第45章 设备归属
06:52,天色还带着一点未醒的青灰。周砚在出租屋的小桌前坐了十分钟,咖啡没喝完,手机屏幕一直亮着——他在等两个东西:信息安全部对usb设备id的阶段性检索结果,以及hr那份“岗位调整沟通会纪要”的正式版。
两者都不是“结果”,却都能决定接下来一整天的战场走向。
纪要决定他在公司内部的合法位置;设备归属决定302追溯能不能从“无法确认”推到“必须确认”。他必须同时拿到这两把钥匙,否则任何一边断档,对手都能把他拖回灰区。
07:20,王珊发来早会提醒:“一页纸风险说明你准备好了吗?领导9:30要听。”
周砚回:“已完成初稿,9点前发你。只含控制措施与交付保障,不涉及内部人员判断。”
他把那份《追溯进展风险说明(甲方早会专用)》又检查了一遍:不提“是谁干的”,只提“我们做了什么来保证交付不受影响”。每个动作都带路径、时间戳、责任人、可核验的证据形态。
他清楚甲方的安全感来自“可控”,不是来自“抓到坏人”。
07:48,手机震动,依旧是陌生号码。周砚没有立刻打开,他先截图保存,然后才点开短信。内容比前两条更短,却更像最后通牒:“别再发邮件抄送甲方。你动外部,内部就动你。”
周砚盯着那句话,没觉得恐惧,反而确认了一件事——对手真正害怕的不是他查到什么,而是他把“风险控制”呈现给外部,让外部形成“他在扛交付”的既定印象。一旦外部认可建立,内部要动他就会显得像自断臂膀。
他把短信按流程保全,新增一条风险记录:威胁指向“外部抄送链路”,说明对手把甲方视为压力源。这条记录将来很可能成为“内部干预交付”的旁证。
08:10,周砚到公司,办公区还没完全热起来。许多人不敢与他对视,但他习惯了。他坐下第一件事不是开项目群,而是打开共享盘,检查“组织承诺邮件”的下载记录——甲方项目总监下载过,甲方法务下载过,梁总下载过。
这说明王珊没夸张,领导确实看了,而且认可了这种“交付链路当资产”的表达方式。
08:31,信息安全部负责人发来邮件推送,标题干净利落:《usb设备id检索阶段性结果(限定范围)》。
周砚指尖在触控板上停了一瞬,像在给自己一个缓冲。他没立刻点开附件,而是先把邮件整体下载保存,生成哈希值,拖进“302追溯/设备归属”目录,再在合规清单里新增一条记录:邮件主题、发送时间、抄送范围、附件哈希、后续动作。
做完这些,他才点开附件。
附件是一份两页的检索报告,第一页写“检索范围”:近90天公司终端管理系统usb识别记录、资产管理登记、it服务台外设借用台账;范围限定为“门禁刷卡进入302会议室人员对应工位设备+302公用设备自身记录”。
第二页写“命中结果”,只有一条命中,字像石头一样沉:
“usb\vid_xxxx&pid_xxxx 近30天内曾被识别于:市场部员工李xx工位电脑(资产编号:pc-07xx),识别时间:昨日18:45—18:47;另:该usb设备在it服务台外设借用台账登记归属:项目管理办公室(o)共享u盘(编号:u-32x),借用人:王xx(阿远助理),借用时间:昨日17:58,归还记录:无。”
周砚的视线从“借用人:王xx”那行字上慢慢挪开,又落回“归还记录:无”。他没有任何“终于抓到你”的兴奋,反而升起一种更冷的警觉——这条链路太完整,完整得像对方以为“就算被查到,也可以把锅甩给共享资源”。
共享u盘、o、借用台账、未归还——这些关键词组合起来,很容易构成一种“制度性漏洞”:共享设备被借用、未按时归还、被人拿去做违规操作。最后仍然可以绕回“无法锁定单一责任人”。
但周砚也看见了致命的锚点:借用人是王xx,且时间点与302事件高度吻合。再加上门禁记录里王xx 18:46进出,电脑事件日志18:46插入usb,所有链条对齐到分钟。
灰区开始变窄。
视野边缘,蓝色面板像一把冷刀递进来:
【证据链进入“可指向阶段”:共享u盘借用台账+门禁刷卡+设备插入日志=三重对齐】
【下一步关键:把“共享资源”从遮羞布变成责任链——核查借用审批、归还制度、u盘编号实体封存与内容取证】
周砚没有任何迟疑,打开一个新文档,标题定为《usb设备归属交叉证据链及处置建议(供梁总/法务/信息安全)》。他把证据链拆成四段,每段都写“事实—证据—风险—建议动作”,没有情绪,没有推测:
1)事实:302公用电脑18:46插入usb设备;证据:本地事件日志;风险:监控缺失时段关键前置动作被遮蔽;建议:将usb插入行为纳入追溯核心链路;
2)事实:该usb设备登记为o共享u盘,借用人王xx,借用17:58未归还;证据:it服务台台账;风险:共享资源被滥用、归还制度失效导致责任稀释;建议:立即封存u-32x实体并取证,锁定内容是否含登录脚本/缓存;
3)事实:门禁记录显示王xx 18:46进入302;证据:门禁明细;风险:与usb插入时间高度对齐;建议:对王xx进行事实核查询问,形成书面问询纪要;
4)事实:该usb设备在市场部李xx工位电脑18:45被识别;证据:终端管理识别记录;风险:设备在进入302前曾在其他工位出现;建议:核查李xx与王xx之间的接触链路(会议/工位相邻/沟通),限定范围,不扩大无效排查。
文档末尾,他只写一句结论:“以上链路足以替代监控缺失时段形成阶段性结论,建议以项目事故风险为由启动‘共享外设管理漏洞’专项处置,避免追溯被无限拖延。”
08:58,周砚把这份文档连同检索报告一起发给梁总,抄送法务与信息安全负责人。邮件主题用最容易被决策层接受的表达:
《302追溯关键进展:共享u盘借用人命中(建议启动封存取证与书面问询)》
他不写“抓到王xx”,他写“关键进展”“建议动作”。他要推动的不是情绪裁决,而是流程处置。
09:06,他把给王珊的一页纸风险说明发出,内容只围绕三件事:
- 追溯进展:已形成替代证据链,监控缺失不影响阶段性判断;
- 合规控制:对外沟通全留痕、资料路径可核验、个人信息三项必要字段+明示同意;
- 交付保障:预约到访接待排班已确认,复盘答疑口径库定,任何口径调整走审批链路。
王珊回:“收到,今天领导只要看到‘不影响交付’就行。”
周砚把这句回执截图归档。外部只要稳住,内部再怎么折腾也难把项目从他手里夺走。
09:22,hr主管终于把沟通会纪要发来,标题温柔得一如既往:《岗位调整沟通会纪要(待确认)》。
周砚点开,第一眼就看见一个熟悉的陷阱:纪要里写“周砚拒绝配合岗位调整安排”,而关于梁总当场指令“确认书撤回、岗位调整暂缓、按替代方案执行”的表述,被写成了模糊的“后续由管理层评估”。
他没有生气,只把纪要当成另一份需要修订的交付物。他拿起红笔,直接在pdf上标注三处必须修改的关键点:
1)“拒绝配合岗位调整”改为“对确认书条款存在文本冲突提出异议,确认书暂缓签署”;
2)补充梁总明确指令:确认书撤回、岗位调整暂缓,替代方案为当前执行标准;
3)补充责任边界:对外沟通走项目邮箱留痕抄送,资料走共享盘审批,个人信息按工具清单处理。
他把修订版回发hr,抄送法务和梁总,正文只有一句:“请按标注修订,确保纪要与现场指令一致,避免后续责任争议。”并明确“修订后我再确认签字”。
他不允许任何人用文字把他写成“拒不配合”。
09:47,阿远出现在办公区,走到周砚工位旁,声音压得很低:“你最近动作太大了。你拿共享u盘说事,牵扯的人不止我这边。你知道o是什么吗?你搞不好会把自己炸掉。”
周砚没有抬头,只把共享盘里的“替代方案执行标准”那份文件打开,指尖点在“所有指令需书面化、所有风险需评估”的那行字上,语气平静得像在讲流程:“我没有拿u盘说事,我在补证据链。o也好,谁也好,只要涉及项目事故风险,就应该走处置流程。你担心牵扯面大,可以做风险评估报告,说明为什么不封存、不取证。只要你写出来,能经得起审计,我就配合。”
阿远盯了他两秒,像想从他的表情里找出一丝退缩,但周砚的脸上没有任何情绪波动。阿远最终没再说什么,转身走了。
周砚看着他的背影,心里却更加确定:对方开始怕的不只是“被抓到”,而是“流程一旦启动,控制权不在他们手里”。
10:12,信息安全代表在里发来简短通知:“梁总要求今日12点前完成u-32x共享u盘实体封存与取证,参与人:信息安全、法务、it服务台。你需要到场吗?”
周砚回复:“我不参与取证,避免被指控‘干预证据’。但请取证形成书面纪要并抄送我,供项目风险评估归档。”
他很清楚对方会找任何机会说他“操纵调查”。他不需要站在现场,他需要的是一份合规纪要。
10:35,王珊打来电话,背景声音嘈杂,应该在去楼盘现场的车上:“你们内部追溯有没有实质进展?领导下午可能还要问‘你们是不是内部有人搞破坏’。”
周砚声音稳得像一条直线:“有进展,但我不会对外说‘有人搞破坏’。对你可以这样表述:我们已通过设备日志与外设台账形成交叉证据链,并启动共享外设封存取证流程,追溯机制已转入可核验阶段;同时项目交付链路不受影响,所有对外资料依旧按审批链路执行。”
王珊沉默半秒:“好,就这么说。你把这段话写成两句话发我,我直接用。”
周砚立刻发出两句可复制口径,并附上“取证流程已启动、纪要待出”的事实表述。王珊回“收到”,语气明显安心。
11:58,信息安全部发来封存取证纪要。纪要里写得非常规范:
- 封存对象:o共享u盘 u-32x;
- 封存时间:11:42;
- 在场人员:信息安全a、法务b、it服务台c;
- 取证方式:镜像复制、哈希校验、原件密封;
- 初步发现:u盘内存在一份名为的文本,包含公司统一登录页面缓存片段;另存在一个文件,但是否执行需进一步核查;
- 后续动作:调取302公用电脑执行记录与系统策略日志,确认autorun是否触发;对借用人王xx进行事实问询,形成问询纪要。