胡军点头：“一旦判定为可疑，立即启动物理追踪，调取监控、门禁日志、食堂消费记录，形成闭环证据链。”

推演开始。

虚拟账户“陈宇”上线，首次操作是在晚上十一点四十七分，登录历史数据库，执行一次标准归档任务，耗时三分十八秒，完全合规。

“第一次没问题。”林娜记录。

第二次，三天后，凌晨一点零二分，同一账户访问日志审计模块，查看自身操作记录，停留一分钟，退出。

“查自己有没有被标记？”赵宇皱眉，“这是试探系统反应。”

“分数+1。”张涛在模型中调整参数。

第三次，十天后，下午三点十五分，该账户在完成归档任务后，突然跳转至财务系统后台，停留四十七秒，未做任何修改，仅浏览页面结构。

“他在摸系统布局。”马亮说，“不是为了拿数据，是为了熟悉环境。”

“分数+2，触发黄色预警。”张涛确认。

第四次，一个月后，夜间十二点三十九分，账户通过移动端登录，访问人事档案库，查看两名离职员工的信息，停留两分零三秒。

“移动端操作更难监控。”赵宇提醒，“而且选择离职人员信息，不会触发敏感数据警报。”

小主，

“但他没理由查这个。”林娜指出，“他的工作和人事无关。”

“分数+3，进入橙色区间。”张涛更新模型。

第五次，又隔两周，上午九点零八分，账户在正常办公时间登录，但在操作过程中，连续三次跳转不同系统，每次停留不超过二十秒，路径毫无逻辑。

“这不是工作流。”赵宇摇头，“这是测试响应速度。”

“人在演。”张涛下结论，“动作太刻意，反而暴露了目的。”

“分数+4，触发红色预警。”张涛按下确认键。

第六次，推演最后阶段，账户在合同到期前一天，深夜十一点五十六分，最后一次登录，上传一个小型加密文件至临时存储区，文件大小仅三十七KB，命名规则符合公司标准。

“上传行为合规。”林娜说，“文件类型也正常。”