入一次)
C)DESK-MKT-LIXX-01(18:?? 接入一次)
详细接入时间戳与登录账号信息需终端管理系统二次导出,预计13:30前补充。”
非公司台账、非白名单、却出现在阿远的笔记本上、302公用电脑上、以及市场部李XX的工位机上。
这不是“普通U盘”,这是“在关键路径上反复出现的外来设备”。最关键的,是它在阿远笔记本上出现过接入记录——哪怕只有一次,都足以让“偶然”变成“链条”。
周砚没有立刻把邮件转发给梁总。他先做了三件事,把主动权握住:
第一,把邮件与附件保存归档、生成哈希值、更新合规记录表,备注“证据关键度:高”。
第二,立刻回复IT资产管理,要求补充导出的字段必须包含:接入的本地用户名/域账号、当时的登录会话、对应的IP、是否有文件读写记录(如可提供)。他写得很克制,只提“字段需求”,不提“指向谁”。
第三,他把门禁记录里的关键人——“王XX 18:46进 18:49出”——与设备接入时间“18:46”在自己脑中快速对齐,形成一条极窄的时间窗:18:46外设接入 → 18:47浏览器登录页 → 18:48输入账号 → 19:01失败登录触发。这个窗里,唯一被门禁明确标记且卡在起点的人,就是王XX。
逻辑闭环开始出现锐角。
视野边缘,蓝色面板亮起,字色比以往更冷:
【证据推进到“可指向”阶段:外设不在白名单却出现在关键终端】【风险:对手将尝试“消毒”——删除终端记录、甩锅给他人、或提前自首式解释】【策略:等二次导出,先锁时间窗,再锁登录账号,再锁设备归属人】
12:02,阿远再次私信周砚,这次语气明显不耐烦:“你别搞那些工单了,事情闹大对你没好处。302的追溯梁总会处理,你现在只要把开放日做好就行。别把自己卷进安全部的泥潭。”
周砚看着屏幕,脑中只有一个判断:对方知道“序列号”已经被推进了。否则不会忽然强调“别搞工单”。
他回得依旧短:“追溯不影响开放日,我两条线都在推进。若你希望我停止追溯,请邮件写明停止原因与责任归属,抄送梁总。”
对方没有再回。
沉默就是一种失败。对手越沉默,周砚越确定自己踩中了真实的痛点。
12:30,财务BP发来提醒:下午要给梁总一版“到访预测与现场成本估算”。周砚把预约时间段分布表同步给她,同时附上“控量策略”与“候补机制”说明:每个时段上限、候补规则、预计到访转化。所有数字带口径说明,避免财务把“意向”算成“确定”。
项目这条线仍旧稳。
13:22,IT补充导出如期而至。邮件标题没变,但附件多了一个《终端管理导出-USB接入明细(脱敏版)》。
周砚打开表格的那一瞬间,呼吸几乎无声。
表格里清晰列出:
- 设备序列号:XXXX-XXXX-XXXX(完整)
- 厂商:SanDisk
- 设备名:USB Mass Storage Device
- 接入终端:MEET-302-PC
- 接入时间:18:46:58
- 当前登录用户:guest_meetroom
- 前台活动账号:周砚(在18:48输入)
- 读写行为:读取 0 / 写入 0(系统层面未捕捉到文件拷贝动作)
- 接入终端:LAP-PRJ-AYUAN-02
- 接入时间:18:12:07
- 当前登录用户:ayuan
- 读写行为:读取 12 / 写入 3(文件名脱敏,仅显示类型:pptx、xlsx、pdf)
- 接入终端:DESK-MKT-LIXX-01
- 接入时间:18:39:14
- 当前登录用户:lixx
- 读写行为:读取 2 / 写入 0
18:12,阿远的笔记本接入,发生读写;18:39,市场部李XX工位机接入;18:46,302接入,紧接着输入周砚账号。
这已经不是线索,是路径。设备像一根针穿过不同的布面,把几块看似无关的布片串成一条线。
周砚的指尖停在“ayuan 读取12 写入3”那行,眼底一点情绪都没有,只剩冷静的算术:如果这只U盘先在阿远电脑上读写过项目材料,再出现在302公用电脑上配合登录尝试,那么“攻击链”就不再是孤立行为,而是有前置准备。
他没有立刻给梁总发“结论”。他发的是“证据包更新”。
14:05,“302追溯证据包(v1.1)”生成完毕:新增IT导出、新增终端读写统计、形成时间轴。每份文件都带哈希值,索引表更新到可直接核验的粒度。周砚把证据包放入梁总加密目录,同时发邮件给梁总:
主题:《302追溯证据包v1.1(新增:USB序列号归属核验+终端接入链)》
正文仅两句:
“已补齐监控缺口的替代证据链:USB序列号在阿远笔记本(18:12有读写)→市场部李XX工位机(18:39接入)→302公用电脑(18:46接入并输入周砚账号)形成完整路径。
建议按项目事故处置流程,调取对应时段三方当事终端的EDR明细与现场人员访谈纪要,避免追溯停留在‘无法锁定’。”
他不写“就是阿远”,不写“就是王XX”,只写“证据链”。梁总看到链条,自然知道该找谁问话。
15:11,梁总回了一封非常短的邮件:“收到。16:30事故处置小会,安全、IT、行政、法务到场。你准备10分钟把证据链讲清楚,别说推断,只说可核验事实。”
周砚盯着这行字,心里没有兴奋,只有更高的警惕。对手最怕的不是“证据”,而是“证据进入正式会议纪要”。一旦会议纪要把事实写下来,所有人都要对签字负责,后续再想改口就会付出代价。
16:28,会议室门口,安全部负责人、IT经理、行政主管、法务专员都到了,HR主管也坐在角落旁听。阿远没有出现,但周砚看到王XX——阿远的助理——也被叫来,坐在最末位,脸色苍白,手指不停地抠工牌边缘。
梁总推门进来时没有废话,坐下就一句:“今天只问两件事:302为何触发周砚账号保护模式、谁该为此承担项目事故责任。按事实说,按证据说,所有发言写进纪要。”
周砚打开投屏,只有一页时间轴,没有任何情绪性标题:
18:12 USB序列号在LAP-PRJ-AYUAN-02接入并读写(终端管理导出)
18:39 USB序列号在DESK-MKT-LIXX-01接入(终端管理导出)
18:46:58 USB序列号在MEET-302-PC接入(终端管理导出/事件日志)
18:47:21 打开统一登录页(事件日志)
18:48 输入周砚账号(事件日志)
19:01 三次登录失败触发保护模式(安全部告警日志/会话记录)
他把每一条后面对应的“证据编号、来源部门、哈希值”用小字标上,像把钉子一颗颗钉在墙上。
“我只陈述三点可核验事实。”周砚的声音平静,“第一,触发保护模式的登录失败来自302公用电脑,不是我的工位设备;第二,涉事时段302设备出现非白名单USB接入,且该USB在更早时间出现在阿远的笔记本并发生读写;第三,门禁记录显示18:46—18:49,王XX进入302会议室,与USB接入的起点时间高度重合。以上均可由安全部、IT、行政原始记录复核。”
会议室里安静得只剩投影风扇声。
梁总抬眼看向IT经理:“USB非白名单为何能接入?”
IT经理额头冒汗:“会议室公用机策略相对宽……我们后续会收紧。”
“后续不是重点。”梁总声音冷,“重点是:接入发生了,记录在。现在问:这只U盘是谁的?”
IT经理翻了翻资料:“台账里没有登记,个人设备。”
梁总的视线转向王XX:“你的个人设备为什么出现在302公用电脑?”
王XX嘴唇发白,声音发抖:“我……我只是进去打印资料,我带了U盘……里面是项目素材……阿远让我……让我整理一下。”
法务专员立刻插话:“王XX承认携带个人U盘进入会议室,但这不必然等同于异常登录行为。”
周砚没有抢话。他等梁总看过来,才补充一句仍旧是“事实级”的钉子:“事件日志显示18:47打开登录页,18:48输入我的账号。输入账号不是‘打印资料’的必要动作。”
王XX的肩膀猛地一颤,抬头看向梁总,眼里有明显的慌乱:“我没有想害谁……阿远说只是试试周砚的账号是不是能被系统锁住……他说只要锁住,周砚就不会一直越过他对接甲方……我当时……我当时没想那么多……”
这一句落地,会议室像被抽走了空气。
HR主管的脸色瞬间变了。法务专员的下颌绷紧,手指在笔上用力到发白。安全部负责人低头看资料,像在确认自己刚刚听到的是不是“项目事故级别”的口供。
梁总没有爆发,他只是慢慢把笔放在桌上,声音低得像压着雷:“你刚才说,谁让你做的?”
王XX眼泪几乎要掉下来:“阿远……他说这是‘管理手段’,不是违规……他说安全部会出‘无法确认’,最后也怪不到谁……”
周砚听到这里,眼底依旧没有情绪。他只在心里把匿名短信的语气与这句话对上:监控缺一段很正常,别太用力查。用力过猛,容易把自己扯断。原来“扯断”的不是他,是他们自己织的那张网。
视野边缘,蓝色面板亮起,像一条冰冷的总结:
【证据链闭环完成:动机暴露,路径确认,指令源头浮出水面】【注意:对手将转入“止损模式”——切割助理、否认授意、将行为包装为“个人擅作主张”】【下一步:纪要必须写明“授意线索”,并启动对阿远终端与邮件的取证冻结】
梁总看向安全部负责人:“按项目事故处置,立刻冻结涉事相关终端的日志保全,不许任何人删改。IT配合。行政保全门禁与会议室记录。法务起草处置纪要,今晚发我确认,明早签字落纸。”
他又看向法务专员,语气冷到没有起伏:“你刚才说不必然等同。现在,等同不等同,写在纪要里,写清楚‘王XX陈述阿远授意’属于什么性质,证据需如何进一步核验。不要一句话糊过去。”
法务专员喉结滚动,最终点头:“明白。”
梁总最后看向周砚:“项目线别停。开放日控量照你的方案走。阿远那边——我来处理。”
周砚只回了一个字:“好。”
他从会议室出来,走廊里的冷白灯光照在脸上,反而有一种近乎荒诞的平静。不是因为赢了,而是因为那条最危险的“灰区”终于被撕开了口子:从此以后,谁再说“无法确认”,就要先解释为什么在有人承认授意的情况下还要无法确认。
19:08,周砚回到工位,第一时间把会议中涉及自己的部分整理成“事实摘要”,不含任何主观判断,只列时间点、证据编号、会议动作项,并发给梁总抄送归档邮箱——他要把会议后的第一版“叙事”抢在任何人之前写下来,避免被别人偷换成“王XX个人行为”。
随后他继续推进项目:到访提醒SOP在18:00前已发给王珊,运营按计划开始分批触达;预约确认新增2条;群内无异常舆情。所有数据滚动更新进D3闭环日报,晚间再生成对甲方同步版。
21:27,手机震动了一下,又是陌生号码短信,内容依旧短,但语气从威胁变成了急躁:“你把事搞大了。助理一个人扛就行,别再往上翻。”
周砚看着屏幕,连眉都没动一下。
他按规截图、命名、加密归档。然后把这条短信和昨晚那条放进同一个文件夹里,备注一句:“疑似同一发送源,语气变化:威胁→劝止,时间点:事故处置会后。”
对手开始切割了。切割说明痛点被击中。切割也说明——下一步他们会把所有责任压到“王XX个人擅作主张”上,甚至可能让王XX“主动离职”或“自愿承担”,用一条人命式的职业牺牲,换取上层的干净。
周砚没有任何怜悯的快感。真正的危险从来不在一个助理身上,而在“授意”的那条线能不能被规则锁住:终端取证、邮件冻结、纪要落纸、责任分级。只要任何一环被软化,切割就会成功,阿远就会再次把矛头转回“周砚账号管理不当”,然后换一种更隐蔽的方式继续掐他的交付通道。
23:05,办公室只剩他一盏台灯。周砚把“302追溯证据包”更新为v1.2:新增会议事实摘要、行动项清单、短信证据。每一份文件都带哈希值和时间戳,像把一条活的证据链封进玻璃里,让任何人都只能看着,无法篡改。
他合上电脑,锁好抽屉,站起身时,疲惫终于像潮水一样涌上来。但他的脚步没有虚。因为他知道,真正的战果不是“抓到了谁”,而是把这家公司最擅长的那套灰色话术——“无法确认”“建议加强”“不影响推进”——逼到不得不写出明确的纪要、明确的责任、明确的处置。
走出写字楼时,夜风更冷了,像把刀从耳后削过去。周砚把领口拉高,目光越过街口的红绿灯,看见远处霓虹在雾里晕开一圈圈光。
他没有想庆祝。
他只在心里把明天要做的三件事写得清清楚楚:
一,拿到事故处置纪要并逐条核对签字,确保“授意线索”落纸;
二,确保涉事终端取证冻结完成,邮件与终端日志不被删除;
三,继续把开放日预约推进到更稳定的确定到访,让结果产生更大的惯性。
对手已经开始切割了。
切割意味着他们怕了。
怕了,就会失控。
而失控,最容易露出新的证据。
(https://www.misongxs.com/xs/75034/49827506.html)
1秒记住米松小说网:www.misongxs.com。手机版阅读网址:m.misongxs.com