第18章 试刀人

06:52，天还没亮透，周砚已经坐在工位前。

桌面上摊着两份纸：一份《开放日现场sop（v1.2）》的打印版，边缘用透明胶带固定住，防止被风吹卷；另一份是他昨晚写好的“十分钟集中说明”讲稿，标题下方用红笔写着四个字——“不讲承诺”。

他把这四个字写得很用力，不是提醒别人，是提醒自己：现场最容易出事的地方，往往不是别人把刀捅过来，而是你自己在压力下说错一句话。

屏幕右上角弹出邮件提醒，来自信息安全负责人，主题比昨晚更短、更硬：《302运维链路对比日志补充（交换机/同层摄像头）》。

周砚没有先点开附件，而是先做了一个“笨动作”：他把这封邮件转发给项目归档邮箱，抄送梁总，正文只有一句——“按项目事故追溯链路补证，已入合规清单”。随后才打开附件。

附件里是一份对比表，列着同一时间段同层摄像头的在线状态：303走廊、304电梯口、305消防通道都没有掉线，只有302走廊摄像头在18:47掉线，18:59恢复。

还有一份交换机日志摘要：18:46:58，poe端口重置；18:47:01，摄像头离线；18:58:57，端口恢复供电；18:59:00，摄像头上线。

周砚的目光落在“poe端口重置”这几个字上，心里那根线绷得更紧——网络抖动不会精准到“某个端口重置”。端口重置意味着两种可能：要么设备本身异常触发保护，要么有人在交换机侧做了动作。

而“有人做动作”的结论，只要一落地，事情就不再是“账号持有人管理不当”，而是“有人干预监控链路，为异常行为遮蔽”。

周砚把日志导出，生成哈希，归档进“302追溯/补证链路”目录，然后给信息安全负责人回邮件，仍然不带情绪，只带问题：

“请补充该poe端口重置的触发来源：是否存在人工登录交换机操作记录（含账号、时间、来源ip），或运维平台自动策略触发记录。若为人工操作，请明确操作账号归属。”

他知道对方会拖，但只要问题问到“操作账号归属”，拖就会变得难。

07:38，梁总回了他一条消息：“交换机侧日志我会盯，你别被这条线拖住。开放日把现场跑稳，其他我来压。”

周砚回：“收到。现场口径与流程我会再做一轮压力测试并录屏留痕。”

他把这条也归档。梁总的话不是安慰，是授权。授权越明确，现场越不允许任何人临时插手。

08:10，项目群开始热起来。

运营同步：二次触达第二轮预计10:30发，候补补位名单已整理。

设计同步：禁拍区提示牌、核验指南一页纸、动线指示贴纸已排版完成，12:00前可出样。

行政同步：物业报备回执已拿到，设备清单与人员名单已盖章。

拍摄同步：现场录屏设备已准备，但需要确认是否允许在禁拍区内部录制“讲稿演示”。

周砚在群里给了清晰边界：“禁拍区内部不录制任何可能涉及用户信息的画面。讲稿演示录屏只录‘讲解人+背板’与‘核验指南’展示，不录桌面、表单、电脑屏幕。录屏文件按证据留痕归档，生成哈希。”

每句话都像把现场的口子封死。越封死，越难被人钻。

08:42，阿远来了。

他一进办公室就直奔周砚工位，西装依旧熨得挺，但眼下的青黑藏不住，像熬了整夜。语气却故作轻松：“开放日我看你把流程搞得挺复杂。你别把现场搞成审计现场，用户来是看房的，不是来考试的。”

周砚没抬头，只把屏幕上打开的《开放日现场sop（v1.2）》停在“风险控制”页，语气平稳：“流程不是给用户看的，是给团队用的。用户看到的是顺畅、清晰、可核验。团队没有流程，就会口径漂移、动作失控，失控才是事故。”

阿远笑了一下，笑意很薄：“你还真把自己当项目主理人了。今天我来是跟你说一件事：甲方那边，我安排了一个置业顾问做集中说明，你就别上台了。你太强势，容易引发对抗。”

周砚终于抬眼看他，眼神没有锋利，只有事实：“王珊要求集中说明由我做，我已书面确认三条边界并归档。如果你要变更讲解人，请走变更流程：邮件说明原因、风险评估、责任承担人签字，同步甲方确认。否则默认按已确认方案执行。”

阿远的脸色沉了一瞬：“你这是拿流程卡我？”

周砚的语气依旧平稳：“流程不是卡人，是防事故。你要改可以，书面化即可。”

阿远盯了他几秒，最后丢下一句：“行，随你。别到时候出事你说我没配合。”转身走了。

周砚没有追。他知道阿远不会放弃“夺回话语权”，只会换一种更隐蔽的方式：比如临场插话，比如私下让置业顾问“补充亮点”，比如让运营在群里改口径。

所以他更需要把“唯一版本”钉到每个人的手里，钉到桌面上，钉到现场每一块指示牌上。

09:15，周砚召集了一个十分钟的“岗位确认会”，不叫开会，只叫“确认”。确认的东西只有三项：

1）每个岗位的负责人是谁，替补是谁；

2）话术卡版本号是多少（v1.2），旧版全部回收；

3）异常处置流程：发现拍摄违规、带节奏、冲突、媒体采访，第一步做什么、第二步做什么、第三步做什么。

他把异常处置流程压缩成“三句式”：

“先提醒规则：这里是禁拍区，涉及隐私。”

“再给替代路径：需要拍摄请去指定区域并实名登记。”

“最后留痕：不配合则按物业规则劝离并记录。”

每个人都要当场复述一遍，不复述就不算确认。周砚把“复述完成”的视频录屏存档，生成哈希归档。

这不是形式主义，这是把“现场表达”变成可复制动作。对手最怕可复制，因为可复制意味着任何偏离都能被定位。

10:30，二次触达开始。

运营区的同事按话术逐个私信候补名单，要求对方回复“时间段+户型偏好”，并提示“资料现场按清单发放，进群可预约”。周砚盯着不是回复，而是“异常账号特征”：新号、无头像、入群时间极短、发言带挑衅关键词。

果然，十分钟后，群里出现一个新账号，头像是空白，名字像随机生成的字母，发了一句：“你们不敢发全资料，是不是怕露馅？”

运营按置顶口径回复：“资料清单与证据路径已置顶，欢迎按路径核验。不讨论未经核验截图与传言。需要资料请按预约流程，现场可核验。”

对方又发：“我就要你们内部底稿，不给我就发媒体。”

异常处置位直接禁言24小时，备注“疑似诱导违规索取资料”，并截图归档。整个过程不到一分钟，群里情绪没有被带起来。

周砚在d5动作清单上打了一个勾——“控群先控节奏”继续有效。

11:08，信息安全负责人再次来信，附件终于给了302公用电脑的本地事件日志摘要。

周砚打开那份日志时，手指不自觉收紧了一下。

日志显示：18:46:21，设备从休眠唤醒；18:46:38，键盘输入事件；18:47:05，系统弹出登录界面；18:47:12，某浏览器被打开；18:48:03，浏览器访问了公司统一登录页面；18:49:10，设备再次进入待机；19:01:07，出现三次失败登录尝试；19:03:12，触发安全策略记录。

最关键的一行在最后：19:00:58，有一个计划任务被触发，任务名为“updatecheck”，执行内容为“启动浏览器并打开统一登录页面”。

计划任务。

这意味着19:01那三次失败登录并非“现场有人恰好尝试”，而更像“预置后自动触发”。有人在18:46到18:49之间唤醒电脑、打开登录页、设置了某种触发机制，然后离开。到了19:00以后，任务自动触发，系统记录登录失败，账号进入保护模式。

门禁记录里，18:46进入302的人，叫王xx。

阿远的助理。

证据链在这一刻第一次变得像钢筋一样硬：门禁时间点 + 监控缺口起点 + 电脑唤醒事件 + 计划任务触发 + 失败登录时间。

周砚没有立刻冲出去质问。他知道一旦情绪化，他就会被带进“你怀疑同事”的泥潭。正确做法是把这条链条变成“必须由安全部出结论”的事实，而不是“周砚的推测”。

他给安全部负责人回邮件，措辞只写事实请求：

“请确认‘updatecheck’计划任务的创建时间、创建账号、最后修改账号，并提供任务配置详情（触发条件、执行参数）。该项为判断19:01失败登录是否为自动触发的关键证据。另，请结合门禁记录（18:46入内人员）进行交叉验证。”

发完他立刻抄送梁总、法务，并在邮件里加一句：“该证据直接关系项目事故定性与责任归属，请安全部于今日18:00前形成补充结论说明。”

他把“18:00前”写得很清楚——让拖延变成不可接受的选项。

12:03，梁总把周砚叫进小会议室。