游人小说网 > 我把废案写成爆款 > 第52章 封存确认

第52章 封存确认

推荐阅读:无上仙国 修罗武神 逆鳞 超品相师 真武世界 我的1979 大魏宫廷 天启之门 流氓艳遇记 九仙图

07:38,电梯门在九楼“监察内控”标识牌前打开时,周砚先闻到了一股很淡的消毒水味,像有人提前把现场擦得过于干净。

走廊尽头的会议室门口已经摆好了折叠桌,桌上整齐地放着两沓纸:一沓是《封存确认单》,一沓是《取证授权与保全告知》。旁边还有一叠透明自封证据袋、一次性扎带、封条、以及几枚印着“内控/安全”字样的红色圆章。纸张边角对齐得几乎苛刻,像在提醒所有人:今天不是“沟通”,是“流程”。

高岚站在桌旁,手里拿着一张清单,清单上按部门、按姓名列了三行,旁边标注着对应的设备编号与资产标签:

—  媒介主管:公司配发笔记本(资产编号M-…)

—  王XX(阿远助理):台式机终端(资产编号P-…)

—  阿远:项目线工作站/个人笔记本(资产编号A-…)

信息安全部负责人也在,身后跟着两名安全工程师,其中一人背着便携式取证箱,箱子外侧贴着“写保护器”“镜像存储”几个醒目的标签。另一人手里拿着一台小型摄像机,镜头对准折叠桌,红灯亮着,正在录制。

周砚脚步没停,走过去站在高岚左侧半步的位置。他不主动开口,也不多看任何人,只把自己的手机静音,打开“合规记录表”,把时间戳先写上:07:41,封存取证现场到场。

高岚抬眼看他:“你是项目交付关键账号持有人,我们需要你作为流程见证人之一,确保取证过程与项目权限调整边界一致。你只需要看清楚‘封存范围’和‘时间节点’,不需要参与判断。”

“明白。”周砚点头,语气平稳,“我只关注流程是否完整留痕、以及取证是否影响项目交付节奏。”

07:49,媒介主管到了。

他今天没有穿西装,穿了件普通的深色毛衣,领口略松,像刻意让自己看起来“没那么正式”。他一出现就先看了一眼摄像机,眼神闪了一下,随即挤出一个不自然的笑:“高总,这么大阵仗啊?我昨晚不是都说了么,那些外部截图就是造谣,查也查不到我们头上。”

高岚没接他的情绪,直接递出《封存确认单》:“流程不是针对谁。请确认设备在你本人掌控范围内、当前状态、以及你是否做过任何清理或重装。按实际填写,虚假陈述会单独定性。”

媒介主管伸手接纸,笔尖悬了两秒,才勉强落下。他写“未做清理”四个字时,手腕微不可察地抖了一下。

07:55,王XX到了。

他比上次在门禁明细里呈现出来的名字更“普通”——身材偏瘦,戴黑框眼镜,手里拎着一个电脑包,包看上去很轻。走近折叠桌时,他的视线先掠过周砚,又迅速移开,像怕被人多看一眼。

“台式机在工位,我现在去搬过来?”王XX声音很低。

安全部负责人看了看高岚,高岚点头:“由安全工程师陪同取走,现场断网、断电后再搬。你只负责带路,不允许触碰键盘鼠标,不允许自行关机。”

王XX喉结滚动了一下:“我明白。”

08:02,阿远到了。

他一出现,走廊的空气就紧了一截。阿远脸上带着一种刻意的镇定,像提前背过“标准答复”。他站定后先对梁总不在场这一点做了一个短暂的扫视,随后目光落在高岚身上,语气很“合理”:“内控流程我完全配合。但我这边要先说明,今天项目要对外推进开放日,任何封存动作不能影响团队交付。我建议先封存302公用电脑和媒介主管的笔记本,至于我个人设备,里面有大量项目资料,封存会造成工作断档。”

高岚翻开清单,语气冷静:“封存不是拿走就不动。取证会做镜像,设备封存期间可以按流程提供替代终端。你说的‘工作断档’,可以通过流程消除,但证据如果被破坏,就不可逆。”

阿远叹了口气,像在承担无辜的麻烦:“我担心的是效率。我们不能因为怀疑就把项目停了。”

“没有人要停项目。”周砚这时才开口,声音不高,却把边界钉住,“流程也没有说要停项目。今天的封存取证,是为了避免交付账号再被异常触发保护模式,反而是为了项目不停。”

阿远看向他,眼底一闪而过的情绪很快被压下去:“周砚,你别把任何事情都往我身上引。项目协同有问题不是一天两天了,你把它解释成安全事件,很危险。”

周砚没接“协同”这个话题,只看着高岚:“我建议在封存确认单里补一条:封存设备期间,项目归档版本由共享盘为唯一有效,任何临时拷贝与私下传输视为违规。这样既不影响交付,也能控制风险。”

高岚点头:“这条写进告知。”

08:10,流程开始。

安全部工程师先进行“现场录制声明”:时间、地点、参会人员名单、取证授权范围。摄像机镜头扫过每一个人的脸,红灯持续亮着。

高岚宣读《保全告知》:“封存取证期间,任何人不得以任何形式删除、篡改、覆盖设备数据;不得远程登录设备进行操作;不得指示他人操作。违反者按‘证据破坏’处理。”

念到“远程登录”时,媒介主管的眼角不自觉跳了一下。

08:17,第一台设备封存:媒介主管笔记本。

媒介主管把电脑放在折叠桌上,手掌压着机身边缘,像下意识想控制它的去向。安全工程师戴上手套,先在摄像机前展示设备外观、资产标签、序列号,再插入写保护器,把取证硬盘接入,开始做“只读镜像”。

镜像进度条缓慢跳动,像一条冷静的倒计时。

08:23,异常出现。

安全工程师的终端弹出一条提示:检测到设备尝试建立外联连接,目的地址为某个云盘同步域名。工程师迅速抬头:“设备在做同步。”

媒介主管立刻解释:“那是自动的,我昨晚做表格用过,云盘会同步文件,很正常。”

高岚没有争辩,只问一句:“你刚才有没有接触键盘?”

“没有。”媒介主管几乎是条件反射式否认。

安全工程师没有再问,直接拔掉网线,把无线模块硬断,继续镜像,同时对摄像机说:“记录:08:23,设备出现外联同步行为,已断网保全。”

周砚站在旁边,心里却很清楚:真正“正常”的同步会在登录态、网络正常时发生,而不是在封存流程、无人工操作的瞬间突然启动。除非有人提前设置了触发条件。

视野边缘,蓝色面板像冰一样亮起:

【证据破坏尝试出现:同步=掩护,覆盖=目的】

【应对重点:记录“触发条件”与“触发时刻”,不争辩动机】

08:31,第二台设备:王XX台式机。

王XX带路去了工位区。安全工程师全程跟在他身侧半步,像押运。到了工位,工程师先用手机录像记录工位环境:主机、显示器、键盘鼠标摆放状态、USB口是否插着设备。

然后他蹲下身,直接拔电源,拔网线,贴封条。

王XX想说什么,嘴唇动了动,最终还是没开口。

08:47,第三台设备:阿远个人工作站。

阿远依旧试图争取:“我这台机子下午还有资源协调,封了我怎么干活?”

高岚把替代终端清单递过去:“内控可以提供临时机,权限由安全部按最小化策略开。你只要配合。”

阿远接过清单,面色僵了一瞬,最终点头:“行。”

09:12,镜像完成第一阶段。

安全工程师把取证硬盘封进证据袋,贴封条,封条上写:设备编号、镜像哈希、时间戳、经手人签名、见证人签名。高岚签了字,安全部负责人签了字,媒介主管签字时,笔尖停了两秒,才勉强落下。

周砚作为见证人之一也签了字。他签得很慢,像签一份不可撤回的合同。

09:26,内控临时会议。

高岚把三份封存确认单摊开,语气依旧平静,却像刀刃落下:“取证开始后出现外联同步行为,属于取证风险点。现在需要确认三件事:一,外联同步是否为系统自动;二,是否存在远程触发;三,是否与302链路同源。”

安全部负责人点头:“我们会在镜像里检索任务计划、启动项、同步客户端日志、以及远程控制软件痕迹。最关键的是:是否存在同一类‘触发机制’。”

阿远立刻接话:“我还是那句话,别扩大。同步也可能是正常行为。”

高岚看向他:“扩大不扩大,取决于证据,不取决于你说的‘可能’。”

媒介主管终于忍不住:“高总,这都快把我当嫌疑人了。我天天做舆情监测,装几个工具很正常。你们这样搞,会影响我工作,也会影响项目对外。”

周砚没有看他,只把自己的关注点拉回项目:“我提醒一个客观事实:对外节奏不能断。今天上午我会同步D5闭环数据给甲方,下午要更新开放日分流与应急预案。取证结论什么时候出来我不干预,但交付线我会按计划推进。”

高岚点头:“这也是我们今天要确保的。安全事件不能拖断业务,但业务也不能成为遮蔽证据的理由。”

09:48,周砚回到工位,打开共享盘。

他先更新《开放日应急预案(V1.0)》,把可能出现的风险按“触发条件—响应动作—责任人—留痕方式”写得极细:

1)外部质疑“虚假引流”:现场仅展示“区间+来源+证据路径”,提供核验二维码,扫码即到共享盘公开页(脱敏版);

留痕:现场问答记录表(编号化)、图片拍照归档。

2)媒体到场提问:统一引导至甲方指定发言人,项目组不私自答复;

留痕:媒体接触登记(时间/账号/问题/转交人)。

3)用户隐私争议:现场登记只留必要字段,明示同意签字或勾选;

留痕:表单同意记录+扫描件归档。

4)平台风控/社群异常:立即切换资料发放为“一对一”,暂停群内公开资料链接;

留痕:平台告警截图+处置时间线。

他写得像一份战术手册,每一条都能执行、能审计、能回溯。

10:12,王珊发来消息:“内控那边怎么样?别影响现场。我们这边领导问,能不能把你们的‘核验路径’做成一张现场海报,贴在入口处,避免反复解释。”

周砚回:“可以。我今天中午前出一张海报:资料清单+来源类型+核验路径二维码+隐私告知要点。海报版本号、生成时间、哈希一起给你。”

他把对话截图归档,立刻找设计组要模板。

10:36,设计组海报初稿出来了。

周砚看了一眼,没有改视觉,只改文字结构,把“资料清单”按四类写得极简:

—  数据口径:公开平台数据/甲方样本/实测证据(扫码可核验)

—  实测证据:视频/路线图/时间窗说明(扫码可核验)

—  预约与登记:必要字段/明示同意/脱敏编号(扫码可核验)

—  版本声明:共享盘归档为唯一有效版本(扫码可核验)

海报右下角加了一行小字:本海报不包含个人信息,不构成单点承诺,仅提供核验路径。

这种写法看起来冷,但能最大限度降低被截取传播的风险。

11:08,内控的第二封邮件推送到了周砚电脑上。

标题:取证进展同步(阶段性发现)。

正文很短,却像在水面砸下一块石头:

“媒介主管笔记本镜像初检:发现远程控制软件残留(服务项存在,界面已卸载)、同步客户端配置异常(含指定目录‘项目/资料’自动同步规则)、任务计划中存在‘触发后执行脚本’记录,具体脚本待提取核验。”

“王XX台式机镜像初检:发现USB接入历史中存在同一HID设备多次插拔记录;发现脚本文件夹‘tools/auto_input’,含若干自动化输入脚本;存在与‘302公用电脑计划任务名称相似’的任务条目。”

“阿远工作站镜像初检:发现项目资料存在多个非归档版本副本;发现一份名为‘口径调整建议_内部’的文档,含外部传播策略草案;未发现远程控制软件服务项(进一步核验中)。”

邮件末尾写了一句:“以上为阶段性发现,不构成最终结论。”

周砚读到“外部传播策略草案”时,指尖微微停顿,但他没有在脸上显露任何东西。他把邮件存入共享盘“合规记录/内控取证”目录,按流程归档,然后把最关键的三句摘进《纪要核对清单》的补充栏:远控残留、同步规则异常、auto_input脚本、口径调整建议。

这四个关键词足够让任何“误操作”的解释变得站不住。

11:22,阿远出现在周砚工位旁。

他这次没有敲隔板,直接开口,声音压得很低:“周砚,事情走到现在,你也看到了。内控要查,安全要查,媒介组也被盯上。你再继续推,会把项目搞成公司事故,到时候谁都跑不了。”

周砚抬头看他,语气平稳:“事故与否取决于证据,不取决于我推不推。你如果担心影响项目,就把版本管理按归档走,把口径收紧,别在边界上做动作。”

阿远笑了一下,那笑意薄得像纸:“你真以为你赢了?你现在站在风口上,一旦内控结论出来,哪怕不是你做的,组织也需要一个‘管理不当’的承接点。你再顶下去,反而最容易被选中。”

周砚没有被这句“组织需要承接点”吓住。他只是把话说得更清楚:“所以我一直在做两件事:第一,把交付做成可复核的结果;第二,把规则细化到可执行可验证。承接点要落,也要落在证据上。你现在说的,是心理战,不是事实。”

阿远盯了他两秒,像在判断这人有没有松动的缝。最终他收回视线,转身走了。

走之前丢下一句:“你小心点。”

周砚看着他的背影,心里并没有松动,反而更清醒:阿远不再试图用“暂停”来拖节奏,开始用“组织会找承接点”来制造恐惧。这说明链条已经逼近他能否承受的边界。

12:40,媒介主管主动找到了周砚。

他站在工位旁,眼睛里有一种被压到极限的焦躁:“周砚,我们能不能谈谈?私下谈,不要再往内控那边补料了。”

周砚抬眼,语气依旧冷静:“我没有‘补料’。我只提交事实与缺口清单。你要谈什么?”

媒介主管压低声音:“你知道的,外部那张截图不是我们发的,但……我们确实有人拿了内部表格出去做‘对照测试’,想看看媒体会不会咬。我们本意是提前预判舆情,不是泄密。”

周砚听到“拿了内部表格出去”这几个字,眼神没有波动,只问:“谁拿的?拿的是什么版本?通过什么渠道发出去?有没有留痕?”

媒介主管脸色更白:“你别逼我说名字……这说出来是要出人命的。”

“那就按流程说。”周砚语气不重,却把路封死,“你现在找我私谈,不会改变流程。你唯一能做的,是把你知道的事实写成书面说明,交内控。否则你说的每一句,都可能变成你个人的口头承认,既救不了别人,也救不了你。”

媒介主管的嘴唇抖了抖:“你真够狠。”

“我不狠,我只是清楚规则。”周砚看着他,“你如果真的想止损,止损方式不是让我闭嘴,是把事实写进档案,让责任按链条走。你们之前想用监控缺口做缓冲区,现在缓冲区被交叉证据填上了,就只剩下两条路:要么面对事实,要么被事实追上。”

媒介主管沉默很久,最终丢下一句:“你会后悔的。”

他走得很快,像逃。

14:05,王珊发来一张现场平面图,问:“入口海报贴在哪个位置最合适?还有,领导要求明天现场有一个‘风险说明口径’,只要一段话,别太硬,也别太软。”

周砚看着平面图,先回位置建议:“入口右侧墙面,排队等待区可视范围内,避免堵塞动线。海报旁边放一个‘核验说明卡片’小架子,拿了就走,不需要反复解释。”

然后他写那段“风险说明口径”,语句尽量温和但不留漏洞:

“本项目所有对外信息均采用‘区间+来源+实测证据’呈现,不做未经核验的单点承诺。资料清单与来源路径已公开,欢迎现场扫码核验;用户信息仅收集必要字段并经明示同意,且全程脱敏编号管理。我们欢迎合理质疑,也欢迎用证据核验结果。”

他把这段口径发过去,附一句:“这段话可以印在接待台卡片上,统一口径,避免现场人员随口解释产生漂移。”

王珊回:“很好,就用这个。”

周砚把对话归档,继续推进D5闭环数据整理。

15:18,内控第三封邮件来了,抄送范围扩大到梁总、法务、HR。

标题更短:《阶段性风险提示(请立即执行)》。

内容只有两条,但每一条都像在切断某些人的退路:

“1)鉴于已发现远程控制残留与异常同步规则,所有涉事人员即刻不得使用个人云盘/个人邮箱处理任何项目文件;项目资料仅可在共享盘归档版本范围内访问。”

“2)鉴于已发现自动化输入脚本与相似任务计划,建议对相关人员临时冻结‘版本上传权限’与‘对外资料发放权限’,由项目交付负责人统一执行,直至内控出具阶段性结论。”

“建议执行人:梁总指定。”

这封邮件的关键不在“提示”,而在“冻结权限”的建议。冻结谁、保留谁,本质上就是组织对责任链条的初步切割。

十分钟后,梁总在项目群里发了公告,字数很少,却斩钉截铁:

“即刻起:对外资料发放权限统一收口至周砚与运营负责人两人;版本上传权限仅限共享盘归档管理员;其余人员如需对外输出,先走审批。内控取证期间,任何绕流程的动作视为违规。”

阿远没有说话,媒介主管也没有说话。

群里一片“收到”。

周砚看着那条公告,心里没有轻松。他知道,这意味着组织把“执行权”暂时交到他手里,同时也把“结果责任”进一步压到他肩上:如果明天开放日出现任何失控,第一责任人会更明显。

这不是奖励,是更精细的战场。

16:40,安全部负责人给周砚私信:“内控要求你补充一份说明:为什么你认定302链路影响项目交付通道稳定。需要量化影响。”

周砚回:“可以。给我30分钟。”

他打开《项目交付通道影响评估(D1-D5)》文档,把每一次账号保护模式触发的时间、持续时长、导致的操作中断列成清单,并附上“中断影响”:

—  共享盘上传失败:影响版本归档时效;

—  项目邮箱登录受限:影响对甲方同步时效;

—  CRM录入延迟:影响预约转确定;

—  社群资料发放暂停:触发用户流失风险。

他在文末写了一段很短的结论:“该链路若不切断,将导致交付通道不可预测中断,形成项目事故风险;切断方式为:封存涉事终端、禁用302设备登录、指定设备登录策略、冻结非必要权限。”

他把文档导出PDF,生成哈希,上传共享盘,发给安全部负责人并抄送高岚。

17:28,王珊电话打来。

背景里是嘈杂的物料搬运声,她语速很快:“周砚,刚收到消息,有个本地自媒体说明天会到现场‘暗访’,说要抓你们虚假宣传。我们领导要求你们现场必须有预案:谁接待、谁发言、谁负责留痕。还有一点,别让任何人拿着内部表格在现场比对,太容易被截取。”

周砚边听边打开《开放日应急预案》,语气稳定:“已做预案。我建议按三层应对:第一层接待台统一口径,只给核验路径;第二层由你方指定发言人对媒体答复,项目组不直接回应;第三层留痕:任何疑似媒体接触都登记并拍照存档。至于内部表格,现场只展示对外版海报与核验二维码,不展示任何内部底稿。”

王珊沉默半秒:“好。你把预案发我,今晚我给领导过一遍。”

“20分钟内发你。”周砚答。

挂断电话,他把预案精简成一页纸版本《现场应对卡(V1.0)》,每项写成可执行动作,甚至把“遇到挑衅话术”都写成标准句式,避免现场人员临场发挥。

18:13,周砚刚把预案发出去,内控会议室那边传来消息:媒介主管被叫进去单独问询。

走廊里有人压低声音议论:“听说他们笔记本里有远控残留,麻烦大了。”

周砚没有去凑热闹。他回到工位,把明天开放日的“现场登记表单”再核对一遍:必要字段、明示同意勾选、脱敏编号自动生成、导出权限限制、导出留痕。每一项都像拧紧螺丝,拧到没有缝隙。

20:06,内控问询结束的通知没有发出来,但周砚收到一条陌生企业微信消息——不是好友申请,而是通过“临时会话”发来的文本,只有一行:

“别以为流程能救你,明天现场你就知道什么叫翻车。”

周砚看着那行字,没有回。他截屏、归档、记录时间戳,然后把手机放回桌面。

他突然意识到一个更现实的问题:对方不止想在内控上把他拖死,还要在“对外现场”制造一次不可控的事故。只要现场翻车,哪怕内控最后查出链条指向别人,组织也会把“项目事故责任”扣到他身上——因为现在执行权在他这里。

这就是对方真正的算盘:证据链压不死你,就用结果事故压死你。

21:14,安全部负责人发来一条短讯:“阶段性取证发现:302公用电脑的监控断联不是设备老化,是人为断电。走廊弱电箱在18:46—18:50间被打开过,打开记录对应门禁刷卡人:行政孙XX。”

周砚的呼吸在那一瞬间停了半拍。

门禁明细里孙XX确实在19:02、19:08进出,但“弱电箱打开记录”指向18:46—18:50,这个时间窗恰好与王XX进入302、监控断联起点重叠。

监控缺口不是“故障”,是“手动制造”。

而制造缺口的人,很可能不是技术人员,而是能接触弱电箱的人——行政、物业、运维任何一个都可能。但现在,记录指向了一个明确姓名。

周砚没有立刻把这条信息扩散。他只回复安全部负责人:“把弱电箱记录作为证据封存,纳入内控动作项。不要口头传播。另:确认孙XX与王XX是否存在同部门/同项目关联,按内控流程走。”

安全部负责人回:“已同步内控。”

周砚把手机放在桌面上,指尖轻轻敲了一下。

他终于明白那条威胁短信里“监控缺一段很正常”的底气从哪里来:他们以为只要监控缺口存在,责任就永远能漂在灰区;现在缺口被证明是人为制造,灰区开始变成黑白。

但他也更清楚:对方不会坐等流程把链条拽出来,明天现场一定会有动作。可能是舆情,可能是媒体,可能是“用户投诉”,也可能是更直接的——现场有人故意引导冲突,逼出一句不合规的话,截取传播。

22:03,周砚把所有材料再次归档,把文件袋封条贴好,签名落笔。

他没有立刻离开,而是打开《开放日现场风险清单》,在最底部加了一条新的风险项:

“风险:现场被刻意制造冲突/诱导发言,形成舆情截取传播”

“应对:统一发言人,项目组只提供核验路径;所有争议引导至核验二维码;现场全程录音录像留痕;出现挑衅立即中止对话并登记上报。”

写完,他把文档导出、生成哈希、上传共享盘,留言区写明:“V1.1更新:新增现场挑衅诱导风险应对。”

他关掉电脑,背起包走出写字楼。

夜风比昨晚更硬,像把城市的噪音也冻结在空气里。周砚走到地铁口时停了一下,抬头看了一眼远处那栋玻璃幕墙的楼。

楼里仍有几扇窗亮着,像某些人还在做最后的准备。

明天的现场,是结果线的高压节点,也是对方最可能下手的地方。

而他能做的只有一件事:把所有可能被利用的“模糊地带”提前写成规则,把所有可能被剪辑的“话术空间”提前收紧到证据路径,把所有可能被扭曲的“现场叙述”提前变成留痕记录。

流程已经开始吞人。

谁被吞掉,谁能站稳,就看明天那几个小时里,谁还能控制住事实,谁会被事实反噬。


  (https://www.youren99.com/chapter/3544309/50129446.html)


1秒记住游人小说网:www.youren99.com。手机版阅读网址:m.youren99.com