“由于信息傳輸盡量做到從內向外走,減少從外向里走的情況。因此���,互聯網病毒發生的可能性很小�,歷屆奧運會IT系統也沒有出現重大的病毒事件���。”——源訊
北京2008年奧運會的腳步越來越近�,在余下不到300天的時間里,奧運IT系統總集成商源訊公司的員工正處于緊鑼密鼓�����、按部就班的備戰狀態��。由于IT控制著奧運會計時計分、信息發布系統以及整個運動會管理的命脈�����,對安全性的要求十分突出����。在接受CNET科技資訊網采訪時,源訊北京2008奧運會IT安全經理Vladan Todorovic說:“我們必須保證IT系統的高可用性��,保證比賽成績的數據不被篡改����。比賽成績除了同時顯示在計分牌上以外,還要傳送到其他的信息發布系統里面��,如相關網站�、媒體中心等。”
圖:源訊北京2008奧運會信息技術安全經理Vladan Todorovic
“沒有第二次機會”
奧運會項目除了具備實時��、復雜的特點外�����,由于整合了大量資源并動用了相當多的志愿者�����,“這是一個很重要的特點”,奧運IT安全的首要目標便是保證高可用性和高機密性���。”
Vladan Todorovic說:比賽時間是固定的�,我們必須在奧運會開幕時,把所有的系統都準備好。沒有第二次機會����。
實際上�����,在各屆奧運會上��,其IT系統的沿用度相對較高,在IT安全體系的建設上也同樣如此����。在奧運會期間主要將運行三大系統:計時計分系統��、信息發布系統(IDS),以及運動會管理系統(GMS)���。針對這些系統,源訊公司采用了五個步驟�����、以循環往復的方法來排除IT威脅���。
Vladan 介紹到:第一步要分析業務需求�,分析什么是正常的行為,并對系統重要性進行分級,有針對地定義各個系統安全的措施��,以對系統實施情況進行度量��。第二步對業務進行分析���,分析系統哪些地方可能出現漏洞�,制定相應的實時保護措施����。第三步是系統建設���、實施�����,先設計整個信息安全的系統框架����,然后實施安全控制措施�����,并建立系統的監控措施�。第四步是對建設好的信息安全體系進行測試���,例如系統反應時間�����,并監測一些非正常的行為��。第五步,測試完成之后,要對結果進行分析�,包括系統存在的漏洞�,以及導致這些漏洞的行為�,等等。
Vladan 稱,第一輪循環之后,還要進行第二輪的分析�����、實施���、測試和結果分析�,再不斷地循環進行��,以使系統達到最佳效果��。
將病毒拒之門外
奧運IT系統相對封閉,這使得絕大多數的IT安全風險來自內部而不是外部互聯網�����。Vladan表示,系統在設計時便已經盡量減少各方面攻擊的可能性�����,比賽網跟外部互聯網的連接非常少(只有少量比如天氣預報等信息進來)��,并且控制嚴格�����,除此之外就完全是一個封閉的系統了,跟合作伙伴的信息交互同樣非常嚴格����。“內外連接采用了雙層結構����,要發生攻擊的話���,必須穿過兩層防火墻���,而防火墻只有極少量端口是打開的���,要穿過這兩層非常難��。”
“由于信息傳輸盡量做到從內向外走,減少從外向里走的情況�����。因此�����,互聯網病毒發生的可能性很小���,歷屆奧運會IT系統也沒有出現重大的病毒事件�。”
此外�����,據介紹����,筆記本電腦和USB裝備的使用受到嚴格監控��,即便允許接入內部網絡的筆記本�,也必須接受嚴格的實時安全檢查�。
但這并不是說病毒就完全不是奧運IT的威脅,Vladan說:“病毒破壞性實在太強了�����,所以我們盡量減小它發生的可能性�。”
為1%的潛在疏漏做準備
以都靈冬奧會為例,據源訊公司介紹����,17天比賽時間內,產生了5千多萬條過濾后的信息;對此進行關聯分析之后�����,大概有57萬多個關聯信息���;再對它進行進一步的智能處理�����,大概會有15萬條報警信息���;進一步處理之后��,剩下185個是值得我們關注的信息�����,就是升級的報警信息;綜合分析之后�����,產生了需要處理的有49個安全事件����;進行最終的處理之后,這些威脅信息對系統運行沒有帶來任何影響�����。
這49個安全事件主要集中兩種�,最常見的便是端口管理的威脅����,“因為總是有些人,志愿者或者媒體企圖利用自己的筆記本接入到奧運網絡里面�,但當他一接入端口就被禁掉了�。”第二類就是非法企圖用管理人員帳號登陸�����,因為人員比較多����,很多志愿者和合作伙伴�����,他們企圖以管理員的帳號登陸�����,但一般不太可能猜到這個密碼,如果報警信息超過三次,系統就會記錄下來。
Vladan 認為,所有的系統都不能保證做到百分之百的安全��,“我們需要根據不同的系統采用不同的措施����,盡量減小風險。”
“人人都可能犯錯”
而在對IT管理人員的管理方面�,Vladan說:“當然���,安全人員不是萬能的����,很多工作我們也無法進行��。為了防范內部帶來的問題,整個系統從最開始就把每一個人員的角色和權限進行詳細定義���,每個人員都有自己的工作崗位,這個崗位能夠訪問哪些系統都已經定義好了���,一旦某個人員越權,系統馬上就會報警�。另一方面����,因為人都會犯錯���,我們很多流程都采用電腦自動運行的措施�,大部分流程自動處理,減少人員誤操作的可能性��。”
據了解�,往屆奧運IT項目采用的是Windows 2000操作系統,而現在采用Windows XP 和Windows Server 2003 ���,Vladan 說:“操作系統有進步��,應用系統也有改變,現在錯誤的可能性已經較小����。”
