第37章 预案演练

法务专员问得更尖：“隐私告知截图你说可以核验，但现场用户如果质疑‘你们是不是诱导勾选’，怎么应对？”

周砚没有辩解“我们没有诱导”，他直接给动作：“现场不做口头解释，直接让用户扫码看到隐私告知全文，并提供‘不勾选也可看房但无法预约’的选项。我们把选择权明确交给用户。选择权明确，诱导指控就站不住。”

信息安全代表补一句：“二维码落地页我们会值守，异常访问触发告警。”

周砚点头：“值守需要一份告警分级规则：轻微异常如何处理、严重异常如何处理、是否触发现场切换到离线方案，谁来拍板。请安全部给一个‘现场切换，权限’授权人，否则告警响了没人敢决定切换，现场会被拖死。”

这句话让会议室里不少人抬头。预案里最难的不是写，而是“谁敢拍板”。没有拍板人，预案就是纸。

hr主管看向法务，法务又看向信息安全代表。信息安全代表犹豫了一下：“我回去请示负责人，给一个值守拍板人名单。”

阿远冷笑：“你看，又要请示。现场哪来那么多时间？”

周砚不理他的嘲讽，只说：“所以今天必须把拍板人写进纪要。没有拍板人，事故不可控，责任会散，最终一定有人背锅。”

hr主管终于点头：“纪要会写：安全部提供值守拍板人名单，现场触发严重异常可直接启用离线备份方案。”

会议走到最后，媒介组提出另一个尖锐问题：“如果现场有人故意挑衅、偷拍视频上网剪辑传播怎么办？”

周砚给出“最小化回应”脚本：“现场秩序规则由主持人先声明：允许拍摄公开区域，不允许拍摄他人隐私与用户资料；若发生挑衅，工作人员不争论，只重复一句——‘欢迎核验，拒绝未经核验的指控’，并引导对方到核验展板；若对方继续闹，交给物业安保处理。所有过程由公司指定摄像位留存，形成事实记录。”

他把“留存”两个字说得很轻，却像在给对方再加一道枷锁——谁想靠挑衅制造事故，留存就是反制。

16:33，预演会结束，hr主管当场承诺“纪要今日内发出”。阿远第一个走，走之前丢下一句：“你别把所有人都当敌人。”

周砚没有回。他知道这句话的真实含义不是劝和，而是警告：你逼得太紧，大家都会烦你。可他更知道，一旦他不逼，事故就会发生，背锅的人一定是他。

17:05，周砚回到工位，开始做今天最重要的交付——离线备份包。

他把落地页三栏的核心证据各选一份“可展示但不泄露敏感信息”的版本：竞品数据来源链接截图（带时间戳）、实测视频低码率版（保证离线播放流畅）、月供计算底稿（仅展示计算逻辑与区间，不展示用户信息）。每份文件都加上水印：“开放日现场核验演示用，禁止外传”，并生成哈希值。打包完成后，他把备份包复制到“现场专用电脑”u盘，并在共享盘归档一份加密包，留言区写：“离线备份包v1.0，启用条件：严重异常触发、拍板人授权切换，启用过程需留痕。”

17:41，王珊发来消息：“领导想看明天一版‘开放日现场流程图’，包括每个时间点干什么、谁负责、出问题谁拍板。”

周砚回：“今晚20点前发你流程图与责任矩阵，含拍板人。”

他知道，这件事其实是在帮他。甲方越要求“流程图”，越要求“谁拍板”，越说明甲方也在怕事故。甲方怕事故，就会支持“可控”，而“可控”恰恰是周砚的优势。对手想把他定成风险源，甲方的需求会反过来证明：他是在降低风险。

18:23，他开始画流程图，不用复杂工具，只用最直白的方框与箭头：签到→核验讲解→实测演示→导览→预约确认→离场反馈。每一节点下写“责任人”“备用方案”“留痕方式”。拍板人名单先留空，等安全部回复。

19:12，信息安全部终于发来正式邮件，标题像一颗钉子：

《开放日现场值守与异常切换授权名单（试行）》

里面写得很明确：现场值守拍板人两名，一级异常由值守处理，二级异常触发离线切换由值守拍板并同步梁总，三级异常（疑似钓鱼/外泄/大规模异常访问）直接中止线上入口启用离线，同时启动应急响应。

周砚把这封邮件归档，更新流程图，拍板人落纸。落纸之后，谁都别想说“当时没人让切换所以没切”。事故发生时的第一反击永远是“谁决定的”。现在决定者清清楚楚写在纸上。

19:48，他把流程图与责任矩阵导出pdf，生成哈希，发给王珊，抄送梁总与项目群归档邮箱。邮件主题写得同样硬：

《开放日现场流程图+责任矩阵（含异常切换拍板人名单，口径与致）》

发送成功截图归档。周砚靠在椅背上闭眼三秒，疲惫像潮水一样涌上来。但他没有给疲惫任何时间，因为他知道——对手最喜欢在你刚完成一轮交付、松一口气的那一刻，丢出最后一张牌。

20:17，牌果然来了。

运营同事在项目群里发了一条急讯：“现场展板印刷商说，明天必须确认最终二维码文件，否则来不及出货。刚才有人私信给我一份‘更好看的展板模板’，说是设计组新版本，但文件名没写版本号，也没哈希。我不敢用，问周砚。”

周砚盯着这条消息，心底一瞬间凉透——这就是对方的现场刀。所谓“更好看的模板”，很可能嵌了错误二维码，或者把校验码去掉，或者跳转到第三方短链。只要印出去，事故就被写进了物料里，现场无法逆转。

他立刻回群：“任何展板文件必须来自共享盘‘开放日/物料与展板’目录的唯一有效版本（带版本号+哈希），私信文件一律视为未授权，不使用。印刷前由设计组、信息安全部、我三方做二维码抽检：扫码→域名白名单→校验码一致→落地页版本号一致，四项通过方可下单。”

同时他私信运营同事：“把那份私信文件转发给我，不要打开，保留原消息界面截图，归档为‘未授权物料投递证据’。”

运营回：“收到。”

20:26，周砚收到那份私信文件的截图：发送人头像新注册，昵称像随机生成，文件名叫“开放日展板最终版.psd”。没有版本号，没有路径，只有一句话：“梁总要加快，你们别卡流程。”

周砚看到“梁总要加快”五个字，嘴角几乎要冷笑——他们开始借梁总的名义下钩子了。把梁总当伪装，就是在逼周砚犯错：你不用就是“拖进度”，你用了就是“事故”。

他没有冲动去揭穿谁，他把证据固定下来：截图归档，文件哈希未知，发送人信息记录，时间戳标注。然后他给梁总发一封邮件，主题短硬：

《疑似未授权物料投递（冒用‘梁总要求’催促下单）-已留痕，请指示》

正文只有两句：“收到私信投递展板模板，要求绕过版本/哈希流程直接下单，存在二维码替换风险；已按合规留痕并禁止使用，建议安全部核查投递来源并提示全员警惕。”

梁总回复得很快，只有一句：“处理得对。让安全部查。”

21:03，信息安全部值守代表发来：“我们查到投递来源是外网邮箱匿名发，已加入钓鱼列表。你们坚持四项抽检。”

周砚回：“明白。”

他知道对方这一刀没插进去，但对方不会就此停止。开放日前夜，最适合制造“急”的氛围：印刷要确认、现场要排班、脚本要定稿、物料要到位，所有人都会怕耽误进度。怕耽误进度的人，最容易绕过流程。绕过流程的那一次，就是事故的起点。

22:16，写字楼外的风更冷了，周砚仍坐在工位上，把“展板抽检sop”写成一页纸，发到项目群置顶：

1）扫码核验域名；

2）核验校验码与印刷码一致；

3）核验落地页版本号；

4）核验落地页三栏能打开；

5）抽检过程录屏留存，归档共享盘。

他没有等任何人夸他严谨，他只想把“绕过流程”变成一件更难的事。

23:02，周砚准备关机，手机又震了一下——不是陌生短信，而是一个“未知联系人”发来的企业好友申请，备注只有一句：“你这么认真，周六现场别丢人。”

周砚盯着这句话，指尖停了两秒。

这是第二次明示威胁，且从短信升级到企业，说明对方开始试探更近的距离，也说明对方急了。他没有点通过，也没有截图后删除。他把好友申请界面完整截图，包含账号id、备注、时间戳，归档到“合规记录/威胁与异常接触”。随后，他把手机放到桌面，用公司固定电话拨给安全部值守号码，语气平静得像报修：“我收到企业未知账号威胁性好友申请，已留痕归档，请纳入安全事件记录并建议检查我账号是否被重点针对。”

电话那头沉默一下：“收到，我们会记录。你注意下上下班安全，尽量别单独走。”

周砚挂断电话，把记录写进合规清单，最后一次检查共享盘：讲解脚本、流程图、离线备份包、展板抽检sop，都在，版本号完整，哈希齐全。

他关掉电脑，拎起文件袋，走出办公区。

电梯下行时，镜面墙映出他略显疲惫的脸，但眼神依旧冷静。他知道周六的开放日不只是给用户看的，也不是只给甲方看的，它更像一场组织内部的“公开测验”：谁能把风险变成保障，谁就能留下；谁制造事故，谁就会暴露。

电梯门打开，夜风灌进大厅。

周砚没有回头。他把文件袋夹紧，走向地铁口，脚步稳得像在走一条提前画好的流程线。

对手已经把刀藏进了物料、藏进了急促、藏进了冒用、藏进了匿名。

而他要做的，是让所有刀在落下之前，都先撞上版本号、哈希值、抽检录屏和拍板人名单这四道硬墙。

真正的开放日，还没到。

但真正的事故预防，已经开始生效了。

/1

。手机版阅读网址.