第103章 名单:当“专项”失去可否认性
『如果章节错误,点此举报』
第(1/3)页
凌晨四点二十,治理修复委员会的日终系统自动生成了一份“异常行为热力图”。热力图像一张城市夜景,只是灯光不是建筑,而是行为:谁在什么时间试图做什么、被系统拒绝了多少次、触发了多少条告警、涉及多少个系统域。绝大多数区域是冷色,只有两个点仍然发烫:模板库违规创建与某个云边缘节点的反复配置读写请求。
顾明把热力图投到墙上,声音压得很低:“模板库违规触发者标识又出现了sec.liaison,但这次我们抓到了更具体的东西:触发来源的网络指纹与两个账号登录模式高度吻合。”
“哪两个?”周砚问。
“一个是秘书处专项安全联络官岗位账号;一个是集团办公室副主任的历史辅助账号。”顾明停顿了一下,“它们的浏览器指纹、访问时段、常用IP段一致,像同一个人轮换登录。”
“像”不够。周砚很清楚,责任落地不能靠像,必须靠可复核的证据:token指纹、证书序列号、登录会话ID、工位网络端口、门禁刷卡时间对齐、甚至摄像头记录。影子机制的最后堡垒就是可否认性,只要还有“可能不是我”,它就还有活路。
“把‘像’变成‘是’。”周砚说,“怎么做?”
顾明拿出一份计划:“三件事:
1)抓会话:对专项联络官账号开启增强审计(不降级),记录每次敏感操作的会话ID与设备指纹;
2)抓工位:把工位交换机端口日志与门禁刷卡对齐;
3)抓证书:把S-19证书体系里所有证书序列号与申请单审批链对齐,尤其是‘审核人sec.liaison’字段。”
许衡在电话里补充:“你们要小心别打草惊蛇。增强审计本身不会被对方察觉,但如果你们动作太大,对方可能会停用账号、销毁设备。最好用‘观察式取证’:先锁证据,再锁人。”
罗主任点头:“警方那边也在追S-19。我们内部先把证据矩阵补齐,等警方收网。”
周砚看了一眼时间,四点二十八。太阳还没升,但空气已经变了。公示后的组织,夜里不再安静。安静意味着暗门在运转;现在夜里出现的是系统拒绝与告警,这意味着暗门在敲窗。
敲窗不是坏事。敲窗说明他们被迫在光下活动。
---
上午九点,董事长召开专项会议,会议名称很短:**“S-19处置与专项岗位调整”**。参会人员比以往少,都是能做决定的人:董事长、两名独立董事、纪检负责人、法务总监、信息中心主任、第三方许衡(线上)、警方联络人(旁听)、周砚。
董事长没有绕弯:“我们现在要解决三个问题:S-19到底是谁的机制?专项联络岗位是否还保留?责任名单怎么出?”
“名单”两个字出现,空气瞬间凝固。名单意味着个体开始被点名。点名意味着冲突会升级。影子机制最怕名单,但也最擅长在名单阶段搅浑水:你点我,我点你;你拿我,我拿你;最后所有人都厌倦,回到“算了”。
周砚开口先定框:“名单不是为了报复,是为了打掉可否认性。我们建议先出‘岗位名单’再出‘个人名单’,先把机制拆掉,再把责任落到人。”
独立董事问:“岗位名单怎么写?”
陆律把“岗位风险清单”投出来,按控制点列:
* 专项安全联络岗位:证书发放、审核、权限域配置;
* 集团办公室信息协调岗位:跳板机与自动化触发链维护;
* 安全运维管理岗:授信规则与临时授权包设计/维护;
* 物业外包对接岗:外包执行链核验缺失;
* 媒体口径管理岗:模板库与口径材料分发。
“岗位名单的意义,是把组织漏洞公示出来。”陆律说,“个人名单则根据证据矩阵分层落地。”
董事长点头:“那个人名单的证据矩阵标准是什么?”
许衡在屏幕上回答:“至少要满足三类证据中的两类:
A类:技术证据(会话ID、设备指纹、token指纹、证书序列号、日志哈希);
B类:流程证据(审批单、签收单、岗位职责、编号纪要);
C类:行为证据(口供一致性、传播链、门禁/摄像头对齐)。
满足两类即可进入内部问责;满足三类且涉及持续干预,可移交刑事协查。”
“清晰。”董事长说
(本章未完,请翻页)
第(1/3)页
凌晨四点二十,治理修复委员会的日终系统自动生成了一份“异常行为热力图”。热力图像一张城市夜景,只是灯光不是建筑,而是行为:谁在什么时间试图做什么、被系统拒绝了多少次、触发了多少条告警、涉及多少个系统域。绝大多数区域是冷色,只有两个点仍然发烫:模板库违规创建与某个云边缘节点的反复配置读写请求。
顾明把热力图投到墙上,声音压得很低:“模板库违规触发者标识又出现了sec.liaison,但这次我们抓到了更具体的东西:触发来源的网络指纹与两个账号登录模式高度吻合。”
“哪两个?”周砚问。
“一个是秘书处专项安全联络官岗位账号;一个是集团办公室副主任的历史辅助账号。”顾明停顿了一下,“它们的浏览器指纹、访问时段、常用IP段一致,像同一个人轮换登录。”
“像”不够。周砚很清楚,责任落地不能靠像,必须靠可复核的证据:token指纹、证书序列号、登录会话ID、工位网络端口、门禁刷卡时间对齐、甚至摄像头记录。影子机制的最后堡垒就是可否认性,只要还有“可能不是我”,它就还有活路。
“把‘像’变成‘是’。”周砚说,“怎么做?”
顾明拿出一份计划:“三件事:
1)抓会话:对专项联络官账号开启增强审计(不降级),记录每次敏感操作的会话ID与设备指纹;
2)抓工位:把工位交换机端口日志与门禁刷卡对齐;
3)抓证书:把S-19证书体系里所有证书序列号与申请单审批链对齐,尤其是‘审核人sec.liaison’字段。”
许衡在电话里补充:“你们要小心别打草惊蛇。增强审计本身不会被对方察觉,但如果你们动作太大,对方可能会停用账号、销毁设备。最好用‘观察式取证’:先锁证据,再锁人。”
罗主任点头:“警方那边也在追S-19。我们内部先把证据矩阵补齐,等警方收网。”
周砚看了一眼时间,四点二十八。太阳还没升,但空气已经变了。公示后的组织,夜里不再安静。安静意味着暗门在运转;现在夜里出现的是系统拒绝与告警,这意味着暗门在敲窗。
敲窗不是坏事。敲窗说明他们被迫在光下活动。
---
上午九点,董事长召开专项会议,会议名称很短:**“S-19处置与专项岗位调整”**。参会人员比以往少,都是能做决定的人:董事长、两名独立董事、纪检负责人、法务总监、信息中心主任、第三方许衡(线上)、警方联络人(旁听)、周砚。
董事长没有绕弯:“我们现在要解决三个问题:S-19到底是谁的机制?专项联络岗位是否还保留?责任名单怎么出?”
“名单”两个字出现,空气瞬间凝固。名单意味着个体开始被点名。点名意味着冲突会升级。影子机制最怕名单,但也最擅长在名单阶段搅浑水:你点我,我点你;你拿我,我拿你;最后所有人都厌倦,回到“算了”。
周砚开口先定框:“名单不是为了报复,是为了打掉可否认性。我们建议先出‘岗位名单’再出‘个人名单’,先把机制拆掉,再把责任落到人。”
独立董事问:“岗位名单怎么写?”
陆律把“岗位风险清单”投出来,按控制点列:
* 专项安全联络岗位:证书发放、审核、权限域配置;
* 集团办公室信息协调岗位:跳板机与自动化触发链维护;
* 安全运维管理岗:授信规则与临时授权包设计/维护;
* 物业外包对接岗:外包执行链核验缺失;
* 媒体口径管理岗:模板库与口径材料分发。
“岗位名单的意义,是把组织漏洞公示出来。”陆律说,“个人名单则根据证据矩阵分层落地。”
董事长点头:“那个人名单的证据矩阵标准是什么?”
许衡在屏幕上回答:“至少要满足三类证据中的两类:
A类:技术证据(会话ID、设备指纹、token指纹、证书序列号、日志哈希);
B类:流程证据(审批单、签收单、岗位职责、编号纪要);
C类:行为证据(口供一致性、传播链、门禁/摄像头对齐)。
满足两类即可进入内部问责;满足三类且涉及持续干预,可移交刑事协查。”
“清晰。”董事长说
(本章未完,请翻页)