第55章 权限开关

梁总靠在椅背上，盯着他：“你要什么？”

“两个动作。”周砚把“封堵动作”那页翻到梁总面前，“一，关键目录启用保留策略与审计告警，禁止删除与覆盖替换；二，建立不可变证据库，对外同步版本必须双写。这样即便共享盘被动过，证据库里的版本链仍然完整。”

梁总沉默几秒，像是在权衡组织成本：“信息化会说麻烦。”

周砚没有反驳“麻烦”，只给出成本对比：“麻烦是内部成本；证据链断裂是项目事故成本。现在我们已经遇到现场攻击、监控断电、二维码覆盖贴，如果再出现版本链污染，甲方会认为我们在造假。那不是麻烦，是合作终止风险。”

梁总点了点桌面：“好。你这两条我同意。由高岚牵头，信息化执行。你继续管交付。”

周砚没有说“谢谢”，只说：“我会按日报节奏推进到访转化。”

梁总看了他一眼，语气放低了一点：“还有一件事。你别自己去碰管理员账号。你能把风险写清楚就够了。”

“明白。”周砚答得很干脆，“调查走内控。”

16:10，工位上消息开始密集。

高岚发来一个文件截图：权限放开的审批单——没有。

截图上只有一句话：“临时权限调整为排查问题需要，未走流程，后补。”

周砚盯着“后补”两个字，心里没有怒意，只有更明确的判断：这就是“开关”的形态。没有审批，就意味着可随意打开；可随意打开，就意味着可被滥用；可被滥用，就意味着任何“查不清”都能被制造出来。

高岚又补了一条：“it-ain02解释：早上有人报共享盘同步异常，他临时放开权限让运营自查，随后收回。‘replace’操作他说是系统自动修复。内控不采纳，已要求提供操作录屏与客户端日志。”

周砚回：“关键点不在解释，在证据：客户端日志、操作录屏、任务单、工单编号。若没有，按流程处理。另建议：查win-ops-07设备当日使用人（运维工位共享？）。”

17:05，许工主动找到了周砚工位旁，压低声音：“周砚，内控那边要我们提供win-ops-07的使用记录。我先跟你说一句，你别把我夹中间。我们运维工位很多是共用的，谁坐下都能用，尤其早班。”

周砚抬眼看他，语气不带任何情绪：“我不问你是谁坐下。我只要一个事实：那台设备有没有个人账号绑定？有没有登录指纹？有没有摄像头门禁记录？”

许工一愣：“你这问得……很内控。”

“因为这是安全事件。”周砚把话说得很平，“共用工位本身就是风险点。你们现在要解释‘replace是系统自动’，就必须给出系统自动的证据。否则只能按人工操作处理。”

许工沉默几秒，点头：“我把能给的都给内控。”

周砚没再多说。他知道这类对话越短越好，越长越容易被扭曲成“你威胁运维”。

18:22，王珊的电话打进来，背景嘈杂，像在现场踩点：“我们这边把接待人员培训了一遍，问你一个细节：周末现场如果有人坚持要‘扫码领资料’，我们怎么处理？直接拒绝会不会引发争执？”

周砚的回答很快，像已经写在sop里：

“给三层方案：

第一层：解释‘出于信息安全，现场不再使用海报扫码，资料只通过官方核验路径展示’，并现场出示官方域名卡片；

第二层：如果对方不信，提供‘核验说明单’一页纸（写清官方域名、资料来源与隐私告知），让他带走；

第三层：若对方仍坚持扫码，现场工作人员不点击、不扫码、不引导输入个人信息，只请他把要扫码的链接截图发给我们核验。争执升级就交给现场负责人，按“异常事件封存流程”记录对话与人员特征，避免口头拉扯。”

王珊明显松了口气：“行，这套我能讲明白。你今晚把‘核验说明单’的模板发我。”

“20分钟内发你。”周砚挂断电话，立刻做模板。

他把“核验说明单”写得极其克制，避免任何“内部调查”字眼，只写用户关心的三件事：官方域名、资料来源、隐私告知。页脚加版本号、生成时间戳、二维码（指向官方域名短链），并用粗体提示“不要在未知页面输入手机号”。

19:03，模板发出，归档，哈希写入合规记录表。

19:40，内控那边又传来一条消息，来自高岚，只有一句话，却让周砚的背脊像被冰水贴了一下：

“win-ops-07设备摄像头在07:20-07:50时段关闭。原因写的是‘隐私合规整改’，但整改工单是空的。”

摄像头关闭。

时间窗07:20-07:50。

而“replace”发生在07:36。

周砚盯着屏幕，脑子里那条链条突然变得极其清晰：监控缺口来自断电；现场缺口来自弱电箱；版本缺口来自权限窗口与摄像头关闭。每一个缺口都被包装成“系统异常”“合规整改”“临时需要”，但它们在关键时间点上精准重合。

这不是零散事件，是一套同一种逻辑在不同层面重复执行：制造断点，掩盖操作者，让责任回到“无法确认”。

周砚没有立刻回复高岚。他先把这条消息截图归档，标注“关键时间窗关联replace”。然后才回：

“收到。建议内控把‘摄像头关闭’作为独立违规项立刻追责：谁下达、谁执行、谁验收。工单为空=无依据。另：把‘隐私合规整改’四个字拆开，要求提供合规要求来源（制度条款/法律依据），否则就是借口。”

高岚回：“我已把它写进缺口清单。今晚会再开一次小会，你参加吗？”

周砚看了一眼时间：20:05。项目群里还在滚，预约确认还在增长，王珊还在现场踩点。调查会参加越多，越容易被对方抓住“你越权干预调查”。可如果不参加，关键事实可能被写得不够精确。

他权衡了两秒，回：“我不参会。你把需要我补充的事实项发我，我书面回复。交付线我不能停。”

高岚回：“可以。你保持节奏。”

20:18，陌生号码又发来一条短信，这次更短：

“开关不是你能碰的。”

周砚没有删除。他按同样流程留痕、命名、归档，然后把短信的“发送基站信息”截图出来（虽然粗糙，但能形成时间与区域参考），一并存入“威胁记录”目录。

他没有恐惧，只是更冷静：对方开始把“版本开关”当成禁区，说明他们最怕的不是门禁，也不是现场，而是“系统层的证据”。

21:10，内控发来一个“书面问询清单”，共五项，要求周砚在22:00前书面回复：

1）你认为关键版本文件有哪些？

2）你认为哪些操作属于“版本链污染”？

3）你建议的封堵动作会不会影响业务效率？

4）你是否有证据证明管理员账号操作异常？

5）你如何确保对外同步版本真实性？

周砚没有抱怨“这么晚”，只打开文档，按问项逐条回复，每条都压缩到“事实+动作+可核验路径”。

他把“关键版本文件”限定为：闭环日报pdf、预约脱敏名单、资料清单与来源说明、q&a口径卡、到访日现场留痕方案、核验说明单。每份文件都写明版本号、哈希、归档路径、邮件主题与发送对象。

他把“版本链污染”定义为四类：覆盖替换（replace）、删除重传导致版本历史断裂、权限短窗放开导致不可追责、共享链接指向变化导致外部核验路径失真。每一类都写明风险影响：对外核验失败、甲方信任损失、平台风控触发、内部问责失真。

关于效率，他用一段简短对比：“封堵动作增加的操作成本为‘双写归档’与‘审批留痕’，平均每次新增5分钟；若发生版本污染导致甲方质疑与舆情扩散，成本为项目事故级别，无法用分钟计。效率与风险不可同权衡。”

关于“证据证明管理员操作异常”，他不说“我证明”，只说“日志显示replace与权限短窗存在，且缺乏审批单；摄像头关闭工单为空；这些属于流程违规与证据链缺口，应由内控核查并定性。”

关于“确保真实性”，他写了最后一句最硬的底线：

“真实性不是我口头担保，而是系统性机制：对外同步版本必须与不可变证据库一致；任何外部核验路径必须可追溯到证据库文件哈希。只要机制落地，个人无法单点篡改。”

21:58，文档导出pdf，生成哈希，上传共享盘“合规记录/内控问询回复”，并邮件回复高岚与内控邮箱，抄送梁总。流程走完，他才喝了一口已经凉透的水。

22:26，办公室只剩下他一个人。外面的城市灯光像一层薄膜贴在玻璃幕墙上，光亮却没温度。

他收拾电脑，准备离开，手机突然弹出一条来自公司内部的系统通知：

“提示：共享盘关键目录将于23:00启用保留策略与审计告警。操作由信息化执行，内控监督。”

周砚盯着那条通知，心里第一次出现一种接近“确定性”的感觉。

保留策略与审计告警一旦启用，意味着“版本开关”开始被关上至少一半——以后再有人试图删除重传、覆盖替换、开权限窗，系统会留下更清晰的脚印。

但他也知道，对手不会因为一个开关被锁就停手。他们会寻找新的开关：权限转移、外部链接、线下话术、甚至甲方侧的内部挑刺。

他拎起文件袋，走出办公区。电梯门合上的瞬间，手机又震动了一下，是高岚发来的最后一条消息：

“内控初步判断：版本链条存在人为介入痕迹，且与现场攻击存在同一组织源的可能。明天开始我们会查‘谁下达临时权限’、‘谁要求关摄像头’。你继续交付，把到访当天的留痕做满。”

周砚回了两个字：“明白。”

电梯下到一层，门开，冷风从大堂门缝里钻进来。他走出写字楼，夜色很深，空气里带着金属一样的寒意，但他的脚步很稳。

门禁缺口已经被断电证据钉住，版本开关也开始被保留策略锁上。对手留下的匿名提示，反而帮他把战场从“谁在302”推进到“谁能动系统”。

他现在要做的，不是冲进后台抓人，而是把周末到访这件事做成“无法否认的结果”——让甲方看到稳定落地，让组织看到风险被压住，让任何试图改写版本的人都明白：就算能动文件，也动不了已经发生的事实。

车灯亮起，他启动汽车。

路灯一盏盏倒退，像时间戳在黑夜里排成队列。

真正的开关正在被一点点关上，但他很清楚，最后那只手一定会露出来——因为只有露出来，链条才会有尽头。

/1

。手机版阅读网址.