第28章 触发源

08:58，茶水间的咖啡机刚完成第一轮萃取，蒸汽声在安静的楼层里显得格外清晰。

周砚没有把自己放进“等对方来找”的被动节奏里。他提前五分钟到，选了一个背对摄像头、但能看见走廊来人的位置。桌面只放着两样东西：一支笔、一张空白便签。没有打开电脑，没有翻资料——他要的不是“证据堆叠”，而是对方口中能被核验的字段：工单号、发起时间、请求人、审批链、触发端资产、服务账号调用记录。

09:10整，茶水间门被推开。一个身形偏瘦的男人走进来，工牌上写着“it服务台 组长：陈屿”。他扫了一眼周砚，明显紧张，手指无意识地摩挲着杯子的纸套，像在给自己找一个抓手。

“你真要把我说的写成备忘？”陈屿开门见山，声音压得很低，“我不是不想说，但我怕……最后又变成我操作不规范。”

周砚点头，语气平稳得像在确认一份验收口径：“我会把你说的每一句话拆成字段。你只需要确认字段是否准确，不需要写情绪、也不需要推断动机。你确认后，我就按‘事实备忘’归档。你不确认，我也不会拿你的名字去做结论。”

陈屿喉结滚了一下，像终于找到一个可站的台阶：“行，那我就只讲我能确认的。”

周砚把便签往前推了一点：“先从最关键的开始。sv是谁能用？谁能触发？触发源在哪里？”

陈屿犹豫了一秒，还是开口：“sv是服务账号，用来跑一些自动化脚本——比如批量账号创建、定时巡检、wol唤醒这种。按制度，sv应该只允许服务台和网络运维的两个人用，而且必须走工单授权。但……你也知道，制度是制度，现实是现实。”

“现实是什么？”周砚不催促，只把笔尖停在纸上，等他自己把话说完。

“现实是，有些部门领导嫌流程慢，会让我们临时开权限或者代跑脚本。”陈屿吸了一口气，“上周……也就是那天晚上之前，确实有人提过wol唤醒的需求，说要在某台公用电脑上做‘系统维护预检’，要确认设备能被唤醒、能触发安全策略。”

周砚没有抬眼，笔尖在纸上写下四个字：需求话术。

“谁提的？”他问。

陈屿嘴唇发干：“请求是从‘王远宁助理 王xx’那边来的。她发了邮件给服务台公共邮箱，抄送了……阿远。”

空气像被冷水浇了一遍，茶水间里咖啡机的蒸汽声突然显得刺耳。

周砚没有做出任何表情变化，只问：“邮件时间？”

陈屿想了想：“18:40左右。具体我可以给你工单号，你去查系统会更准。”

“工单号。”周砚把笔尖停住。

陈屿报出一串编号：“inc-202x-0919-1736。标题写的是‘302会议室设备唤醒测试（紧急）’。请求人字段填的就是王xx，备注里写：‘领导要求当晚完成预检，影响项目直播，麻烦加急。’”

周砚在便签上写下工单号，旁边加了一个括号：标题/请求人/备注关键字。然后问：“审批链呢？谁同意你们用sv跑wol？”

陈屿苦笑了一下：“这就是问题。制度上必须有网络安全组的授权，但那天王xx在工单里贴了一个‘领导已知悉’的截图——看起来像是阿远在里回了一个‘ok’。我们服务台那边的值班同事……就把它当成授权了。”

“值班同事是谁？”周砚问得依旧平静。

陈屿明显更紧张：“这个我不想点名。我可以给你值班表，你自己去核验。因为我不确定最后追责会不会落到他身上。”

周砚点头：“你给值班表字段，不给姓名。字段同样能核验。”

陈屿松了一口气：“行。那天18:30—20:30的值班是里有一个人有权限调用sv的凭据库。按规范，调用凭据库会有记录……但我们一般不看那个记录，除非出事故。”

“事故已经发生了。”周砚把这句话说得很淡，却像一根钉子落下。

陈屿脸色微微发白：“对，所以我才说，我不想背锅。那天跑wol的时候，值班同事告诉我：‘就跑一次唤醒测试，不会有什么后果。’但我后来看到你们那边说触发了账号保护模式，我才意识到……这不是普通测试。”

周砚把笔在便签上划出三列：工单字段、触发字段、凭据字段。然后问：“触发端资kt-ws-0417，你们知道是谁的电脑吗？”

陈屿点头：“那个资产编号属于市场部的一台电脑。正常来说，市场部电脑不该作为跳板去唤醒公用设备。除非有人用市场部电脑登录了跳板机，或者有人远程接入了市场部电脑。”

“谁能远程接入？”周砚问。

“能远程接入的人很多。”陈屿摇头，“但远程接入也要走会话系统，会话系统会记日志。那天你们拿到的摘要里，sourceasset就kt-ws-0417，说明至少在日志层面，触发端确实是那台市场部电脑。”

周砚的笔尖停了一下，写下：sourceasset=市场部资产，异常。然后问：“你能提供两样东西吗？一是inc工单的完整导出；二是sv凭据库调用记录在那个时段的条目。”

陈屿沉默几秒，眼神闪烁：“工单导出我可以给，但凭据库调用记录……权限在网络安全组，不在我们服务台。我能做的是——把你说的请求写成工单补充，挂到inc下面，要求网络安全组按事故处理流程提供。”

“可以。”周砚没有要求他越权，“你只要把请求挂上去，字段写清，我就能在流程里追。”

陈屿点头：“那我今天上午就挂。”

周砚把便签翻到空白面，开始写“事实备忘”摘要，像写审计底稿一样简洁：

1）inc-202x-0919-1736，标题《302会议室设备唤醒测试（紧急）》；请求人=王xx；备注含“领导要求当晚完成预检/影响项目直播/加急”；时间约18:40；

2）工单附“领导已知悉”截图（疑似阿远确认）；服务台按截图视为授权；

3）sv为服务账号，制度要求工单授权+限定人员使用；当晚a组值班有人可调用凭据库；

4）sourceassetkt-ws-0417为市场部资产，作为触发端异常；需追溯是否远程会话/跳板机登录；

5）建议补证：工单完整导出、sv凭据库调用记录、会话系统原始日志（含触发账号/触发端ip/命令列表）。

他把便签推到陈屿面前：“你只确认这五条有没有事实错误。没有的话，你点头，我就归档。你不用签名。”

陈屿逐条看完，喉咙发紧，最后点头：“都对。唯一不确定的是‘疑似阿远’，因为我没核验截图真伪。但截图确实存在。”

周砚立刻把那一条改成：“工单附领导确认截图（未核验真伪）”。把“推断”剥掉，只留下“存在”。

陈屿看着修改后的句子，像终于松了一口气：“这样就行。”

09:28，周砚回到工位，第一件事不是发群消息，而是把刚才的“事实备忘”整理成文档，标题写得像检索字段： 《事实备忘-302唤醒测试工单inc-202x-0919-1736（字段确认版）》。导出pdf，生成哈希，归档共享盘“合规记录/302追溯/交叉证据/工单线索”目录。

做完归档，他才给梁总发了一条极短的：“sv触发源已出现：inc工单编号+请求人字段+领导确认截图存在；已形成字段备忘并归档。10点前发你一页问询树。”

梁总回：“发。”

09:41，周砚打开文档模板，写“一页问询树”。他不写长篇推理，只写问法，确保对方无法用一句“系统自动化”糊过去：

——问询树（sv触发源）

q1：sv服务账号的持有人与授权范围？（限定人员名单/部门/权限清单/审批人）

q2：涉事时段凭据库调用记录（调用时间/调用人账号/调用端ip/调用用途/关联工单号）

q3：涉事时段会话系统原始日志（会话发起账号/sourceasset/目标终ac/命令列表/会话认证链）

q4：关联工单inc-202x-0919-1736完整导出（请求人/附件截图/审批链/处理人/操作记录）

q5：sourceassetkt-ws-0417的当晚使用情况（登录用户/远程接入记录/跳板机连接记录/屏幕解锁事件）

q6：打印服务器日志yuan账号18:44/18:45打印）与门禁记录18:46进入的关联解释

每个问题后面都写一个“可接受答案格式”，比如“需提供原始日志截图+导出文件+哈希值”。对方想绕，也得在格式上露出破绽。

10:03，他把“一页问询树”发给梁总，同时抄送信息安全部负责人和法务专员，邮件主题干净得像落锤： 《sv触发源问询字段清单（拒绝‘系统自动化’模糊结案）》。

他没有写情绪，也没有写指控，只写“字段”。字段越多，模糊空间越小。

10:17，项目线的提醒把他拉回现实。运营同事发来今日上午的承接数据：新增有效咨询7条，预约入口点击继续上升，用户在群里开始问“到访当天能看到哪些点”“有没有接驳车”。周砚把“开放日接待sop-v1.0”里新增一页“接驳与动线说明”，补了两句“可选路线”与“到访时段限流”，并把sop升级为v1.1，再次归档、生成哈希、同步王珊。

他始终保持两条线并行：对甲方侧，结果必须滚动产生；对内部侧，证据链必须持续补齐。任何一条断档，都可能成为对方翻盘的入口。

11:06，信息安全部负责人回复了他的问询树邮件，措辞依旧克制，却第一次出现了“具体动作”：

“已收到问询字段清单。sv权限与凭据库调用记录将按事故流程提取。会话系统原始日志需经审批后可对外提供。工单inc导出请服务台协同。预计13:30前给出第一批可披露资料。”

周砚看完，心里没有轻松，只有判断：他们开始“给一点”，但仍想用“审批”拖时间、控范围。他不急。他只要第一批资料里出现“调用人账号”或“触发端ip”，就足够把链路从“服务账号”落回“具体人”。

12:02，午餐时间，阿远在项目群里突然发了一条看似“积极”的消息：

“下午绩效目标确认会后，我会牵头再做一次全员协同，确保开放日资源到位。大家保持节奏，不要被外部舆情带偏。”

语气像在“护航”，实际上是在给自己铺垫“我一直在牵头”的叙事。周砚没有在群里回应。他知道，真正的战场在14:00的会议室里，不在群里的一句漂亮话。

13:18，安全部第一批资料来了——不是完整原始日志，而是三份“可披露摘要”，但其中一份让周砚几乎不需要再等：

《sv凭据库调用记录（涉事时段）》里有一条：

18:45:05，ountssist域账号）关联工单=inc-202x-0919-1736；调用凭据=sv。

周砚盯着“ount”那行字，胸口像被一块冷铁压住，却又异常清醒。

不是sv“自己跑起来”的。是有人用具体域账号去调用凭据库，把sv凭据拿出来，跑了wol。这个人就是阿远助理王xx的域账号。

他没有立刻发群，不发朋友圈式的“抓到了”。他做了三步标准动作：

1）下载摘要、生成哈希、归档共享盘“合规记录/302追溯/交叉证据/sv调用记录”；

2）把关键字段截取成一页“证据卡”，写明“ount/callerip/工单号/调用凭据”；

3）把证据卡发给梁总，只有一句话：“sv触发源已落到具体账号：ssist调用凭据库，关联工单inc-1736。”

梁总回得更短：“14点会你先稳住。15点我开事故问询。”

周砚把手机扣在桌面上，深吸一口气。

他知道，接下来会发生两件事：阿远会在绩效会上继续试图用“目标锁链”锁住他；而梁总会在事故问询里把“触发源”甩到台面上。两件事的共同点是：对方会反扑，而且会反扑得更狠、更脏。

13:47，周砚整理文件袋，像战前检查装备一样逐项确认：

——绩效目标确认书建议版（含口径/资源/责任归属）；

——近三日闭环日报与证据索引表；

——个人信息处理承诺修订版（含工具清单更新机制）；

——302追溯交叉证据卡（打印日志/门禁/工单/调用记录摘要）；

——会议纪要模板（空白，带字段：参会人、议题、结论、动作项、责任人、截止时间、异议记录）。

他不是去“争取理解”，他是去“固定规则”。只要规则能落纸，任何人想把他踢出去，都得先在纸面上承担代价。

14:00，hr会议室。

门合上的瞬间，空气像被抽走一部分。椭圆桌旁坐着五个人：hr主管、法务专员、财务bp、阿远，以及周砚。梁总依旧没来——梁总不来，往往意味着他不想在场“做裁判”，而是等他们把绳索套好，再从外面拽紧。

hr主管开场依旧温柔：“今天主要是把试用期剩余周期的绩效目标和合规承诺落地。周砚，你也知道，公司评估需要明确指标。”