對(duì)于北京2008年奧運(yùn)會(huì)的IT系統(tǒng)安全而言,工作人員只有幾秒鐘的反應(yīng)時(shí)間,而且沒(méi)有第二次機(jī)會(huì).
“奧運(yùn)門票第二階段預(yù)售首日預(yù)訂熱情空前高漲,網(wǎng)站瞬間訪問(wèn)量達(dá)八百萬(wàn)次,因技術(shù)原因暫停銷售,票務(wù)中心向公眾道歉,五日后公布新辦法.”10月31日,北京奧運(yùn)會(huì)官方票務(wù)網(wǎng)站貼出了如此公告.
30日上午9時(shí)至10時(shí),票務(wù)網(wǎng)站瀏覽量達(dá)到800萬(wàn)次,呼叫中心呼入量超過(guò)380萬(wàn)次,由于瞬間訪問(wèn)量過(guò)大,技術(shù)系統(tǒng)出現(xiàn)應(yīng)對(duì)不暢.試想,如果在奧運(yùn)會(huì)比賽期間,相關(guān)的IT系統(tǒng)還出現(xiàn)應(yīng)對(duì)不暢,民眾還接受事后的道歉公告么?
“對(duì)于奧運(yùn)會(huì)IT系統(tǒng)的安全,我們只有幾秒鐘的反應(yīng)時(shí)間,而且,我們沒(méi)有第二次機(jī)會(huì).”奧運(yùn)會(huì)技術(shù)合作伙伴源訊公司負(fù)責(zé)信息安全的經(jīng)理Vladan Todorovic表示.
奧運(yùn)IT集成實(shí)驗(yàn)室
一天夜里,一位志愿者偷偷地在一個(gè)比賽場(chǎng)館內(nèi)登陸了奧運(yùn)會(huì)辦公網(wǎng)絡(luò),并發(fā)動(dòng)了針對(duì)辦公網(wǎng)絡(luò)的攻擊.同一時(shí)間,IT系統(tǒng)發(fā)出報(bào)警信息,監(jiān)控人員立即定位所在場(chǎng)館并通知保安人員.三分鐘后,攻擊發(fā)動(dòng)者被抓獲.
令人恐怖的是,這位攻擊者宣稱,他還有很多伙伴,會(huì)在不同的場(chǎng)館終端對(duì)系統(tǒng)進(jìn)行攻擊.警察和系統(tǒng)安全人員立即分析出與之相關(guān)的98個(gè)可疑人員,把他們?cè)谙到y(tǒng)任何終端產(chǎn)生的任何信息調(diào)整為最高優(yōu)先級(jí),第一時(shí)間監(jiān)控并阻止可能的攻擊,最終沒(méi)有造成任何影響.
這是發(fā)生在2006年意大利都靈冬奧會(huì)上的重要安全事件.作為當(dāng)時(shí)負(fù)責(zé)奧運(yùn)會(huì)IT系統(tǒng)安全的經(jīng)理,Vladan對(duì)此記憶猶新.如今,他又要擔(dān)負(fù)起北京2008奧運(yùn)會(huì)IT系統(tǒng)的安全責(zé)任.
在北京2008奧運(yùn)會(huì)期間,有28個(gè)體育大項(xiàng),302個(gè)運(yùn)動(dòng)小項(xiàng),70多個(gè)競(jìng)賽和非競(jìng)賽場(chǎng)館,大概有10000多名運(yùn)動(dòng)員和20000多名媒體記者,230000名包括媒體����、工作人員和運(yùn)動(dòng)員在內(nèi)的注冊(cè)人員.IT系統(tǒng)方面,有4000名IT技術(shù)人員,超過(guò)10000臺(tái)PC機(jī),1000多臺(tái)服務(wù)器和1000多臺(tái)網(wǎng)絡(luò)設(shè)備.所有這些系統(tǒng)都需要進(jìn)行信息安全維護(hù).
跟著“定義”走
奧運(yùn)會(huì)主要有三大系統(tǒng):計(jì)時(shí)計(jì)分系統(tǒng),負(fù)責(zé)實(shí)時(shí)地把比賽成績(jī)記錄下來(lái),傳送到計(jì)算機(jī)里并顯示在計(jì)分牌上;信息發(fā)布系統(tǒng),負(fù)責(zé)把信息發(fā)布到網(wǎng)站��、媒體中心以及國(guó)際廣播中心,以及部分發(fā)送到非北京地區(qū)的遠(yuǎn)程終端;運(yùn)動(dòng)員管理系統(tǒng),負(fù)責(zé)對(duì)奧運(yùn)會(huì)的一些資源進(jìn)行分類和管理,包括參賽人員的制證系統(tǒng)、工作人員管理系統(tǒng)和交通系統(tǒng)等.
從信息安全角度而言,前兩者最重要的,是保證系統(tǒng)的高可用性和數(shù)據(jù)不被篡改,后者最重要的,是保證數(shù)據(jù)不被篡改的同時(shí)保證信息的機(jī)密性.
為此,在奧運(yùn)比賽網(wǎng)內(nèi),有超過(guò)200個(gè)系統(tǒng)采取了明確的“定義”措施.每一套系統(tǒng),需要采用什么樣的工作站�����、硬件�、軟件、操作系統(tǒng)�、基礎(chǔ)設(shè)置以及有可能具有的一些漏洞,統(tǒng)統(tǒng)都被定義出來(lái).通過(guò)這些系統(tǒng)配置標(biāo)準(zhǔn)化設(shè)置之后,所有的系統(tǒng)都是標(biāo)準(zhǔn)化的,便于安全的維護(hù)和加固.
如果有臺(tái)機(jī)器需要加裝一個(gè)軟件,工作人員是無(wú)法自行隨意添加的,必須發(fā)出一個(gè)更改申請(qǐng),經(jīng)過(guò)批準(zhǔn)后才可以被執(zhí)行.因?yàn)樗械南到y(tǒng)都是如此標(biāo)準(zhǔn)化的配置,所以在基礎(chǔ)層面就可以減少安全風(fēng)險(xiǎn)的可能性.
此外,每一個(gè)系統(tǒng)訪問(wèn)人員的權(quán)限也會(huì)被一一定義.遠(yuǎn)程的還是本地的、可讀的還是執(zhí)行的�����、訪問(wèn)的資源等都有明確的劃分.也就是說(shuō),每一個(gè)工作人員的工作崗位,能夠訪問(wèn)哪些系統(tǒng)�����、執(zhí)行哪些操作都被定義好了.
有人會(huì)問(wèn),這對(duì)低端人員的安全防護(hù)是有效的,但對(duì)于內(nèi)部高級(jí)人員的安全防護(hù)如何保證呢?Vladan介紹說(shuō),高級(jí)人員其實(shí)主要能訪問(wèn)安全系統(tǒng),對(duì)于應(yīng)用系統(tǒng)也是無(wú)法訪問(wèn)的.比如核心的信息發(fā)布系統(tǒng),內(nèi)部高級(jí)人員也無(wú)法訪問(wèn).
預(yù)想可能的風(fēng)險(xiǎn)
在系統(tǒng)的軟硬件標(biāo)準(zhǔn)化以及訪問(wèn)權(quán)限逐一被定義后,安全人員對(duì)網(wǎng)絡(luò)流量進(jìn)行正常的分析,根據(jù)目的地址��、采用的網(wǎng)絡(luò)協(xié)議等定義出正常的標(biāo)準(zhǔn)化需求,最后生成正常行為的定義.
在正常行為的定義基礎(chǔ)上,任何異樣的狀況或情景都會(huì)被作為安全風(fēng)險(xiǎn)進(jìn)行評(píng)估,這就是風(fēng)險(xiǎn)場(chǎng)景分析.風(fēng)險(xiǎn)場(chǎng)景分析遵循的原則是“What-How-What for”,也就是風(fēng)險(xiǎn)是什么���、可能產(chǎn)生怎樣的攻擊�、產(chǎn)生攻擊所采用的方式是什么���、攻擊的目的是什么.
以INFO Sever遭受拒絕服務(wù)攻擊的場(chǎng)景為例,INFO是提供所有比賽信息的系統(tǒng),如果某個(gè)終端有臺(tái)筆記本插入INFO網(wǎng)絡(luò),對(duì)INFO Sever進(jìn)行拒絕服務(wù)攻擊.安全人員會(huì)對(duì)此風(fēng)險(xiǎn)場(chǎng)景定義出兩方面的風(fēng)險(xiǎn):一個(gè)是攻擊對(duì)業(yè)務(wù)的破壞力有多大,一個(gè)是風(fēng)險(xiǎn)發(fā)生的可能性有多大.根據(jù)源訊以往建設(shè)奧運(yùn)IT系統(tǒng)的經(jīng)驗(yàn),這種攻擊的安全后果非常嚴(yán)重,發(fā)生的可能性也非常高,所以,這個(gè)風(fēng)險(xiǎn)場(chǎng)景最終被定義為9級(jí),屬于高等級(jí)風(fēng)險(xiǎn).
奧運(yùn)會(huì)集成實(shí)驗(yàn)室
事實(shí)上,偌大的一個(gè)奧運(yùn)會(huì)IT系統(tǒng),安全風(fēng)險(xiǎn)應(yīng)該說(shuō)是無(wú)處不在.如何保證每一個(gè)可能的風(fēng)險(xiǎn)場(chǎng)景以及每一種可能的攻擊種類被定義出來(lái),是維護(hù)整個(gè)奧運(yùn)會(huì)IT系統(tǒng)安全的重要問(wèn)題.
Vladan介紹說(shuō),對(duì)于風(fēng)險(xiǎn)場(chǎng)景的定義,首先是根據(jù)以往比賽過(guò)程中的實(shí)際經(jīng)驗(yàn),哪些系統(tǒng)發(fā)生故障�、遭受攻擊的可能性比較大,源訊已有豐富的積累;其次會(huì)有一些外部安全專家的參與,根據(jù)安全方面的專業(yè)經(jīng)驗(yàn)給予建議.
最后就是各種測(cè)試.為了增強(qiáng)奧運(yùn)IT系統(tǒng)的安全防護(hù),源訊不僅由內(nèi)部人員進(jìn)行系統(tǒng)測(cè)試,還會(huì)邀請(qǐng)外部第三方人員測(cè)試.由于外部人員與內(nèi)部人員對(duì)于系統(tǒng)的了解不一樣,第三方人員的安全測(cè)試可能會(huì)發(fā)現(xiàn)一些沒(méi)有被注意的漏洞,然后會(huì)針對(duì)性的逐一加固.
雙重保險(xiǎn) 只出不進(jìn)
事實(shí)上,奧運(yùn)會(huì)的IT系統(tǒng)除了信息中心的核心系統(tǒng)外,外圍還有各種合作伙伴提供的業(yè)務(wù)系統(tǒng),維持整體奧運(yùn)會(huì)的運(yùn)轉(zhuǎn)需要把核心系統(tǒng)與外圍業(yè)務(wù)系統(tǒng)整合到一起.在這個(gè)整合的過(guò)程中,安全風(fēng)險(xiǎn)就需要一些特別的措施.
比如歐米茄(OMIGA)提供的比賽成績(jī)的計(jì)分系統(tǒng),分布在外圍;負(fù)責(zé)各項(xiàng)比賽的成績(jī)計(jì)時(shí),得到計(jì)時(shí)結(jié)果后傳回給比賽系統(tǒng),再由比賽系統(tǒng)分發(fā)到計(jì)分牌上以及媒體中心.
首先,為了確保比賽信息的準(zhǔn)確及時(shí)分發(fā),歐米茄計(jì)分系統(tǒng)采用了雙系統(tǒng)模式,比賽網(wǎng)同樣如此,甚至根據(jù)比賽的重要性及優(yōu)先級(jí),處于信息中心的比賽網(wǎng)系統(tǒng)還采用多備份.如果有一套出現(xiàn)故障不能工作,立刻會(huì)有另外一套頂上.所有的服務(wù)都采用雙網(wǎng)口設(shè)置,每接到不同的網(wǎng)絡(luò)設(shè)備都至少采用雙備份,任何網(wǎng)絡(luò)出現(xiàn)問(wèn)題,都確保有另外一套替補(bǔ).總之,當(dāng)運(yùn)動(dòng)員的比賽結(jié)束時(shí),無(wú)論場(chǎng)外場(chǎng)內(nèi)的觀眾都能第一時(shí)間看到成績(jī)和分?jǐn)?shù).
此外,北京奧運(yùn)會(huì)比賽場(chǎng)館的分布不僅在北京,而且在天津、香港都有設(shè)立,此間的信息流動(dòng)基本是“只出不進(jìn)”.也就是說(shuō),信息流向只有核心IT系統(tǒng)向外流出,而沒(méi)有允許外圍信息向內(nèi)流進(jìn).即便是“只出不進(jìn)”,在連接的方式上也采用了雙重連接,信息必須經(jīng)過(guò)兩層防火墻才能達(dá)到內(nèi)部IT系統(tǒng).
稍微例外的是與公安部的信息交換,為了全方位地確保奧運(yùn)安全,奧運(yùn)IT系統(tǒng)與公安部信息系統(tǒng)需要實(shí)現(xiàn)部分信息交換.對(duì)于信息來(lái)說(shuō),雖然是由外向內(nèi),但連接方式上不是直接對(duì)奧運(yùn)內(nèi)部IT系統(tǒng)傳輸.而是在公安部的服務(wù)器上設(shè)立一個(gè)中轉(zhuǎn)站,需要傳進(jìn)奧運(yùn)IT系統(tǒng)的信息通過(guò)中轉(zhuǎn)站過(guò)濾一下,確保安全后再傳輸進(jìn)去.而且,這些少有的允許向內(nèi)傳輸?shù)男畔⒍际羌兇獾臄?shù)據(jù)信息,不是執(zhí)行文件信息.
先發(fā)制人
對(duì)于奧運(yùn)會(huì)來(lái)說(shuō),再堅(jiān)固的系統(tǒng)也會(huì)面臨各種可能的威脅.因此,在安全維護(hù)的理念上,源訊采取的是“先發(fā)制人”策略,即采用一種主動(dòng)性的安全信息管理系統(tǒng).它從所有的安全設(shè)備采集整個(gè)系統(tǒng)的報(bào)警信息,然后對(duì)之進(jìn)行智能化的分析處理,再提供給安全人員使用.
在2004年都靈冬奧會(huì)上,風(fēng)險(xiǎn)管理系統(tǒng)在17天的比賽時(shí)間里總共產(chǎn)生了5000多萬(wàn)條報(bào)警信息,每天就有300萬(wàn)報(bào)警信息.經(jīng)過(guò)關(guān)聯(lián)分析后,大概有57萬(wàn)多個(gè)關(guān)聯(lián)信息,經(jīng)過(guò)進(jìn)一步地智能處理,大概還會(huì)有15萬(wàn)條報(bào)警信息,再次分析判斷后,最后剩下185個(gè)值得安全人員關(guān)注的信息,最終生成需要處理的有49個(gè)安全事件.
由于奧運(yùn)會(huì)是一個(gè)涉及大量事件����、大量人員的活動(dòng),IT系統(tǒng)需要面對(duì)各種數(shù)量級(jí)別、各種重要級(jí)別的安全信息,安全人員要想逐一確認(rèn)并保證不漏掉任何一條,這些安全信息的處理就需要一個(gè)智能化的流程.
其中主要的就是整合和關(guān)聯(lián)分析.由于每天產(chǎn)生的報(bào)警信息非常多,所以需要進(jìn)行一個(gè)整合處理.假如有一個(gè)攻擊者企圖盜用某個(gè)帳號(hào)登陸系統(tǒng),安全信息管理系統(tǒng)就會(huì)把這個(gè)帳號(hào)在所有系統(tǒng)上的登陸信息收集起來(lái),然后進(jìn)行關(guān)聯(lián)性分析并整合提供給安全人員.
此外,針對(duì)不同系統(tǒng)的重要性,報(bào)警信息也會(huì)被定義成不同的優(yōu)先級(jí)別,按照級(jí)別高低對(duì)報(bào)警信息進(jìn)行高效處理.
比如一個(gè)數(shù)據(jù)中心產(chǎn)生的報(bào)警信息肯定比一個(gè)酒店產(chǎn)生的優(yōu)先級(jí)高.再者,根據(jù)比賽的時(shí)間和項(xiàng)目,不同場(chǎng)館的優(yōu)先級(jí)也會(huì)實(shí)施動(dòng)態(tài)調(diào)整.比如2008年8月8日晚8時(shí),國(guó)家體育場(chǎng)舉行開幕式,它在這時(shí)的優(yōu)先級(jí)就比其他場(chǎng)館的優(yōu)先級(jí)要高.一段時(shí)間后,乒乓球決賽在另外的場(chǎng)館舉行,這時(shí)比賽場(chǎng)館的優(yōu)先級(jí)就比國(guó)家體育場(chǎng)要高了.優(yōu)先級(jí)高的地方的報(bào)警信息會(huì)得到優(yōu)先處理.
看起來(lái)有些復(fù)雜,但在安全人員的監(jiān)控界面上卻清晰明了.在整個(gè)奧運(yùn)場(chǎng)館分布的電子地圖上,每個(gè)比賽場(chǎng)館被一個(gè)圓圈表示.這個(gè)圓圈可以變換各種顏色,綠色表示該地系統(tǒng)一切正常,黃色表示一些等級(jí)較低的安全警報(bào),橙色表示中級(jí),紅色表示高級(jí).通過(guò)每一個(gè)圓圈,可以進(jìn)入每一個(gè)場(chǎng)館的具體信息,根據(jù)優(yōu)先級(jí)別以及重要級(jí)別,安全人員可以快速有效的實(shí)施安全措施.
