第21章 交叉证据
周砚看到“暂不影响”四个字,心里没有放松,反而更警惕:这是留口子。对手常用的策略就是先让你“暂不影响”,等你放松后再用“补充调查”或“新的发现”反复拉扯,让你永远处于被动。
他把邮件归档,更新合规清单,把“暂不影响”的措辞标红备注:“需防止后续扩大解释”。
11:58,午餐时间,梁总突然发来一条消息:“安全部那边初步发现计划任务创建不是你工位账号,但授权路径涉及一个‘临时共享凭证’。下午14:30开内部调查小会,你来。记住:只谈事实,别谈情绪。”
周砚回:“收到。我会带索引表与核验点清单,要求纪要落纸。”
他吃午饭时没怎么咀嚼,脑子却在把“临时共享凭证”这几个字拆开:如果对方用“共享凭证”做文章,就可以把责任往“管理不当”推;如果共享凭证的申请、发放、使用都缺乏审计链路,那就是天然的甩锅工具。对手很可能早就准备好了:把某个凭证说成“你参与过”,哪怕你没有,也能拖你进泥潭。
13:42,内部调查小会在梁总办公室旁的玻璃会议室。
参会人员不多:梁总、严负责人、法务专员、hr主管、以及一个周砚不认识的it运维经理。桌上放着一份打印出来的审计摘要,标题写着《302事件:计划任务创建审计初报》。
梁总开门见山:“今天把事说清楚。严总,你先讲你们查到什么。”
严负责人翻开摘要:“计划任务创建发生在18:47,创建动作来源于跳板机会话a,使用了一个临时共享凭证token。该token在18:45由运维系统生成,授权范围包括监控网段设备配置读取与任务下发。token的申请记录显示为‘设备异常排查’,申请人字段目前显示为‘运维共享账户’,具体是谁发起还在查。”
周砚听到“运维共享账户”时,心里冷了一下——共享账户是责任稀释的温床。只要共享账户存在,就很难锁定到人;锁不到人,就可以回到“无法确认”,再回到“账号持有人管理不当”。
他没有立刻开口,而是等严负责人说完。
运维经理接话,语气有些不耐:“共享账户是为了应急排查效率,我们不可能每次都走个人审批。那天监控确实有告警,我们就开了临时token排查。谁拿去做了什么,我们也不一定能完全追到。”
法务专员顺势补刀:“所以这件事有可能是流程缺陷,不一定是个人恶意。公司会完善流程,但不代表周砚就完全无责。毕竟异常触发点围绕他的账号发生——保护模式、权限限制、项目节奏影响,客观上与他有关。”
这句话的核心不是事实,是“倾向性定性”:流程缺陷也好,个人恶意也好,最后都要把“与他有关”当成粘贴条贴在他身上。
周砚终于开口,语气平稳到近乎冷:“我只问四个可核验问题,回答完,我们再谈结论。”
他竖起第一根手指:“第一,token的生成与使用是否有完整的审计链:生成时间、生成者会话id、请求来源ip、请求设备指纹、使用时的来源ip与设备指纹。如果有,就把这些字段补齐;如果没有,那这不是‘流程缺陷’,是‘审计缺失’,缺失本身就是风险,需要优先修复。”
第二根手指:“第二,18:47创建任务的跳板机会话a,关联的登录方式是什么?密码登录、证书登录、还是二次验证?如果是共享账户+无二次验证,那就是**险配置。请把配置现状写进纪要,不能用一句‘我们不一定能追到’带过。”
第三根手指:“第三,门禁记录显示18:46王xx进入302,ap接入记录显示其设备在走廊ap覆盖段接入。请问这条交叉证据在你们的初报里是否写明?如果没有,请补写,并说明为什么没有纳入。”
第四根手指:“第四,外包陈某在取证纪要中陈述:王xx要求其配合检查,并试图引导其签误操作说明。请问这条证言与录屏是否已纳入核验?如果未纳入,请明确纳入时间表,避免调查方向被‘共享账户’稀释。”
会议室里短暂安静。
运维经理的脸色不太好看:“你这问题问得太细了,很多字段要去系统里翻,不是今天就能给。”
周砚没有退:“那就写进纪要:哪些字段缺失,谁负责补齐,补齐截止时间。调查不是今天给结论,是今天把核验路径定死。否则再过一周,你们还是同一句‘不一定能追到’,项目就永远悬着。”
梁总敲了敲桌面,语气冷硬:“按周砚说的做。审计字段能补就补,不能补就写清楚缺口和责任人。严总,初报里把ap与门禁交叉证据加进去,把王xx相关内容纳入核验范围。运维共享账户的问题也要上报整改。”
严负责人点头:“可以。我们今晚出一版补充初报。”
hr主管试图把话题拉回“用工”:“那周砚这边……是否需要暂停对外沟通,避免风险扩大?”
梁总直接回绝:“不暂停。甲方刚认可机制,开放日还要推进。暂停就是事故。风险控制靠机制,不靠停摆。”
周砚没有说谢谢,也没有表现轻松。他只追加一条底线:“请纪要里写明:在补充初报与核验结论出具前,不得以‘共享账户无法锁定’为由对任何个人形成倾向性定性,包括我。”
法务专员想说什么,被梁总一句“写”压回去。
14:58,会议纪要当场形成,三方签字,明确了补齐字段的截止时间、纳入交叉证据、以及不得倾向性定性条款。周砚拿到扫描件后第一时间归档,生成哈希,上传共享盘“合规记录/302追溯/调查会议纪要”目录。
走出会议室,他的背脊依旧紧,但心里很清楚:对手最怕的不是“你怀疑谁”,而是“你把核验字段写进纪要”。字段一旦写进去,就等于把调查从“叙事”锁进“系统证据”。
16:20,项目执行线继续推进。
开放日海报按出,口径不改;预约表单分时段限流上线,运营一对一确认到访;客服话术库更新到v1.4,新增“核验台现场流程”与“资料发放防伪说明”;设计组把现场导视牌做成可复用模板,版本号与哈希标在角落,像一种无声的声明:我们不怕查。
18:11,王珊发来一条语音,背景里是会议室的翻页声:“领导说你们这套核验机制挺像风控模型,让你们保持。开放日他会现场看一眼,主要看两点:1)现场是否按口径说话;2)用户信息收集是否按隐私告知执行。你们别出纰漏。”
周砚回文字:“明白。今晚我把现场核验清单与接待分工表固化成v1.0,明早发你,包含抽查点与对应证据路径,现场按清单执行。”
他把语音转文字摘要归档。
19:37,夜色压下来时,周砚正把《开放日现场核验清单》最后一条写完,忽然跳出一条来自陌生同事的消息:“周工,小心点,听说有人要把‘共享账户token’的锅扣给你,说你为了查监控自己去弄了token。”
周砚看着这句话,指尖没有动,心里却像被冰水浇了一下。
对手开始换叙事:从“你触发告警”到“你弄token”。叙事一旦成立,就能把“交叉证据”变成“你也参与了”,把“被攻击”改写成“你自导自演”。这种叙事不需要证据,只需要在公司里传开,就足够让你在每一次沟通里被迫解释。
他没有追问对方是谁,也没有把消息转发群里扩大战场。他只回一句:“收到,我按纪要核验字段走,谁说都没用,系统日志会说话。”随后把这条消息截图归档,标注“内部传播风险-叙事攻击”。
20:22,梁总的补充初报还没出,陌生号码又打来一次。
周砚依旧没接,截屏记录后,直接把来电信息与之前威胁短信、陌生来电记录放在同一个目录下,更新合规清单备注:“频繁骚扰,疑似干预调查,建议如持续升级可走公司法务函或报警备案。”
他不是要立刻报警把事情闹大,而是把“升级路径”提前写好——对手越急,越可能从内部操作升级到外部骚扰。升级路径写清楚,梁总就不会在关键时刻犹豫。
21:06,严负责人的补充初报终于发来。
邮件正文比之前少了模糊,多了字段:token生成的请求来源ip、跳板机会话a的设备指纹、以及——一个让周砚眼底发冷的细节:跳板机会话a的发起终端,设备指纹与302公用电脑高度一致;而发起时段18:46-18:49,门禁与ap记录显示王xx就在该区域。
严负责人写得很谨慎:“高度一致”“建议进一步核验”,但这已经足够把“共享账户稀释责任”的路堵住一半:共享账户是共享的,可终端设备不是共享的;终端设备锁定到302,302的门禁与ap锁定到王xx的时段轨迹。
周砚没有立刻给梁总回“可以定他了”。他只回一句:“收到。请将该补充初报与字段纳入正式结论纪要,并补充‘共享账户整改措施’与‘token生成审批链’的流程改造建议,防止类似事件复发。”
他知道,最终结论不是为了“抓一个人”,而是为了“把工具收回审计体系”。只有流程改造写进结论,才会让对手背后的人真正疼——因为这意味着他们再也不能靠共享账户在灰区里做事。
22:03,周砚把开放日现场核验清单固化完成,导出pdf,生成哈希,上传共享盘,并给王珊发了邮件:清单、分工表、抽查点与证据路径一并齐全。邮件结尾只有一句:“现场按清单执行,任何口径变更需先更新口径说明页并留痕。”
发完,他靠在椅背上,闭眼三秒。
疲惫像潮水一样涌上来,但他没允许自己沉下去。他知道,对手不会等开放日结束才出手。对手最常见的打法是:在你即将要交付结果时,把你从“现场”或“对接”里切掉,让你成为旁观者;结果做成了也与你无关,结果做砸了你还得背锅。
他打开日历,把开放日当天的每一个关键时点都写成“可交付事项”:入场核验台布置完成时间、隐私告知展示点检查、资料分发规则确认、现场抽查记录表格、突发质疑应对话术。
每一个事项后面都加了一个“留痕动作”:截图、表单导出、共享盘归档、哈希生成。
视野边缘,蓝色面板亮起,像一条极冷的结论:
【对手会在结果出现前下最后一刀:切你的人、切你的权、切你的口径】
【你的反制只有一种:让每个结果都带着你的证据链,让任何切割都变成“对外合作边界的违约风险”】【以及“内部事故责任的可追溯记录”】【让刀落下时,落到的是动刀的人】
23:11,周砚关机,锁好抽屉,拎起文件袋离开。
走廊应急灯的光把他影子拖得很长,像一条被拉直的线。线的一端连着甲方的认可与现场的落地,另一端连着内部调查的结论与责任的归属。
他知道,线一旦绷到极致,就会有人选择剪断。
而他要做的,是让剪断这条线的人,剪到自己的手。
明天开放日前夜,真正的风暴不会来自外部用户,而会来自内部那群终于发现“灰区被照亮”的人。
/1
。手机版阅读网址.