对于北京2008年奥运会的IT系统安全而言,工作人员只有几秒钟的反应时间,而且没有第二次机会。
“奥运门票第二阶段预售首日预订热情空前高涨,网站瞬间访问量达八百万次,因技术原因暂停销售,票务中心向公众道歉,五日后公布新办法。”10月31日,北京奥运会官方票务网站贴出了如此公告。
30日上午9时至10时,票务网站浏览量达到800万次,呼叫中心呼入量超过380万次,由于瞬间访问量过大,技术系统出现应对不畅。
试想,如果在奥运会比赛期间,相关的IT系统还出现应对不畅,民众还接受事后的道歉公告么?
“对于奥运会IT系统的安全,我们只有几秒钟的反应时间,而且,我们没有第二次机会。”奥运会技术合作伙伴源讯公司负责信息安全的经理Vladan Todorovic表示。
一天夜里,一位志愿者偷偷地在一个比赛场馆内登陆了奥运会办公网络,并发动了针对办公网络的攻击。同一时间,IT系统发出报警信息,监控人员立即定位所在场馆并通知保安人员。三分钟后,攻击发动者被抓获。
令人恐怖的是,这位攻击者宣称,他还有很多伙伴,会在不同的场馆终端对系统进行攻击。警察和系统安全人员立即分析出与之相关的98个可疑人员,把他们在系统任何终端产生的任何信息调整为最高优先级,第一时间监控并阻止可能的攻击,最终没有造成任何影响。
这是发生在2006年意大利都灵冬奥会上的重要安全事件。作为当时负责奥运会IT系统安全的经理,Vladan对此记忆犹新。如今,他又要担负起北京2008奥运会IT系统的安全责任。
在北京2008奥运会期间,有28个体育大项,302个运动小项,70多个竞赛和非竞赛场馆,大概有10000多名运动员和20000多名媒体记者,230000名包括媒体、工作人员和运动员在内的注册人员。IT系统方面,有4000名IT技术人员,超过10000台PC机,1000多台服务器和1000多台网络设备。所有这些系统都需要进行信息安全维护。
跟着“定义”走
奥运会主要有三大系统:计时计分系统,负责实时地把比赛成绩记录下来,传送到计算机里并显示在计分牌上;信息发布系统,负责把信息发布到网站、媒体中心以及国际广播中心,以及部分发送到非北京地区的远程终端;运动员管理系统,负责对奥运会的一些资源进行分类和管理,包括参赛人员的制证系统、工作人员管理系统和交通系统等。
从信息安全角度而言,前两者最重要的,是保证系统的高可用性和数据不被篡改,后者最重要的,是保证数据不被篡改的同时保证信息的机密性。
为此,在奥运比赛网内,有超过200个系统采取了明确的“定义”措施。每一套系统,需要采用什么样的工作站、硬件、软件、操作系统、基础设置以及有可能具有的一些漏洞,统统都被定义出来。通过这些系统配置标准化设置之后,所有的系统都是标准化的,便于安全的维护和加固。
如果有台机器需要加装一个软件,工作人员是无法自行随意添加的,必须发出一个更改申请,经过批准后才可以被执行。因为所有的系统都是如此标准化的配置,所以在基础层面就可以减少安全风险的可能性。
此外,每一个系统访问人员的权限也会被一一定义。远程的还是本地的、可读的还是执行的、访问的资源等都有明确的划分。也就是说,每一个工作人员的工作岗位,能够访问哪些系统、执行哪些操作都被定义好了。
有人会问,这对低端人员的安全防护是有效的,但对于内部高级人员的安全防护如何保证呢?Vladan介绍说,高级人员其实主要能访问安全系统,对于应用系统也是无法访问的。比如核心的信息发布系统,内部高级人员也无法访问。
预想可能的风险
在系统的软硬件标准化以及访问权限逐一被定义后,安全人员对网络流量进行正常的分析,根据目的地址、采用的网络协议等定义出正常的标准化需求,最后生成正常行为的定义。
在正常行为的定义基础上,任何异样的状况或情景都会被作为安全风险进行评估,这就是风险场景分析。风险场景分析遵循的原则是“What-How-What for”,也就是风险是什么、可能产生怎样的攻击、产生攻击所采用的方式是什么、攻击的目的是什么。
以INFO Sever遭受拒绝服务攻击的场景为例,INFO是提供所有比赛信息的系统,如果某个终端有台笔记本插入INFO网络,对INFO Sever进行拒绝服务攻击。安全人员会对此风险场景定义出两方面的风险:一个是攻击对业务的破坏力有多大,一个是风险发生的可能性有多大。根据源讯以往建设奥运IT系统的经验,这种攻击的安全后果非常严重,发生的可能性也非常高,所以,这个风险场景最终被定义为9级,属于高等级风险。
1
2
下一页>>
