第21章 交叉证据



06:52，天色还灰着，城市像没睡醒的机器，噪音被雾压得很低。

周砚醒来后的第一件事不是看手机，而是坐在床沿把脑子里的“当日链路”过一遍：甲方15分钟线上汇报——开放日接待流程与物料确认——预约转化推进——内部调查的取证补充——以及最关键的一点：任何人试图把他从“对接权”里剥离，都必须留下书面痕迹。

他洗漱时听着水龙头的水声，心里却在对照证据链：门禁、AP接入、跳板机审计、计划任务创建、失败登录触发保护模式——这条链已经闭了一半，剩下的一半在“授权路径”和“具体指令链”。只要把这两个环节钉死，就没有“误操作”“多人使用”“无法锁定”的余地。

07:38，周砚进办公区时，空气里有一种微妙的紧绷。

平时最早来的行政同事今天没到，走廊里连咖啡味都淡，像有人刻意把“日常”抽走了。电梯口的公告栏多了一张红底白字的临时通知：信息安全部将在今日对部分设备进行封存核验，相关人员请配合。

他走到工位前，没急着开机，先把文件袋放到桌上，透明封条仍完好。随后他打开手机，进入加密相册，确认昨晚那封《302追溯阶段性结论》邮件的截图、哈希记录、归档路径备注都在；再确认陌生来电记录已按“时间-号码-事件”写入合规清单。

他把手机扣在桌面上，打开电脑。

08:06，系统刚登录，IM弹出一条来自梁总的消息，短到像一句命令：

“09:10，线上会你来讲。材料先发我一份，我要同步给领导。另：安全部今天会找你做设备核验，别慌，按流程走。”

周砚回：“08:40前发你汇报材料PDF+证据路径索引。设备核验我要求出具《设备封存/取证清单》并当场签字，确保不影响项目交付。”

梁总回了一个“行”。

周砚没有把“行”当作口头认可，他立刻把自己昨晚准备的《核验机制+数据闭环+异常处置》PDF导出二次版本，增加一页“证据路径索引”，把每个关键词对应的共享盘目录、文件名、版本号、哈希值写成清单；再把清单单独导出一份，命名为《甲方汇报证据索引周砚》，生成SHA-256哈希，上传共享盘“甲方汇报/材料/索引”目录，留言区写明“用于现场快速核验，不含内部调查敏感内容”。

08:39，邮件发出，收件人梁总，抄送项目归档邮箱。截图归档，合规清单更新。

他刚端起水杯，办公区另一端忽然传来拖拽椅子的声响——不是忙碌的声音，是那种刻意拉长的摩擦声，像有人在提醒你：该来的来了。

08:51，信息安全部两个人出现在周砚工位旁，一个拿着封存箱，一个拿着表格夹板。为首的是严负责人，语气依旧客气而冷：“周砚，今天我们需要对你工位电脑做取证镜像，配合一下。”

周砚放下水杯，第一反应不是拒绝，而是把规则摆出来：“可以。请先出具《取证范围说明》与《封存/取证清单》，明确取证目的、取证范围、预计时长、对项目交付影响评估。并且镜像过程需全程记录，取证副本哈希当场生成，三方签字。”

严负责人看了他两秒，显然早有准备：“表都在这。范围是核验你的账号是否存在异常登录与计划任务创建关联。我们只做镜像，不动你文件。”

周砚接过表格，不急着签，逐条看：取证目的写得很笼统，范围写了“全盘镜像”。他抬眼：“目的可以，范围太大。我的电脑里有甲方资料、项目证据包与用户预约脱敏数据。全盘镜像会引入不必要的个人信息处理风险。请改为‘系统日志目录+浏览器缓存登录记录+跳板机客户端配置+IM客户端会话日志’，并明确不采集客户资料与社群用户数据文件夹。取证要最小化。”

严负责人眉头一皱：“最小化会影响我们调查完整性。”

周砚没有争，直接给出替代方案：“你们要的完整性是‘异常登录链路’，不是‘业务资料内容’。异常登录链路靠系统日志与会话记录就能核验。业务资料不应被带走，否则后续任何争议都会变成‘信息安全部门采集了客户数据’，这对公司不是好事。取证最小化不是阻碍调查，是降低二次风险。”

严负责人沉默了半秒，旁边的安全工