08:57,周砚提前抵达九楼的“项目风险专项沟通会”会议室。
会议室门口的电子门牌亮着,字体规整,像一条写死的程序:09:30—11:00,专项沟通会,参会人员名单一长串,末尾还多了一行小字——“会议纪要纳入正式档案”。
“纳入档案”这四个字,比任何威胁短信都更锋利。
它意味着:今天说出去的每一句话,都可能变成未来的“定性依据”;每一个没有被及时纠正的表述,都可能在某个节点被剪裁、被引用、被放大,最终把责任落到某个人头上。
周砚没急着进门,先在走廊尽头的打印机旁停下,把昨晚准备好的《证据包目录页》《交叉证据矩阵》《302异常链路事实梳理(日志版)》以及《项目交付风险影响说明》各打印两份。纸张吐出的声音很轻,却像一根根钉子落在地板上,敲出隐形的节奏。
他把文件按顺序装进透明文件夹,封面只写一句话:本次沟通以“可核验事实+明确动作项”为唯一依据。
封面下面还有一行更小的字:所有材料均来自公司系统归档版本,含路径、时间戳、哈希。
他做这件事不是为了显得“专业”,而是为了把讨论的边界从一开始就框死——今天谁想把话题带向“态度”“协同”“个人风格”,谁就必须先解释清楚:这些词与证据、与事实、与风险控制到底有什么关系。
09:12,梁总先到了。
他没有像往常一样边走边看手机,而是直接拉开会议室门,站在门口扫了一圈座位安排,眉头几不可察地皱了皱。
“把水和纸笔准备好。”梁总对旁边的行政同事说,语气很平,“今天不讲空话,按事实走。”
周砚走进去,找了一个不靠近任何部门阵营的位置坐下——既不靠近法务、也不靠近安全部,更不靠近媒介与阿远。站队会让人天然带滤镜,他今天要的是“让所有人面对同一份事实”。
09:20,监察内控负责人到了。
她叫高岚,四十岁出头,穿深灰色套装,手里拿着一本硬皮笔记本,封面没有任何装饰。她进门后没有寒暄,只是看了一眼桌上的资料堆叠,点了点头,坐下时把笔记本放在桌面正中,像把一块秤砣压在现场气氛上。
09:27,法务专员、HR主管、信息安全部负责人陆续入座。
最后进来的,是媒介主管和阿远。
媒介主管今天没带电脑,只带了一支笔和一叠纸,脸色看起来比昨天更白;阿远则依旧是那副“我在承担压力”的表情,领带打得紧,像要把所有焦虑勒回喉咙里。
09:30整,梁总关上会议室门。
门锁“咔哒”一声响,像把所有人关进一间只能靠证据出去的房间。
“今天的会有两个目标。”梁总开门见山,“第一,302事件的事实链路要形成可落笔的阶段性结论;第二,项目交付不能被任何调查拖断,开放日执行必须按计划落地。两条线同时推进,谁也别拿一条当借口去卡另一条。”
他扫了一眼众人:“会议纪要由监察内控牵头,法务审核,安全部提供技术事实,HR补充用工与权限边界。周砚,你负责把你掌握的证据链按可核验顺序呈现。阿远,你负责说明你这条项目线的版本管理与对外口径是怎么控的。媒介组说明投诉线索与舆情处置过程。”
梁总停顿了一秒,语气更冷了一点:“先说清楚一条底线:今天不讨论‘感觉’,只讨论‘证据’。谁要讲判断,就把判断背后的事实摆出来。”
高岚抬起头:“会后会形成纪要,逐条确认,签字留档。任何对个人或部门的定性,必须有对应证据来源与责任边界。现在开始。”
会议室短暂安静,像所有人都在调整呼吸。
法务专员率先开口,语气像条款:“目前收到外部投诉线索,称项目使用内部资料引流,并存在**处理风险。昨天已初步核验投诉截图与共享盘归档版本不一致,但需要进一步确认来源。与此同时,302事件可能导致账号保护模式反复触发,影响交付权限稳定,风险叠加。”
梁总没接法务的话,而是直接点周砚:“你先来。十分钟内,把你掌握的事实链路讲完。记住,只讲事实。”
周砚把《证据包目录页》推到桌子中间,声音很稳:“我按五条线讲,都是公司系统里可复核的事实,不做推断。”
他把第一张纸翻开,指尖点在时间线矩阵上:
“一,门禁刷卡明细:18:46王XX刷卡进入302,18:49刷卡离开;19:02行政孙XX进入,19:05离开;19:08孙XX再次进入,19:10离开。该明细由信息安全部提供,已归档。”
“二,监控缺失说明:302走廊监控18:47—18:59出现信号异常,视频缺失,运维记录尚未补齐完整告警编号与处置细节。”
“三,本地事件日志:System日志显示18:48:12系统从睡眠唤醒,18:49:03新增USBHID键盘设备连接;18:50:27创建计划任务OfficeUpdateCheck_3A9F,并设置为用户登录触发;19:01:10计划任务触发执行。”
他把第四张纸翻出来:
“四,会话与安全日志:19:01起连续三次4625登录失败事件,账户为我本人账号,失败原因密码错误,触发账号保护模式,导致交付权限受限。日志由安全部封存提取,事件ID截图已归档。”
“五,设备实例ID与资产匹配:HID设备实例ID在资产管理系统检索结果显示,曾出现在302公用电脑与媒介主管笔记本两台设备上。该检索结果截图已归档,标注检索时间与系统页面。”
他停顿,抬眼看向梁总:“以上五条事实,形成闭环链路:监控缺失时段前后,存在非授权外接HID设备连接与计划任务创建,且计划任务触发导致我账号出现自动化失败登录,从而触发保护模式,影响项目交付通道稳定。”
周砚没有说“谁干的”,也没有说“攻击”,只是用“非授权外接”“计划任务”“自动化节奏”把性质指向一个任何懂流程的人都无法忽视的方向。
梁总看向信息安全部负责人:“你确认周砚讲的日志事实无误?”
安全部负责人点头:“无误。我们内部已经把该链路标记为疑似蓄意自动化触发特征——这是我们的技术描述,不是主观判断。我们建议按信息安全事件流程处理,封存涉事设备,追溯外接HID设备来源与领用流转。”
高岚在笔记本上记了几行,抬头问:“‘外接HID设备实例ID’能否进一步追溯到具体硬件资产、领用人或使用记录?”
安全部负责人稍微犹豫了一下:“如果该设备是公司配发并录入资产系统,有可能追溯到领用人;如果是个人设备,资产系统无法直接锁定,但可以通过端点管控系统、USB接入历史、以及设备在其他电脑出现的轨迹做交叉核查。”
梁总不耐烦地敲了下桌面:“说清楚:现在你们能做什么,做不成什么,需要什么配合。”
安全部负责人立刻把话收紧:“现在我们能做三件事:第一,封存302公用电脑与媒介主管笔记本,提取完整USB接入记录与计划任务创建源;第二,调取门禁抓拍原始件,确认刷卡行为对应的人形与装束细节;第三,结合内网端点日志,筛查同类HID设备是否在其他终端出现过。我们做不成的是Wi-Fi接入轨迹对个人层面的定位,这涉及网络安全数据权限,需要内控与法务共同授权。”
高岚点头:“授权路径可以走,我会在纪要里列为动作项,责任人明确。”
媒介主管的喉结动了一下,像在吞咽某种紧张。
阿远突然插话,语气看似平衡:“梁总,安全事件流程我不反对。但我觉得周砚把事情讲得太技术化了,容易扩大恐慌。项目现在最重要的是交付,内部追溯可以慢一点,不要影响协同。再说,账号密码管理也确实是个人责任……”
“慢一点?”梁总抬眼,语气不高,却像压着火,“账号保护模式影响交付权限,影响项目节奏,你跟我说慢一点?”
阿远立刻改口:“我不是那个意思。我是说,追溯要有边界,别把各部门搞得互相不信任。”
周砚没有跟阿远争辩,他只补了一句事实:“我已经按最小化权限配合,所有交付动作均留痕。现在的问题不是‘信任’,是‘交付通道稳定性’。只要通道被反复触发保护模式,项目就会断档,这是客观风险。”
高岚把笔记本翻了一页,语气冷静:“我们需要回答两个问题:第一,302事件的链路是否可以被解释为误操作?第二,如果不是误操作,组织层面如何止损并防止再次发生。”
她看向安全部负责人:“计划任务的创建来源能追溯吗?是谁创建的?”
安全部负责人摇头:“计划任务创建本身记录在System日志里,但创建者账户信息需要进一步从Security日志和任务计划程序本地记录提取,当前提取件还不完整。我们需要对设备做更深的取证。”
梁总转向媒介主管,语气更直接:“你的笔记本为什么会出现同一个HID设备实例ID?”
媒介主管的脸色瞬间更白,但他强撑着:“我们媒介组做短链测试、表单跳转,有时会用一些外接设备做自动化输入测试……这种设备不是不可能出现。”
周砚没抬眼,他知道对方会这么说。把一个注入器包装成“自动化测试工具”,是最便捷的自救路径。
高岚没有情绪,只问:“你说的‘自动化输入测试’,有没有审批?有没有资产登记?有没有使用记录?是谁在用?用在什么场景?测试为什么需要在302会议室公用电脑上做?”
这四个问题像四根针,精准刺向逻辑空洞处。
媒介主管的嘴唇动了动,没立刻答上来。
阿远试图替他圆场:“302是公用会议室,有时候临时借用很正常,没登记也是常见情况。我们不要把临时使用放大成问题。”
高岚抬眼:“临时使用不是问题。问题是:临时使用发生在监控缺失时段,紧接着出现非授权外接设备与计划任务创建,并导致账号保护模式触发。把这些串起来,临时使用就不再是中性,行为。”
梁总拍板:“先别绕。媒介主管,你回答高岚的问题:有没有审批?有没有记录?谁在用?为什么会出现在302?”
媒介主管明显开始出汗,他把笔夹在指间,指节发白:“审批……这类小工具一般不走审批。记录……我们组内部有时候也不会留。至于谁在用……可能是我,也可能是组里的人。302那天……我不记得去过。”
“不记得去过。”周砚在心里把这句话记下,脸上没有任何表情。
高岚把这句话写进笔记本,抬头:“你说不记得。门禁抓拍原始件与门禁记录可以核验‘刷卡动作对应的人形’,如果刷卡时段与你相关人员重叠,我们会要求你解释。你现在的回答会进入纪要。”
媒介主管的喉结再次滚动。
梁总把视线转向法务:“投诉线索与媒介组关系是什么?”
法务专员把那张投诉截图拿出来:“来源是本地房产自媒体私信,附了一张所谓内部表格。周砚已提供归档证据,表格与归档版本不一致。媒介组负责外部沟通与舆情监测,需要追溯该截图传播路径、最早出现时间、以及是否有内部人员向外传递。”
媒介主管立刻反驳:“我们一直在控舆情,怎么可能自己放出去?那是外部造谣!”
周砚这时才抬头,语气依旧平稳:“我同意不讨论动机。但有一条事实需要纳入纪要:该投诉截图与归档版本不一致,且与项目对外资料清单不匹配。要证明它是外部造谣,需要媒介组提供传播链路证据。否则只停留在口头否认,无法止损。”
梁总点头:“对。媒介组拿证据,不拿情绪。”
高岚补充:“传播链路包括:该截图最早出现的平台、最早时间戳、转发路径、以及与公司任何账号是否存在关联。如果无法追溯,至少要形成‘缺口清单’与‘止损动作’。”
她看向周砚:“你这边项目交付线目前的状态是什么?会不会被调查影响?”
周砚把另一份材料推出来,是《开放日执行进度+预约转化趋势》:“截至D4,确定预约35,时间段分布已同步甲方。对外资料发放已改为分批私信,仅发资料清单与证据路径,避免平台风控。个人信息处理按承诺执行,脱敏导出仅三项必要字段,审批链路与日志齐全。项目可以继续推进,但前提是交付账号权限稳定,不再被异常触发保护模式反复中断。”
梁总直接问安全部负责人:“能不能先给周砚的账号稳定通道?别再动不动保护模式影响交付。”
安全部负责人点头:“可以做两件事:第一,提升账号风控阈值并绑定二次验证,仅允许在周砚指定设备登录;第二,对302公用电脑彻底隔离,不允许任何账号登录,避免再次触发。前提是我们要尽快完成设备取证,否则风险长期存在。”
梁总拍板:“就这么做。今天会后立即执行。纪要写清楚:保证交付通道,追溯继续推进。”
HR主管终于开口,声音依旧温柔,但内容明显带着试探:“既然要升级为安全事件流程,那周砚这边的试用期复核是否需要重新评估?毕竟牵涉到账号使用风险……”
梁总抬眼,语气冷:“别把安全事件当成用工工具。安全事件是组织风险,不是个人道德审判。周砚的责任边界以证据为准,没证据别上结论。”
HR主管脸上的笑意僵了一下,低头不再说话。
高岚把话接过去:“用工结论不在今天范围。今天只确定两条:事实链路与动作项。后续如需涉及个人责任,必须基于完整取证结论与明确责任边界。纪要里会写清楚。”
会议室的空气像被抽走了一层雾,变得更硬、更清晰。
接下来,进入最关键的一段——动作项落纸。
高岚翻开笔记本,逐条念出她拟定的动作项,语速不快,每一条都像钉子:
“动作项1:信息安全部于今日18:00前完成对302公用电脑与媒介主管笔记本的封存取证计划,列明取证范围、日志类型、保全方式、预计交付时间。责任人:信息安全部负责人。”
“动作项2:物业门禁抓拍原始件由安全部调取并封存,监察内控在场见证,形成封存记录。责任人:信息安全部负责人+监察内控。”
“动作项3:资产管理系统中出现同一HID设备实例ID的终端列表由安全部导出并交监察内控,形成筛查清单。责任人:信息安全部。”
“动作项4:媒介组于今日20:00前提交投诉截图传播链路初步报告(最早出现时间、平台、转发路径、关联账号核验情况),无法追溯的缺口需列明。责任人:媒介主管。”
“动作项5:项目交付通道稳定措施立即执行:周砚账号绑定指定设备登录+二次验证;302设备隔离禁用登录。责任人:信息安全部。”
“动作项6:项目交付节奏保障:周砚继续负责版本管控、数据口径统一、复盘答疑与开放日现场风险记录;阿远负责资源协调与团队调度,禁止任何非归档版本对外使用。责任人:周砚+阿远。”
“动作项7:所有对外资料发放按‘资料清单+证据路径’执行,不得发送疑似内部截图。媒介组与运营组对外口径统一,出现舆情异常30分钟内上报梁总。责任人:媒介主管+运营负责人。”
“动作项8:下一次专项沟通会时间:48小时后同一时间,汇报取证进展与传播链路结论。责任人:监察内控。”
她念完,抬头看梁总:“以上动作项是否同意?”
梁总点头:“同意。一个都别漏。”
他又看向媒介主管,语气像敲钟:“你那份传播链路报告,写清楚。写不清楚,就把‘写不清楚的原因’写清楚。别给我一句‘外部造谣’糊弄过去。”
媒介主管勉强点头,嗓子发干:“明白。”
阿远想说什么,刚张嘴,梁总就抬手打断:“阿远,版本管理你自己心里清楚。以后所有对外版本,只认共享盘归档与哈希。谁再搞什么私改、润色、临时改口径,别怪我不客气。”
阿远脸色发青,最终只吐出一句:“知道了。”
周砚没有趁势说“我早就提醒过”,也没有用胜利者姿态。他只是把会议流程的最后一颗钉子敲下去:“请在纪要里补一条:任何对周砚账号的‘管理不当’倾向性结论,需在完整取证前禁止出现,避免影响项目交付账号的合法权限。”
高岚看向法务专员:“法务意见?”
法务专员沉默两秒,点头:“可以。用‘避免不当定性影响项目推进’表述。”
梁总拍板:“写。”
09:58,专项沟通会结束得比预期早。
门再次“咔哒”一声打开时,走廊里的冷白灯像水一样泼进来。媒介主管走得很快,像怕谁在背后叫住他;阿远也没停留,直接去了电梯口。
周砚没有立刻回工位,他站在会议室门口,把所有刚刚说过的关键结论在脑子里再跑了一遍——不是为了回味胜负,而是为了确认:有没有任何一句模糊表述会在纪要里被偷换。
他回到工位,第一件事是给**发消息:“上午专项沟通会已明确:交付节奏优先,账号通道稳定措施立即执行。开放日现场接待与物料安排不受影响。今晚20:30前给你更新确认预约名单(脱敏版)与现场分流建议。”
**很快回:“收到。你们内部别被拖住就行,领导现在只看两件事:现场到访与后续成交线索。”
周砚把这句话截图归档,存进“甲方沟通记录”。甲方的“只看结果”,就是他抵御内部扯皮的盾。
10:23,安全部按会议动作项开始执行稳定措施。
周砚的电脑弹出二次验证绑定提示,扫码绑定成功;随即弹出一条系统通知:周砚账号登录策略已更新,仅允许在指定终端登录,其他终端登录将
【当前章节不完整】
【阅读完整章节请前往原站】
【ggds.cc】