。
这些访问的IP段不属于财政局内部网络,而是来自几个不同的外部公共网络IP,但访问的终端标识码却有着高度相似性,像是同一台设备在不同时间切换了网络。
更让人起疑的是,这些访问请求的目标,并非业务查询前端,而是指向几个系统后台的管理接口试探。
虽然这些试探都被系统的防火墙拦截了,并未成功,但这种行为本身极不正常。
谁会在深夜频繁用外部网络尝试接触系统后台,
是外部黑客…还是内部有人用这种方式混淆视听…
林逸立刻将这些异常IP和时间段记录下来,发给了老吴,附言:
“紧急排查这些IP的源头,以及该时段内局内是否有对应人员加班记录。保密…”
处理完这件事,他才打开老吴发来的新日志规则方案。
方案很详细,增加了访问设备硬件信息加密绑定、操作行为低粒度记录等功能,能更有效地追踪和识别异常操作。
林逸批复:
“同意,立即秘密部署,原有日志系统暂保持不变。”
他需要让刘副局长以为他拿到的日志还是“原汁原味”的,以免打草惊蛇。