第24章 唤醒来源

06:48，天色还带着一点未褪的青灰，电梯门开合的“叮”声在空旷的大厅里显得格外清晰。

周砚迈出电梯时，手里拎着那只熟悉的文件袋，封条上的日期像一条冷硬的刻度线，把昨晚的核验纪要、短信威胁、补充条款修订版和项目数据闭环全都钉在同一条时间轴上。他没有急着坐回工位，先绕去茶水间打了杯温水，站在窗边看了十秒钟——玻璃幕墙外的雾还没散，城市像被一层薄膜罩住，模糊而安静。

这种安静从来都不是好兆头。

越安静，越像暴风雨前的气压变化，逼得人胸口发闷。

他回到工位，打开电脑，第一件事不是点开项目群，也不是看王珊的未读消息，而是把昨晚安全室核验纪要再次打开，逐字重读。三条关键结论被他用黄色高亮标得像警示牌：

1）失败登录存在不同子网来源迹象；

2）存在4648凭据使用事件，未排除非人工触发；

3）18:48发生设备唤醒，处于监控缺失区间，唤醒来源待补证。

“唤醒来源”这四个字，是整个链路里最锋利的钩子。

门禁能告诉你谁进出，日志能告诉你发生了什么，但只有唤醒来源能告诉你——这台电脑是被“人”叫醒的，还是被“网络”叫醒的；是有人按下了键盘，还是有人在另一台设备上发出了wake-on-lan；是办公室里有人当场操作，还是有人在别处隔空触发。

只要把唤醒来源补齐，监控缺口就不再是缺口，只会变成一条故意留下的遮羞布。

视野边缘，蓝色面板亮起，像把下一步行动直接写进空气里：

【关键补证：power-troubleshooter（电源疑难解答）事件字段可直接给出唤醒来源（设备/网络/外设）】

【进阶补证：若为网络唤醒，需追溯唤醒包来ac/ip→映射资产→锁定操作端口/账户】

【风险预警：对方将以“敏感数据”为由拒绝提供字段，须用“现场核验+纪要留痕”绕过外带限制】

07:12，项目线先跑。

周砚打开“到访后48小时跟进sop”执行看板，把昨晚归档的群发发送记录抽查了十条，确认全部使用核验版话术，没有绝对化表述，也保留了隐私告知与证据路径。他把抽查结果导出成一页pdf，生成哈希，归档进“合规记录/营销话术抽查”，顺手给梁总抄了一封邮件：

“昨晚到访后跟进群发已按核验版执行，抽查样本10条均合规，记录已归档（含哈希）。避免被外部截图带节奏。”

他要把可能被反咬的每个点都提前堵死——对手既然开始用“敏感数据”恐吓，就一定会顺势把“营销合规”也当成武器，双线夹击。

07:38，王珊的消息弹出来：“领导要求今天下午看‘二次预约排期+预计到访人数’。别夸张，宁可保守，但要有方法。你们内部有没有人能把到访后48小时的推进节奏讲清楚？”

周砚回得很快：“我今天14:30前给你一版‘二次预约排期表（按时间段）+推进动作说明（48h链路）’，口径保守、方法可复核。并附上抽查样本，确保对外话术合规。”

发完他就把这条对话截图归档。甲方的每一次“要看方法”，都是他最好的护盾——任何内部人想把他踢出局，都必须先解释清楚：谁能在不踩合规雷的前提下，持续把结果往前推。

08:05，梁总发来一句：“08:50安全部，核验唤醒来源。我会到。”

周砚的指尖停顿了一秒。

梁总要到，意味着这次核验不再是“你去看看”，而是梁总亲自把这条线当作项目事故风险来抓。对手最怕的就是这件事：当它变成“项目事故”，就不再能用“敏感数据”“无法提供”随便糊弄过去。

08:50，信息安全部安全室。

灯依旧冷白，空气里有消毒水似的味道，桌面干净得像刚擦过。严负责人、两名安全工程师、法务专员都在。梁总也来了，外套没脱，站在桌边，像一根压住局面的钉子。

严负责人先开口，语气很“规范”：“我们可以现场展示关键事件字段，但依旧不允许外带原始日志。”

梁总不接话，目光落在周砚身上：“你要看什么字段，说清楚。”

周砚不浪费一秒，把打印好的“唤醒来源核验清单”推到桌面中央，语速平稳：“只看三类：一，power-troubleshooter事件的wake source字段；二，系统日志里对应的唤醒设备或网络唤醒标识；三，如果是网络唤醒，需要给出唤醒包的来源标识（至ac前缀或资产编号映射），并形成纪要。所有字段不外带，但纪要必须写清。”

工程师点开事件查看器，按时间定位到18:48附近。

屏幕上跳出一条事件：power-troubleshooter。

周砚盯着那一行字段，眼神一瞬间冷下来，却更清醒。

wake source：network（网络唤醒）

wake source detail：intel(r) ethernet controller（后面是一串型号）

梁总的眉头明显皱了一下。

网络唤醒。

这意味着18:48那次唤醒不是有人按了键盘，也不是保洁碰到了鼠标，而是有人——或者某个系统——从网络端发送了唤醒包，把这台电脑叫醒。

严负责人试图先把话说圆：“网络唤醒也可能是我们的补丁系统例行唤醒，用于夜间更新……”

“夜间更新会在18:48？”周砚把问题压得极准，“而且更新通常在非工作时段，且有固定任务名和管理平台记录。请同步展示该时段是否存在补丁管理任务触发记录，或管理平台的批量唤醒计划。”

工程师翻找了一下，表情略僵：“这个需要去管理平台查。”

周砚没有穷追猛打，而是把更关键的问题抛出来：“网络唤醒包从哪里来？能否看到唤醒包来ac或ip？”

工程师迟疑：“原始抓包我们没有，但系统里会记录部分来源信息……”

他点开另一段日志，屏幕上出现一行更细的字段。周砚的视线像刀一样落在那串标识上——不是完ac，但有足够的前缀与资产映射字段，旁边还有一个内网地址段标识，明显不是随机的。

梁总看完，声音低了下来：“这来源能映射到哪台设备？”

严负责人明显犹豫了一下，最终还是开口：“可以映射到资产管理系统里的一个终端……但资产信息属于内部敏感，按流程需要审批才能对外披露。”

梁总冷笑一声，短得像刀刃划过：“对外？这里没有外部。你现在是在对项目事故风险披露，还是在给人留遮羞布？”

安全室瞬间安静。

严负责人抿了抿唇，转身对工程师说：“打开资产映射。”

屏幕切换到资产系统查询界面，工程师把那段前缀输入进去，回车。

结果跳出来的一瞬间，周砚的心口像被针扎了一下——不是因为惊讶，而是因为“果然”。

资产名称：it服务台跳板机（远程管理终端）

责任部门：信息技术部

资产用途：远程协助/终端管理/批量任务执行

使用权限：服务台账号组可登录

梁总的眼神更沉：“跳板机？”

严负责人赶紧解释：“这是服务台用于远程协助的管理终端，很多运维人员都能用，来源是它不代表具体某个人……”

“跳板机不是人，但跳板机的登录账号是人。”周砚把话接得很稳，“如果唤醒包来自跳板机，那就有两条路径：要么是补丁/管理平台计划任务通过跳板机发起；要么是有人登录跳板机手动发起。两种都可以追溯——看当时跳板机的登录记录、操作记录、任务计划记录。”

梁总直接拍板：“查。现在就查18:40到19:05跳板机的登录记录。”

严负责人脸色一紧：“跳板机日志也涉及敏感数据……”

梁总没有给他第二次绕的机会：“你要么查，要么写在纪要里：关键补证拒绝提供，导致项目事故风险无法排除。你自己选。”

严负责人沉默两秒，吐出一个字：“查。”

工程师打开跳板机的审计日志界面，筛选时间。

屏幕滚动了几行记录，停在一个条目上：

18:45：账号 helpdeskxx 登录（远程会话）

18:47：执行操作：wake-on-lan（目标：302公用终端）

18:59：账号 helpdeskxx 退出

19:01：302终端出现失败登录尝试（目标账号：周砚）

空气像被瞬间抽干。

时间点精准得像有人用尺子量过：18:45登录，18:47发起网络唤醒，正好卡在监控缺失时段的起点；18:59退出，监控缺失结束；19:01失败登录触发，刚好踩到系统保护策略。

这不是“可能”。这是一条完整的攻击链路。

梁总的声音低得像压着怒火：“helpdeskxx是谁？”

严负责人看向工程师，工程师咽了口唾沫：“服务台账号命名规则一般对应具体人员……xx很可能是王——”

“不要‘很可能’。”周砚把最致命的一刀落下，语气依旧平稳，“请出示服务台账号组成员清单，确认helpdeskxx对应的实名与工号。我们不需要外带清单，但纪要里必须写明：账号对应人员、授权范围、操作时间、操作类型，以及该操作是否经过工单审批。”

法务专员的笔尖在纸上顿了顿，显然意识到这是可以直接进入问责链的证据。

严负责人脸色发白：“这个……我需要内部确认。”

梁总盯着他：“现在确认。”

严负责人拿起手机去旁边打电话，压着声音说了几句，回来时脸色更难看：“helpdeskxx对应服务台外包工程师王某，隶属it服务台供应商，入场权限由it部门申请开通。按流程，执行唤醒与远程协助应有工单记录。”

周砚没有露出任何得意，他只问最关键的一句：“有没有工单？”

严负责人沉默。

工程师翻了两下系统：“没有对应工单。那段时间没有登记的远程协助请求。”

梁总的手指在桌面上轻轻敲了一下，声音不大，却让人背脊发凉：“也就是说，有人用服务台跳板机，在没有工单的情况下，远程唤醒了302公用终端，随后发生了针对周砚账号的失败登录触发。你们之前给我发的邮件说‘无法锁定单一责任人’，现在还觉得锁不住吗？”

没人说话。

周砚看着屏幕那串日志，脑子里却没有“终于抓到人”的轻松，只有更冷静的判断——这只是一条执行链，背后还有指挥链。一个外包工程师没有动机去针对周砚的账号，更没有理由选择302会议室这种**险地点。真正的操盘手一定在公司内部，知道302是公用设备，知道监控缺口在哪，知道触发保护模式的规则，也知道用外包账号做动作更容易把锅推到“流程漏洞”上。

换句话说，这个人不是在赌运气，是在设计“可推诿”的犯罪结构。

视野边缘，蓝色面板像在这时补上最后一块拼图：

【证据链升级：跳板机审计日志=“唤醒来源”与“具体账号”闭环】

【下一步：从执行链追指挥链——调取：1）外包工程师当日工位/门禁轨迹；2）其与内部人员的/电话协作痕迹；3）谁有权限指挥服务台绕工单操作】

【风险预警：对方将以“供应商流程问题”快速结案，切断向上追溯】

周砚立刻把节奏往“纪要”上钉：“请现场形成核验纪要，至少写清五点：

1）18:48的302唤醒来源为网络唤醒；

2）唤醒包来源为it服务台跳板机；

3）18:45-18:59期间账号helpdeskxx登录并执行wake-on-lan操作；

4）该操作无对应工单；

5）19:01后302终端发生针对周砚账号的失败登录尝试触发保护模式。