「嘿,我辛苦什麼?你們當領導的才最辛苦!我每天下班走的時候,見你辦公室的燈總是亮著的。哎,我說領導,那起MC的報錯,傑克都跟你說了?」老黃問道,雙眉緊鎖。
「是的,我聽他一說,就趕緊來了。」那劍回答。
老黃搖了搖頭,嘬了下牙花兒:「我剛又細查了一下,案情有了些新進展,看起來問題不單單出在考勤服務器上。」
「哦?」
「走,咱們進去,我詳細給你演示。」
一名警衛幫他們劃開玻璃大門,三人繞過前台玄關走了進去。玄關射燈下赫然標示:NetworkecurityDepartment(網絡保安部)。
「那總!那總!」值守在安全監控中心MC大屏幕下的馬龍與張豹見到那劍紛紛起身致意。作為網絡保安部的工程師,馬龍負責防火牆的日常維護,張豹則專攻入侵檢測系統。
那劍衝他們笑了笑,詢問張豹:「感冒好些了吧?」
「見好,燒早退了,今年真夠冷的!」
ND辦公區寬敞明亮。金屬地磚鋪地,黑色網格吊頂,員工工位採用螢光材質隔板相隔,銀色飾條裝飾,現代動感十足。放眼望去,大廳內大大小小各自閃爍的硬件設備不計其數,正前方為一面寬大的顯示牆,兩側各設輔助小屏,所有集團內部網絡狀況均在上面實時顯示。每每那劍來到十一層,都會有一種莫名的自豪感,這畢竟是他從幾台電腦外加一台百兆防火牆逐步發展到今時今日這步田地的,ND對他來講,如同親生孩子,很是值得驕傲。
網絡保安部成立於2003年,由那劍一手創建。2003年「非典」的傳播,促使人們更加依賴互聯網絡實現異地溝通。無紙化辦公逐步地改變著以往的工作習慣。國內眾多的老牌國企紛紛面臨著與國際接軌,轉向電子商務應用平台的過渡局面。華夏製藥首當其衝,於同年正式上馬能夠連通全國範圍內各個分支機構的網絡系統,全面實現產、供、銷一體化的電子商務應用平台。各省市的分支機構通過互聯網絡訪問位於北京總部的集團服務器,做到信息資源的零距離共享。好比遠在青海偏遠山區的藥廠,都可實時訪問集團配方服務器中的配方數據,開啟生產作業。網絡系統的全面鋪開,勢必需要安全防護,當時剛任總裁的關子峰,高薪聘請相識多年的那劍擔任集團公司的首席安全官,全權掌管華夏製藥的集團網絡,並著手組建網絡保安團隊。成立之初,僅黃一行、董曉玲二人,而後逐步發展至目前擁有二十幾人的豪華陣容。所有成員皆是來自知名理工院校的博士、碩士,以及多年工作在網安一線的資深工程師。
老黃沖馬龍張豹一努嘴:「麻煩你們兩個,把手裡的活兒先停一停。」
「好的,黃工。」值守在MC主控台上的二員迅速離位。
總裁關子峰有話,華夏製藥網保部三大台柱子,那劍、老黃與李闖。現在的辦公一切依賴於網絡,只要這三根台柱不倒,我華夏製藥的網絡系統即可高枕無憂了。老黃作為網絡保安部的總工程師,在此兢兢業業地服役已有六年,其政審材料上是這樣記錄的:黃一行,男,1960年生人,畢業於中國科技大學網絡安全系,博士學位,技術強項為信息系統綜合分析。25年計算機行業從業經驗,15年網絡安全一線實戰經驗。曾任某證券公司網絡部總工程師,於2003年協助警方偵破盜用「銀廣夏」證券交易密碼大案。就職網絡保安部6年以來,成功抵禦來自外部互聯網絡的入侵行為大大小小三十餘起。其網絡排查分析能力極強,2006年生產部門某員工在門戶網站論壇上大肆張貼詆毀集團公司的帖子、發佈鼓動職工罷工的訊息,黃一行作為調查小組骨幹,經過細緻分析,一舉將不法員工查獲。2007年財務部門成功起獲的某員工挪用公款事件,更是通過其縝密的網絡痕跡排查而偵破的,其加入網絡保安部經過集團高層以及機要部門的一致審核。原籍安徽巢湖,第二代北京常住人口,妻子在新聞報業工作,文字編輯;女兒就讀於北京科技大學,生物工程系。
老黃在大屏幕上調出MC全程監控拓撲圖。
「今天上午我和傑克做每週一次的例行排查,發現MC記錄了一起錯誤訪問日誌。該日誌指出,有一台源自集團內部網絡的終端於上週二夜間兩點訪問過用於存放集團公司機密數據的配方服務器。我們先驗證了該台終端訪問身份的真實性與合法性,甄別為集團內部的IP地址,其訪問身份、訪問權限全部合法。正常情況下看起來,絕對是一次再普通不過的深夜到單位加班行為,但是報錯何來?繼而我們驗證MC記錄的事件源頭,發現報錯是來自考勤服務器。」
緊接著,老黃在屏幕上調出考勤服務器的示意圖。
「那總您清楚,咱們集團員工每週的考勤記錄,都是由各個部門的行政主管集中匯總並於次周上傳至考勤服務器的,集團的財務部門與人事部門聯動共享,才可進行工資核算與績效考核。MC正是通過對比今天上午剛剛收到的數據,發現不存在該名員工深夜到單位來加班這一事件,從而形成這起錯誤訪問日誌的。考慮到涉及配方服務器,我就讓傑克藉著送年終報告的茬兒上去跟您匯報一下。」
那劍插肩望著MC主屏問道:「會不會是考勤服務器出錯了?」
老黃端起大茶缸喝了一口,回答:「嘿,咱倆想的一樣!傑克上樓之後,我繼續做排查工作。首先檢查的就是考勤服務器,看看是不是存在什麼問題。聯機檢查沒有,手動檢查也沒有,考勤服務器運行正常。一根線拴著兩端,一頭兒是機器,那另一頭兒就是人了,考勤服務器既然沒有問題,那只能從訪問者身上入手。我想,會不會是該名員工的職工ID卡消磁或者受損了?二次查考勤記錄,發現該ID從夜訪日的第二天一直到今天,門禁系統依然在正常讀取著他的信息。那麼問題便浮出水面,他不通過ID卡核准身份開啟大廈裡的各道大門,又是通過什麼途徑進辦公室的呢?難道是蜘蛛俠現身不成?」
老黃很是幽默,平日總喜歡逗網保部的小年輕兒們尋開心,在ND工作,大多精神高度集中,時間久了難免疲憊,有老黃言語上的調劑,員工們的弦兒也不至於繃得太緊。
李闖笑道:「哈哈,黃工,您以為是好萊塢大片呢,高空飛簷走壁,順窗而入。咱們大廈要是深夜真來了蜘蛛俠,那可叫熱鬧了!」
那劍也笑了笑:「呵呵,涉及到集團保衛部的安防系統,咱們部門不好插手。老於在上海出差,等他回來我叫他去保衛部查一查,看看是不是門禁系統出了問題。」
老黃接著匯報,面色嚴肅起來:「說說訪問內容吧,我直覺不太樂觀。該名員工在線瀏覽了配方服務器中的部分數據,共14條配方,都是市場上常用的成藥與制劑。此外,校驗配方服務器中全部數據的時間軸發現,有一條新近研製的配方,數據信息他竟然還修改過,具體在什麼地方做了改動,咱們不是研發部門人員無從去查證。再者,用於存放機密數據HN抗神的核心層,我由於權限的問題,也無從去查證。有一點我得指出,MC聯動的防拷貝系統報告,那14條配方數據在訪問的同一時間有過一次拷貝行為,但具體是不是就是該名員工拷走的,我們得到他終端上去取證,才能完全確認。至於取證調查工作,還得得到您的授權才行,畢竟是進入集團公司員工的辦公終端,您看……」
「沒問題!我即刻授權。」那劍伸過手去。
老黃二話不說就遞過去腋下的平板電腦,那劍在觸摸屏上簽下名字,首席安全官的電子簽名即刻同步到MC,激活老黃在那劍未到網保部之前就擬好的案件調查程序。
那劍邊簽名邊叮囑:「傑克黃工,此次的調查工作你們仍要本著咱們部門的一貫宗旨,網絡上的事兒,能在網絡上解決的就在網絡上解決,盡量不要去打擾當事人。」
「明白!」老黃回答。
「明白!在證據未確鑿之前,我們一定不去打擾當事人的正常工作。」李闖回答。
「最後談談我剛在電梯間那兒提到的案情新進展吧,這個剛發現的漏洞著實令人更不樂觀。」老黃眉頭緊鎖。
「哦?」那劍顯出一絲驚愕。
「我就是本著盡量去排除當事人的想法接連查證時才發現的,沒想到這一查,更對當事人有了深入看法。我當時想,會不會是內網裡有什麼可疑程序在作祟?冒充該名員工的身份在惡意訪問?」
「對呀,黃工,有這可能,以前咱們不就逮到過一條傀儡蠕蟲嗎?」李闖馬上補充。
去年李闖在內網裡捉到過一條能夠模擬員工身份的蠕蟲,該蠕蟲還算是良性,傳進來的源頭無從驗證了,但是其攻擊能力著實不低,且不說能自我複製的基本特性,最要命的就是它趴在內網的任意角落裡,能夠隨機記錄若干網內終端用戶的身份,冒充著傀儡員工的名義在各部門之間肆意互發病毒郵件,並且在MN、QQ等等聊天工具上留言病毒鏈接,極其令人討厭。李闖帶著小年輕兒們拿著掃瞄器在內網裡掃了一整天才將它徹底清除乾淨。
「呵呵,是!我就怕是那種蠕蟲作祟。為了確保萬無一失,索性我讓馬龍張豹做了整體網絡篩查,犄角旮旯都查遍了!逐一掃瞄可疑程序。一查防毒牆,咱們集團的防毒牆基本上實時從賽門鐵克服務器上同步更新,互聯網中最新的病毒樣本防治疫苗咱們都有,未見異常。二查防火牆,未見嚴重攻擊日誌,現在就是再笨的黑客,也不會用強攻的手段直切防火牆進來惡意施種可疑程序。三查漏洞掃瞄系統,掃瞄了整個主幹網絡與分支網絡,未見一丁點兒可疑漏洞。四查入侵檢測系統,網絡入侵檢測系統與防火牆聯動,也是未見任何異常,如果是黑客入侵,網絡入侵檢測系統在什麼位置如果不存在內應,根本就不可能知情,進來立馬就抓個現行,通報到MC緊急預警。問題出現在主機入侵檢測系統上。」
入侵檢測系統分散在內網的各個角落,猶如黑夜中長明路燈,映照著燈傘下的一切活動。
「什麼問題?黃工!」李闖焦急地問。
「什麼問題?嘿嘿,」老黃連連搖頭,「什麼問題都沒有!你們都知道,咱們基於配方服務器旁路的主機入侵檢測系統的防護策略是全部響應的,也就是說,針對配方服務器的訪問行為,甭管是上班時間還是下班時間、正常的非正常的,全部無一例外記錄在案。按道理說,該名員工的夜訪行為應該排列在主機入侵檢測系統的檢測日誌中才對,但是我剛才反覆查證了,什麼都沒有!」
「我的天……」李闖有些瞠目結舌。
三人沉了一下。
那劍思索片刻,問道:「黃工,您的意思是說,該名員工在夜訪過程中,有主動掩蓋訪問事實的意願?」
「是的!要不是MC交叉核對考勤服務器,記錄此次錯誤訪問日誌,估計咱們決計查不出來!」
那劍望一眼手錶,佈置後續工作:「黃工,我得去開會了。您儘管往下查,遠程控制該名員工的辦公終端,必要時可用數據恢復手段。傑克,你來配合!」
「是!」
「是!」