第38章 核验现场

06:18，天还没亮透。

周砚站在地铁站口，手里握着那只装着离线备份u盘的收纳盒，盒盖上贴着一张小小的标签：v1.0｜离线核验包｜sha-256已归档。标签不是给别人看的，是给自己看的——在现场这种高噪音环境里，人会被催促、会被推着走、会被一句“来不及了”带偏，标签能把人拉回规则：你现在拿的是什么、版本是什么、能不能替换、替换要不要留痕。

他没有坐车，而是提前一站下地铁，绕着街区走了一圈。不是多余的谨慎，是在给自己留一个“缓冲层”。他很清楚，从昨晚那两次威胁开始，对手已经把战场从系统、流程、舆情，推到了“现实接触”的边缘。任何突发都可能发生在最普通的路口、最平常的电梯里——而他最不希望发生的，是自己在开放日当天因为一点意外缺席，所有链路瞬间失去“口径守门人”。

07:02，写字楼门禁识别通过。

他走进办公区时，灯光还稀疏，只有运营区亮着几盏台灯。几位同事正围着一张长桌，把展板样稿、折页、胸牌、贴纸一件件摊开。空气里有新纸张和胶水的味道，混着咖啡的微苦，像一场即将开始的考试前的寂静。

“周砚，你来得正好。”运营负责人把一沓印刷校对单递过来，“印厂等最后确认，十点前必须给结果。你说的四项抽检，我们现在就走一遍？”

周砚点头，没说废话。他把手机调到录屏模式，先给镜头扫了一遍桌面：展板样稿、二维码文件、校验码位置、落地页截图。录屏不是为了“自证”，而是为了在未来任何争议里，能把“当时如何核验”的过程完整拿出来。

第一项：扫码核验域名。

他用工作手机扫样稿上的二维码，跳转页面加载出来，地址栏清清楚楚是公司自有域名，https锁标识正常。他让镜头停留三秒，确保地址栏可辨识。随后他打开备用手机再扫一遍，避免单机缓存或浏览器插件造成的假象。

第二项：核验校验码与印刷码一致。

展板角落印着六位校验码，周砚把它念出来，镜头对准，同时在落地页顶部找到同样的校验码。两者一致。为了防止“外观一致但内容不同”的伎俩，他把落地页下滑到版本信息区，版本号和生成时间戳清晰显示：v1.1｜生成于xx:xx｜哈希指纹末四位xxxx。

第三项：核验落地页版本号。

他打开共享盘“开放日/落地页/版本清单”，对照显示：当前对外版本v1.1，哈希末四位一致。镜头再次停留三秒，给足可核验画面。

第四项：核验落地页三栏可打开。

来源栏点开，显示竞品数据来源链接与截图；实测栏点开，低码率视频可播放；计算栏点开，底稿pdf加载正常，隐去敏感字段。四项通过，他在校对单上签字，签字旁边写上时间戳，并让运营负责人签第二个确认。

“这就是你说的‘简单执行’。”运营负责人忍不住嘟囔一句，“看起来步骤多，其实按顺序走就完了。”

周砚没接话，只把录屏保存，按规则命名“开放日物料抽检-时间戳-通过”，上传共享盘留痕。

视野边缘，蓝色面板安静亮起，字像钉进空气里：

【现场风险不是“突然发生”，而是“被催促绕过流程”后的必然结果】

【执行要点：抽检过程必须录屏留痕，签字确认必须双人，避免单点背锅】

07:46，信息安全部值守代表发来消息：“落地页日志已开启，异常访问告警阈值已设，现场拍板人名单已同步给你。你们今天把离线方案演练一遍，别等现场再切。”

周砚回：“8:30演练，演练过程录屏，归档。”

他把这条信息也归档到“现场流程与合规”，然后走向自己的工位，打开离线备份包，再次核对文件完整性。u盘插入后，文件夹结构按三栏排列，视频能播、pdf能开、索引卡模板能打印。他把索引卡打印了20张，每张卡上都写着同一条提示语：核验后再决定，不核验不争论。

08:28，演练开始。

参与人很少：运营主持人、一个社群运营、一个设计同事、信息安全值守代表。阿远没来，甚至没有派人旁听——这不正常。通常对手会趁你演练时提出“合理优化”，把你推向一个不易察觉的坑。现在他们不来，说明他们把刀藏到了演练之外的地方：现实节点、物理节点、人员节点。

周砚不在演练里讲“为什么”，只让大家按流程走一遍：

“假设现场网络不可用。”他把手机热点关掉，模拟无网环境，“主持人宣布启用离线核验方案；信息安全值守拍板并记录；运营拿出核验索引卡，引导用户看本地演示；演示结束引导预约表单——如果表单不可用，记录意向用户编号，现场只承诺‘后续由公司c回访’，不口头索要联系方式。”

主持人照做。演练过程中，有人下意识想掏出纸笔记手机号，周砚立刻按住：“不允许。现场一旦开始收手机号，就会被拍下来剪辑成‘诱导收集个人信息’，合规事故直接成立。我们只收‘意向编号’，回公司走c授权流程。”

设计同事愣了一下，点头：“明白。”

信息安全值守代表拿出一张纸，写下“离线切换启动时间、拍板人、触发原因、执行人员”。周砚提醒：“写完拍照归档，纸面原件放入现场资料袋，作为事件记录。”

演练结束，周砚把全程录屏保存，上传共享盘。然后他做了一件看似多余的事：他把离线备份包再复制一份到另一只u盘，封在透明袋里，贴上封条，写上“备用离线包-未启封”。这是给“设备故障”准备的——对手如果想让你离线切换失败，只需要让你的u盘在关键时刻损坏或丢失。备用包就是防这一手。

09:11，梁总发来一句：“今天下午信息安全部会给我一份302追溯补证计划，你别掺和，专注开放日。”

周砚回复：“收到。开放日资料与流程已固化，今天只做演练和物料确认。”

他表面按梁总的指令收束，心里却更警惕：302追溯暂时被梁总接手，意味着对手会把攻击集中在开放日这个“高曝光现场”。现场一旦出事故，追溯再漂亮也救不回来。对方想要的不是证明他违规，而是证明他“不稳”“不可控”“会出事故”。

09:37，社群运营忽然凑过来，小声说：“周砚，群里又出现一个新号，问得很细：要我们把‘内部底稿’发他看，还说‘不发就是心虚’，语气特别像带节奏。”

周砚抬头看了眼屏幕，没急着回复。他先问三件事：“入群时间？来源链接？发言历史？”

社群运营说：“入群半小时，来源是朋友圈二维码，头像很新，发言只围绕‘要底稿’。”

周砚点点头：“按控群sop走。禁言24小时留痕；统一回复‘核验路径在置顶，底稿仅现场演示不外发，避免敏感信息扩散’。把他发言和账号信息截图归档。不要争论。”

社群运营照做。

蓝色面板轻轻闪了一下：

【对手现场前置动作：试图逼你在群里外发底稿，制造“资料外泄”事实】

【应对要点：坚守“核验路径公开，但敏感底稿不外发”，把核验留在可控现场】

10:06，阿远终于出现。

他走进运营区时，脸上带着一种过度从容的笑，像是特意来“关心进度”。他先扫了一眼桌上的展板样稿，又瞥了一眼周砚手里的文件袋，笑意更薄了：“你们搞得挺像回事。可别把开放日变成审计现场，用户会觉得我们心虚。”

周砚没有被他带进“心虚不心虚”的话术陷阱，只回答事实：“开放日核验环节是甲方领导要求，讲解时间控制在15分钟内，内容只展示三项核验路径，最后落到预约入口。现场体验不会被打断。”

阿远耸耸肩，语气像随口一提：“对了，印厂那边我认识人，他说你们这种校验码印在角落影响美观，要不把校验码去掉，改成落地页里看？一样能核验。”

这就是刀。

去掉角落校验码，等于去掉“现场肉眼核验”的唯一锚点。落地页里的校验码可以被伪造、可以被劫持、可以被跳转。角落校验码是“物理锚”，是对抗二维码替换的硬墙。

周砚语气依旧平静，却比刚才更硬：“不改。校验码是安全方案核心，信息安全部已确认可行，并安排值守。美观可以通过版式优化解决，不能动安全锚点。”

阿远笑了一下，像在讥讽：“你还真是……一寸不让。”

周砚看着他，眼神很冷：“安全方案不是我一寸不让，是项目不能出事故。任何改动请走共享盘版本流程，另立版本号，更新哈希，三方抽检通过再下单。”

阿远的笑意僵了一瞬，没再继续。他转身离开时，丢下一句像随手掷出的石子：“行，那你慢慢走流程。别耽误了。”

周砚看着他的背影，心里没有胜利感，只有更明确的判断：对方开始把“耽误进度”当成新的武器。他们会在接下来的时间里制造各种“来不及”，逼你绕过流程。

10:42，印厂催确认。

运营负责人急得直搓手：“再不确认就真的出不了货。”

周砚没有解释，直接把抽检录屏打开给他看：“四项抽检通过，双签确认在这里。我们现在就给确认。任何临时改版都不做。”

运营负责人咬牙：“好，按这个。”

确认发出去。周砚立刻把“印厂确认邮件”截图归档。现场物料这条线，暂时锁死。