凌晨两点半,档案馆数据室灯全亮。
所有非必要设备被断网,核心服务器切到本地隔离模式。韩齐把异常连接日志投在墙上,最醒目的一行是:
cert_id:archive_legacy_ca_17
“这是我们十年前的旧证书链。”韩齐说,“按理早该吊销。”
周屿皱眉:“按理?”
韩齐苦笑:“系统迁移分两批做,旧档案节点一直挂在灰区。理论上‘不用’,实际上‘没彻底关’。”
林岚问:“谁有权访问旧链?”
“历史上只有三类人:旧归档管理员、迁移维护员、应急审计员。”
“名单给我。”
名单很快拉出来,共十二人,其中七人已离职,两人退休,三人在岗。三名在岗人员里,有一个名字让会议室瞬间安静:
韩齐。
周屿眼神瞬间锐起来。
韩齐自己也愣住了:“我没碰过旧链,我权限是自动继承的。”
周屿声音很冷:“继承不等于没用过。”
林岚抬手压住现场情绪:“先看证据,不做口头定性。”
她让韩齐把连接行为拆成时间轴。时间轴显示:异常连接在2:13:42建立,持续22秒,刚好覆盖2:14窗口前后。
“连接发了什么?”陆沉舟问。
韩齐调出数据包摘要,里面只有一条加密载荷,标题是:
route_hint_update
“路径提示更新?”林岚皱眉,“像系统正常任务。”
“但投递目标是外部节点,不是内部。”韩齐说。
这说明对方不是粗暴入侵,而是把恶意投喂伪装成系统维护任务,通过旧链合法外发。
周屿看着韩齐:“这条任务谁能发?”
“理论上,旧链管理员。”
“现在管理员是谁?”
韩齐声音更低:“系统登记是我。”
空气一下压住了。周屿没说话,直接向门口维持组做了个手势。两名维持组成员进来,站到韩齐左右。
韩齐脸色发白:“你们怀疑我?”
周屿答得很直:“我怀疑所有在权限链上的人,包括你。”
林岚没有阻止,只补了一句:
“这是流程隔离,不是定罪。你先交设备,暂离核心操作位。”
韩齐慢慢摘下工牌和密钥卡,放到桌上。他离开前看了陆沉舟一眼,嘴唇动了动,最终没说什么。
凌晨三点,临时审计开始。林岚带队查韩齐近三个月操作日志,陆沉舟负责辅助交叉比对。
越查越奇怪。
韩齐的本机日志干净得近乎“教科书级”,所有高危操作都有审批、有回执、时间线完整。干净本身反而可疑——真实工作环境里,几乎不可能一点边角噪点都没有。
“像被人提前打扫过。”陆沉舟说。
林岚点头:“而且打扫得很专业。”
四点十分,陆沉舟在旧审计库里找到一条被标记为“已归档”的异常记录。记录时间是两周前,内容是“旧证书链手工续期测试”,操作终端ID对应韩齐工位,但操作者签名字段是空的。
“空签名怎么过审的?”陆沉舟问。
林岚盯着记录,脸色慢慢变冷:“因为那天审计员值班是我。”
“你批的?”
“系统显示是我批的。”
可那天夜里林岚在外场,根本不在馆内。
第一次反转的第二层浮出来了:不只是旧证书泄露,而是有人能伪造内部审批链,把操作“合法化”。
周屿听完汇报后,给出硬措施:
三名在岗旧链权限人全部隔离审查
旧链全量吊销,临时新链重签
所有审批改为“双人现场签认”
外部观察员问:“如果这样会拖慢行动?”
周屿冷冷回:“慢一点,比被人拿着我们证书喂门强。”
天亮前,韩齐申请了一次单独陈述。
“你们可以隔离我。”他对林岚说,“但有件事必须马上查:两周前那次‘手工续期测试’,我当天电脑蓝屏重启过一次。重启后系统时间快了九分钟,我以为是NTP漂移,没上报。”
“九分钟?”陆沉舟心里一跳。
2:14窗口前的关键动作,通常都在几分钟尺度内完成。九分钟足够做一次隐蔽续期、一次证书复制、一次远程投递演练。
林岚问:“你还能提供什么?”
韩齐想了想:“蓝屏前我收到过一条内部工单,标题是‘老库兼容补丁’,发件人显示‘系统维护组-程复’。”
周屿翻在岗名单,系统维护组里确实有“程复”,但职位显示三个月前已调离,账号应当冻结。
“账号状态呢?”林岚问。
陆沉舟查完,抬头:
“账号没冻结。而且昨晚2:13,它刚在旧链里完成过一次登录。”
周屿眼神一沉:“这不是内鬼一个点,是一条还在跑的老通道。”
林岚立刻下令:
“追程复,冻结全域旧工单入口。另外,把‘韩齐内鬼’这条结论撤回,改为‘权限链被借壳’。”
周屿点头,第一次当着韩齐面说了句:
“先委屈你,后面我给你个交代。”
韩齐苦笑:“先把门按住,交代以后再说。”
----------------------------------------
