北京奥运安全倒计时

来源:用户上传      作者:

　　源讯公司北京2008奥运会信息技术安全经理Vladan Todorovic
　　
　　奥运会网络会运行三大系统:计时计分系统（Timing & Scoring）、信息发布系统（IDS）以及运动会管理系统（GMS）。
　　计时计分系统比赛成绩实时显示在计分牌上，同时传送到计算机里。成绩的记录以及处理完全是实时的，因此要保证这个系统的高可用性和数据不被篡改。之后，比赛成绩要传送到信息发布系统，然后发布到网站、媒体中心、国际广播中心，这个系统是接近实时的，因此也要保证系统的高可用性和数据不被篡改。运动会管理系统主要是对奥运会资源的分类和管理，包括参赛人员的制证系统、工作人员管理系统和交通系统等等，它的重点是要保证信息的机密性和数据不被篡改。
　　2008年北京奥运会共有28个体育大项、302个小项、70多个竞赛和非竞赛场馆;约有1万多名运动员、2万多名媒体记者和20万名注册人员参与比赛;比赛过程中，将有超过1万台PC机，1000台服务器和1000多台网络设备投入使用，约有4000名IT技术人员为保证系统的安全和可用性而工作。
　　源讯公司是奥运会的全球信息技术（IT）合作伙伴，需要跟所有的合作伙伴和设备提供商打交道，进行总集成。奥运系统对安全的需求，一是保证高可用性、数据不被篡改和高机密性;二是比赛时间是固定的，因此必须在奥运会开幕前把所有的系统都准备好;三是解决IT系统的问题只有几秒钟的时间，而且没有第二次机会。
　　针对以上情况，我们应用信息安全总的方法论来应对:
　　第一步分析业务需求。定义什么是正常行为，对系统重要性进行分级，定义系统的安全措施，对系统实施情况进行度量。
　　第二步进行业务分析。分析系统哪些地方会出现漏洞，然后根据这些风险制定一些实时的保护措施。
　　第三步实施系统建设。首先设计整个信息安全的系统框架，建立安全的监控措施，然后对系统进行测试，包括系统反应时间以及对非正常行为的监控，最后进行结果分析、系统审计和漏洞统计。
　　这些步骤只完成了第一个阶段的循环，我们接下来还要进行第二轮的分析、实施、测试和结果分析……不断循环，使系统达到最佳效果。
　　
　　访问控制权限
　　
　　我们会定义访问人员的角色、访问权限、远程还是本地、访问的资源。我们在比赛内网定义了超过200个系统，对于每一套系统都会定义它需要采用的工作站、硬件、软件，包括它的操作系统和基础设置，以及系统可能具有的一些漏洞，再对这套系统进行加固和标准化。接下来要对网络流量进行分析，定义网络里面所有的流量、IP地址、采用的网络协议，最后生成正常行为的定义。
　　对于每一个风险场景，我们都会分析“What（可能产生的攻击）”、“How（攻击所采用的方式）”和“What for（发动攻击的目的）”。对于可能出现的风险，我们会安排技术演练（TR），明年会有TR1和TR2两次很重要的技术演练进行测试。
　　为了尽量减少攻击的可能性，我们对比赛网和外网的连接控制得非常严，只有天气预报和一些人员配置审查的信息拥有连接端口，除此之外完全是一个封闭的系统。信息传输尽量做到只从内向外，反向极少。对必不可少的数据交换，采用双层结构―所有对内对外的连接都要经过双重连接，要进行攻击的话必须穿过两层防火墙，保证了网络的安全。
　　
　　风险场景测试
　　
　　比如，某台笔记本插入了提供比赛信息的INFO网络，对INFO Server进行拒绝服务攻击。对这个风险场景，我们会定义风险的两个方面，一是对业务的破坏有多大，二是风险发生的可能性有多大。具体到这个例子中，危害产生的可能性非常高，破坏性非常严重，所以对它的定义最终是9级。
　　针对这个攻击，会采取两方面的措施来降低它发生的可能性以及造成的危害。
　　首先，对INFO Server进行最优化配置可以降低破坏性，其次是对信息安全的监控，如对服务器CPU应用进行监控，及时发现反常的情况;所有的应用系统都是分布在不同的网络VLAN（虚拟局域网）里，一个区域里面发生攻击，不会影响其它系统的运行。
　　为了减少网络渗透的可能性，我们采用在比赛网的每一端口只允许指定机器进行接触，所有其它机器的接触就会被禁止。最后会加固操作系统，保证攻击的可能性降到最低。
　　奥运会过程中，会有一个核心的安全团队对IT系统进行24小时的值守。团队包括一名值班经理，几名安全分析专家和几名安全事件应急反应人员。一旦有安全事件发生，值班经理会对任务进行分配，由分析专家进行分析或者让应急反应人员进行处理。
　　
　　实时监控
　　
　　虽然事先采取了措施，但在运营中仍然需要采用监控措施，包括网络入侵监测、系统CPU应用检测以及网络流量检测。
　　我们采用的是一种主动性的风险管理系统。
　　2006年都灵冬奥会，17天的比赛过程里产生了5000多万条报警信息，因为包括操作系统、防火墙、防病毒在内的所有安全设备都会不断产生报警信息，但是很多信息与真正的安全事件无关。如此巨大的信息量，要求管理系统必须是主动和实时的，对从所有的安全设备得到的报警信息进行智能化处理过滤。接着，我们将过滤后的信息进行关联分析之后，得到57万多个关联信息，再对它进行进一步的智能处理，再剩下15万条……最后剩下185条报警信息是值得我们关注的。
　　我们会把这些信息的优先级调高，供安全人员进行分析，最后产生了需要处理的49个安全事件。当然，最后的结果是对系统没有任何影响。
　　都灵冬奥会曾经发生过一件真实的案例。一名志愿者在某个场馆对奥组委办公网进行攻击。报警系统首先发现攻击后，通知场馆的保安逮捕了这名嫌疑人。
　　嫌疑人宣称他的朋友将在不同的场馆对系统进行攻击。根据警察的分析，跟他相关的人员大概有98个，但不可能立刻停止这些人员的所有工作，于是我们调整了动态优先级，将这些人员在比赛网里面的一些活动信息的优先级标高，如果他们从事一些危险行为，我们会及时阻止他们。结果使这一事件没有造成任何影响。
　　
　　端口安全
　　
　　在过去的比赛中，端口的安全报警发生较多。因为总会有志愿者或者媒体企图利用自己的笔记本接入到比赛网络中。但这种情况下，端口马上就被封掉，不会发生进一步情况;同时这个信息会被中控系统监测到，安全人员马上会到现场去检查，这种行为是有意还是无意的。另外一种比较多的情况，是企图用管理人员帐号进行非法登陆，一旦密码错误报警超过三次，系统就会记录下来，同时通知场馆的安全人员。
　　因为病毒的破坏性极强，因此我们采用了多重安全措施，保证病毒发生的可能性最低。最外层是物理层，如果接入网络必须要有自己的权限，其次还有许多防病毒系统和监控系统，完全可以把风险降到最低。
　　总之，对待安全问题最重要的是进行主动防御，保障攻击的企图能够被最先发现并阻止，而不是在攻击发生后再进行处理。但所有的系统都不能保证百分之百的安全，我们采用的方式是根据不同的系统采用不同的措施，尽量减小它的风险性。
　　举例来说，INFO终端是放在公众场所，提供给媒体、场馆工作人员和其他志愿者进行浏览使用的。这个终端只允许Web浏览，没有其他的功能。除了对系统进行加固外，我们还会监控它所有的非正常使用情况。
　　比赛前IT系统会进入冻结状态，不再更改，杜绝更改后造成的新风险。北京奥运的特点就是场馆分散，从北京到青岛到香港，不同场馆之间的信息交互由中国网通提供。北京场馆采用双环全光网，香港场馆采用专线，所有的网络都是双电路双备份。在设备大规模安装实施阶段，所有场馆使用的服务器、工作站和笔记本，都会在PC工厂预装我们配置好的系统，然后直接运到场馆安装使用。所有的系统也都是在专门的集成实验室测试好后，再实施到场馆去。

转载注明来源:https://www.xzbu.com/8/view-8778452.htm