第14章 网络轨迹

19:01:18 登录失败记录：账号（周砚@公司域名），验证失败原因：密码错误；

19:01:32 登录失败记录：账号（周砚@公司域名），验证失败原因：密码错误，触发账号保护模式；

19:03:45 会话结束：临时访客会话锁定，设备恢复休眠模式。

周砚的手指缓缓收紧，指节微微泛白。

监控缺口是18:47—18:59，而外设接入发生在18:46:58——刚好压在缺口的起点前一秒。这意味着，在监控失去信号的前一刻，有人通过键盘唤醒了302的公用电脑，启动了临时会话，插入了可移动存储设备，随后立刻访问了公司登录页，输入了他的账号。整个动作链条完整且有明确的时间线，完全印证了他之前的推断：这不是偶然的误操作，是针对性极强的攻击行为。

监控缺口不等于没有证据。这条事件日志，已经把那段“无法确认”的时间，补成了一条可追溯、可核验的动作链。

视野边缘，蓝色面板准时亮起，提示的字色冷得像刀锋：

【监控缺口已被补齐：事件日志+门禁记录已形成完整攻击链路】

【下一步核心动作：锁定“可移动存储设备”的完整身份（全序列号/厂商id/首次接入记录），并与门禁记录中的人员信息交叉匹配】

周砚立刻翻到附件里的《字段说明清单》，果然在“外设接入记录”一栏看到一行小字：“设备识别id已部分脱敏，完整序列号可向资产管理部门申请调取。”他把那串脱敏的设备id截图下来，新增到《302追溯证据索引表》里，标注为“核心关联证据”。

随后，他几乎没有停顿，接连发出两封邮件，动作精准得像执行战术指令：

第一封发给信息安全部负责人，主题明确：《请求补充：302涉事时段可移动存储设备完整信息》。正文只有一句话，理由硬气且无可辩驳：“需补充该设备的完整序列号、厂商完整信息、首次接入公司网络的时间与设备ip，用于锁定涉事时段接入主体，避免追溯停留在‘无法确认’阶段，影响项目交付账号的正常使用。”

第二封发给行政部资产管理组和it资产台账负责人，主题直接：《协助核验：302涉事设备序列号归属》。正文里只列事实，不做任何推断：“302会议室涉事时段（18:30—19:10）的公用电脑，出现可移动存储设备接入记录，完整序列号：xxxx-xxxx-xxxx（附完整信息截图）。请协助核验该设备是否为公司资产，若为公司资产，需提供资产登记信息、最近借用记录及借用人员信息；若为外部设备，需提供首次接入公司网络的审批记录。16:30前需同步核查结果。”

他不指名道姓，不猜测“就是阿远的助理”，只让那串序列号自己说话。规则之内，任何人为的掩饰，在客观的资产记录和接入日志面前，都会露出破绽。

16:36，项目群里突然弹出一条@全体成员的消息，是媒介组的同事：“紧急同步：开放日现场的宣传物料，因为物流问题，可能要延迟到明天中午才能到货，比原定时间晚了半天。如果继续放量预约，可能会出现现场物料不足的情况，影响用户体验。”

消息刚发出来，阿远的消息就紧跟着弹出，语气看似理性，实则带着引导：“我建议先暂停对外放量预约，等物料确认到货后再继续。现在继续放量，万一现场承接不住，很容易引发用户投诉，反而给甲方留下不好的印象。”

周砚看着“暂停对外放量预约”这几个字，眼底一片冷静。又是“暂停”的变体——之前想暂停社群动作，现在想暂停预约放量，核心都是想打断项目的推进节奏，让他陷入“进度滞后”的被动里。

他没有在群里争论“不能暂停”，也没有拆穿阿远的意图，而是直接发出一条结构化的执行方案，把“暂停”的风险，变成“可控的推进”：

“@全体 开放日预约不暂停，改为分时段控量推进，具体执行三步：1）今晚18:00前，运营组对接物流确认物料准确到货时间，同步准备电子物料（pdf版宣传册、线上展厅链接）作为替代方案；2）预约入口继续开放，但每个到访时段设置上限（每小时10人），满额后自动提示用户选择其他时段或加入候补名单；3）优化现场接待流程，改为‘签到领电子物料→分组参观→一对一答疑’，避免因纸质物料不足影响体验。所有调整会同步给甲方王珊确认，形成书面记录归档。”

方案一出，群里没人再提“暂停”。他把模糊的“风险”，拆解成了具体的、可执行的动作，谁都无法再用一句“怕投诉”就把项目节奏掐断。

17:58，王珊的消息直接发到了周砚的上，带着明显的认可：“你们按分时段控量的方案推进就行，别停。我们领导已经把开放日当作本周的关键节点了，进度不能滞后。现场物料的问题，电子替代方案很稳妥，我这边没问题。”

周砚把这条消息截图归档，然后把分时段控量的方案同步给梁总，抄送项目群和归档邮箱——甲方的背书一落地，任何“暂停”的建议，都成了“要承担对甲方解释责任”的烫手山芋。

19:24，信息安全部负责人的补充邮件终于发来，标题简短：《补充：可移动存储设备完整信息》。正文里，完整的设备序列号、厂商全称、首次接入公司网络的时间（就是302涉事的前一天），都清晰列了出来，最后附了一句：“建议尽快对接资产管理组核查归属。”

周砚盯着那串完整的序列号，心里那根紧绷的线，终于从“猜测”稳稳落到了“可锁定”的实地上。他没有兴奋，也没有急着去质问谁，只是把完整序列号更新到《302追溯证据索引表》里，重新生成证据包的哈希值，确保每一个环节都可追溯。

随后，他给梁总发了一条极简的消息：“证据已成链。”

梁总的回复更快，只有四个字：“继续推进，别露锋。”

周砚明白这句话的分量——对手既然敢发匿名威胁短信，就不会只准备了这一条路。现在最稳妥的做法，不是立刻把牌摊在桌面上，而是在不惊动对方的前提下，让资产管理组的核查结果落地，把“序列号→设备归属→借用人员”的最后一环补上，让对方在规则里无处可躲。

22:03，办公区里的灯光已经稀疏，只有周砚工位的台灯还亮着，在桌面上投下一圈清晰的光影。他把“门禁刷卡记录”“302公用电脑会话日志”“本地事件日志”“可移动存储设备完整信息”四份核心证据，按时间线和逻辑链重新整理，封装成《302追溯证据包（v1.0）》。压缩包的每个文件都带独立哈希值，目录里附了详细的证据说明和索引，像一张织得密不透风的网，把所有破绽都兜了进去。

他最后检查了一遍索引表，确认每个关键时间点、每个核心字段都能回溯到原始证据文件，然后把证据包上传到共享盘的加密目录，又把备份拷贝进随身的移动硬盘。做完这一切，他重新贴好文件袋的封条，把它放进抽屉最深处。

走出写字楼时，夜风依旧冷硬，刮在脸上带着细微的刺痛。周砚没有抬头看头顶的霓虹，也没有去想那条匿名短信是谁发的——这些都不重要了。

威胁只是***，真正的破绽，藏在那串冰冷的设备序列号里。只要资产管理组的核查结果一出来，把序列号和具体的人绑定，那十二分钟的监控缺口，就再也遮不住任何东西。

明天，他要做的不是“抓人”，不是“追责”。

是让那个躲在监控缺口后面的人，在完整的规则链条里，再也藏不住任何破绽。

/1

。手机版阅读网址.