第14章 网络轨迹



08:07，天色仍旧沉在一片灰蒙里，写字楼一层大堂的灯光像被水流磨平了棱角，冷白、均匀，落在地板上没有半点温度。

周砚没有直接上楼，而是先站在大堂角落的安全通道口，指尖触了触口袋里的手机——昨晚那条匿名威胁短信的截图归档记录，就存在相册的加密文件夹里。他很清楚，这条短信只能证明“有人在施压”，却无法直接绑定“谁在动手”。要把这种模糊的施压，变成可追责的攻击行为，必须将其重新锚定在那条完整的攻击链上：302会议室公用电脑  →  针对性失败登录  →  账号保护模式触发  →  项目交付通道中断。

他抬手理了理衣领，转身绕到信息安全室外的走廊尽头，停在那扇熟悉的磨砂玻璃门前。这里是追溯的关键节点，也是最容易出现“证据缺口”的地方，他必须把节奏握在自己手里。

抬手敲门，三下，力度不重不轻，刚好能穿透门板，却不显得急切。

门开的一瞬，负责302追溯的安全工程师看到他，眉头明显皱了一下，语气里带着几分不耐：“这么早？我们还没正式开工。”

“越早越好，省得晚上又出意外。”周砚的语气没有半分寒暄，直接切入核心，“昨天你们回复邮件说，302公用电脑的本地事件日志需要走封存解封流程，预计17:00前提供。我今天来，是提前确认两件事：一是日志的提取范围是否完整，二是关键字段是否齐全，避免等到晚上又出现‘信息不全无法判定’的情况。”

安全工程师侧身让他进来，办公桌上已经摆着一份打印件，封面用黑体字写着《302公用电脑事件日志提取说明（初稿）》。周砚扫过标题，没有去翻正文，直接盯着工程师的眼睛问：“我不关心流程，只关心四类核心字段：第一，设备唤醒或开机的精确时间；第二，所有登录尝试记录，包括成功与失败的账号、时间戳；第三，外设插拔记录，比如U盘、外接键盘鼠标这类可移动设备的接入与拔出痕迹；第四，网络状态变化记录，比如有线无线切换、IP地址变更、网关连接状态。这四类字段，能不能全部完整提供？”

工程师拿起桌上的打印件，指尖在纸页边缘摩挲了一下，迟疑着开口：“外设插拔记录……可能有点麻烦。这部分数据涉及公司设备安全策略，默认只保留七天，而且不一定能完整导出所有字段。”

周砚没有争辩“你们必须给我”，也没有用“合规”施压，只把逻辑平铺在桌面上：“监控已经出现了12分钟的缺口，这是既定事实。如果外设记录再缺失，就等于告诉所有人，那段最关键的时间里发生了什么，我们永远无法核验。你们昨天的邮件里，已经出现了‘建议账号持有人加强管理’的倾向性表述，这已经在往我身上引责任了。如果日志字段再不全，最后得出的结论，就会天然偏向‘账号持有人管理不当’。这不是合规追溯，是合规甩锅。”

他顿了顿，声音压低了几分，却更有分量：“我今天来，不是要逼你现在就告诉我‘是谁干的’，只是要确保日志字段完整。字段不全，就不能出任何倾向性结论；你们要出结论，就必须把字段补齐。这对你们，对项目，都是最基本的负责。”

安全工程师的喉结滚了一下，低头沉默了几秒，最终点了点头：“行，我现在就去协调后台同事，按你说的这四类字段提取。17:00前，我给你一份带哈希值的可核验版本，不会少关键信息。”

周砚没有再多说，转身离开。他要做的不是压制信息安全部，而是一点点补齐证据链的缺口，逼着所有人从“无法确认”的灰色地带，重新回到“必须确认”的规则框架里。

09:02，周砚回到工位，第一件事不是看项目群消息，而是打开公司的会议室预约管理系统。昨天信息安全部的邮件里，那句“302涉事时段未预约，为临时使用”像根细刺卡在他心里——只要“未预约”的说法成立，就等于没有明确的使用主体；但只要能证明“有人动过预约记录”，或者“临时使用登记制度未被执行”，这句话就会反过来变成“追溯流程存在