“网络安全事件日志:/secure/log/i/,实时同步至离线备份,永久保留”
永久保留。
路容的心跳加快了一些。如果三年前天启科技的那次“泄密事件”在星耀内部也有记录,如果李剑当时用了类似的手段,那么这些日志里可能会有线索。但问题是,她需要访问这些日志服务器,而权限……
她继续往下看。
文档的最后有一段手写的备注,字迹和拓扑图上的注释一样:
“日志服务器访问需要三级以上权限,但备份系统每周六凌晨3点自动全量备份至磁带库,磁带库在b1层档案室,物理访问需门禁卡+值班员签字。值班员老陈,周六上午9点换班,喜欢抽红塔山。”
路容盯着这段话。
老吴连这个都写下来了。磁带库的物理位置、访问流程、值班员的喜好。这意味着什么?意味着老吴认为她可能需要去那里,意味着那些日志里可能有她需要的东西。
她关闭文档,深吸一口气。
第三个文档:“事件摘要_2019q4_数据泄露”。
文档只有一页,内容很简洁,像是一份内部调查报告的摘要。路容点开,目光扫过第一行字:
“事件时间:2019年11月15日-11月20日”
“涉及部门:市场部、技术部”
“泄露数据类型:客户资料样本(脱敏后)约5000条”
“初步调查结论:外部攻击,通过钓鱼邮件获取员工账号,已封堵漏洞”
“处理措施:涉事员工书面警告,加强安全培训,事件未对外公开”
路容的眉头皱了起来。
2019年第四季度,星耀集团发生过数据泄露事件。客户资料,五千条,脱敏后的样本。调查结论是外部攻击,处理措施是警告员工、加强培训。看起来像是一次普通的安全事件,很多公司都会遇到。
但路容读第二遍时,发现了问题。
“涉事员工”这个表述很模糊。是哪个员工?市场部的还是技术部的?男的女的?什么职位?为什么没有具体名字?
“书面警告”这个处理也很轻。数据泄露,哪怕是脱敏后的样本,按照星耀集团的安全规范,至少应该是记过处分,严重的可能开除。为什么只是书面警告?
“事件未对外公开”——这倒正常,公司都会尽量掩盖负面消息。
但让路容真正在意的是最后一段,那是一段手写的补充,字迹有些潦草,像是后来加上的:
“当时负责调查的是李副总(现任李剑副总裁),结论出得很快,三天就定了性。技术部的小王坚持说内部有嫌疑,被调去边缘项目。市场部那个被警告的员工,三个月后离职,去了竞争对手那里。现在想想,那五千条‘脱敏’数据,后来好像出现在某个数据交易平台的样本库里,标签是‘星耀真实客户画像(部分脱敏)’。”
路容盯着这段话,血液在耳膜里鼓噪。
处理方式。
太眼熟了。
快速定性,把责任推给外部攻击或某个替罪羊,涉事人员要么被边缘化,要么被迫离职,事件被压下去,数据最终流向黑市。三年前天启科技的那次“泄密事件”,李剑用的就是这套手法。只不过那次更狠,直接把她这个拒绝潜规则的技术骨干打成“内鬼”,让她身败名裂。
现在,老吴给了她另一个案例。
2019年,星耀集团内部,李剑还是副总的时候。同样的手法,同样的套路。这意味着什么?意味着李剑不是第一次干这种事,意味着他有成熟的运作模式,意味着……
路容关闭文档,手指有些发凉。
她点开第四个文档,但里面是空的,只有一个文件名:“待补充”。她关掉,然后点开最后一个文件——那张图片。
图片文件名:“便签_照片_001”。
文件打开,是一张照片,拍得有些模糊,但能看清内容。
照片里是一张黄色的便签纸,贴在某个会议记录本的边缘,已经被撕下来一半。便签上的字是手写的蓝色圆珠笔字迹,行书,有些连笔,但能辨认:
“深蓝计划二期数据出口方案,合规性存疑。法务部赵律师已介入梳理,建议暂缓对外传输,待风险评估完成。技术部需配合提供原始数据样本及加密协议细节。”
便签的右下角有打印的会议日期:“2023.08.15”,还有参会人员列表的缩印,字太小,看不清楚。
路容把图片放大。
便签纸的边缘有些卷曲,上面有咖啡渍的痕迹,已经干涸成褐色的斑点。纸张的纹理在照片里清晰可见,能看出是那种廉价的便利贴,背面有胶,但已经失去粘性。
她的目光落在文字上。
“深蓝计划二期数据出口方案,合规性存疑。”
这句话很关键。深蓝计划的数