北京奥运会是一届无与伦比的奥运会,它的IT系统之庞杂前所未有,它首次利用互联网大规模发布信息、订阅各种赛事门票,首次将互联网作为赛事转播平台……因此,它首次将信息安全保障推向了时代的最前沿。在各方的努力下,奥运核心网络和涉奥外围网络都经受住了考验,奥运信息安全保障工作取得圆满成功。
盛会过后,我们有哪些信息安全保卫经验值得借鉴?后奥运时代,会出现怎样的信息安全新理念和新趋势?信息网络安全未来将指向何方?带着种种问题,记者走访了负责奥运核心网络安全保障的启明星辰公司CTO刘恒博士。
一、奥运“安全”遗产——解读奥运安保的经验与教训
“对于奥运信息安全保卫工作,启明星辰不仅是安全产品提供商,更重要的,我们区别于一般安全厂商,是奥组委管理网、官方网站、CCTV、奥帆委等几项奥运安保工作的合同商。这对我们来讲是个机遇,更是个挑战;奥运期间,没有发生安全事件,就是挑战成功。”刘恒说。
“可以说整个奥运期间,开始我们很有信心,中间经历过一段怀疑,但很快我们又很有信心。因为当一些攻击行为我们一开始就认为它很难克服的时候,就会把问题想得最坏最彻底,为此,我们在每个相关的环节都准备了各种策略,进行了相应的测试,这一系列的行为让我们心里有底。可以说我们的工作已经超越了仅靠安全产品来防范的范畴,反应最快的组织结构、有效的工作方法和流程,这些都增加了成功的砝码。”
刘恒将奥运信息网络安全保障中的经验教训总结为四点。
1.入侵检测系统(IDS)对于防范DDoS攻击可以起很大作用。在启明星辰对产品做了策略优化配置之后,通过流量模块管理功能和其它产品的关联,提前发现和成功处置了奥运会官方网站90%以上的DDoS攻击。
2.和其他厂商的紧密合作,比如和防火墙等安全设备的关联很重要。
3.国家相关主管部门的高度重视和统筹协作在奥运安保中起到了决定性作用。通过安全厂商和相关部门的联动,有问题及时上报,及时处理,避免了很多不必要的安全事件发生。
4.安全要充分发挥“人”的作用。在所有的安全事故中,从最初的发现到专家会诊、判断汇报等等,靠的都是服务和人。
刘恒说,如果没有强有力的团队,没有其它厂商的配合,没有国家各个部门的协作,要防范针对奥运官网的DDoS攻击将会很困难。这也是刘恒和他的团队最初头疼的地方。“通过奥运安保工作,启明星辰对DDoS攻击有了更加深入的认识,通过立体的防护和多种机制,而不是单纯的产品,就能很好地控制。”
“这届奥运会的完美可谓是‘无与伦比’,我们深刻地感受到,这次奥运会的信息安全保障同时也是‘无与伦比’的”,刘恒说,“这并不是说我们已经做得够好,而是奥运会把信息网络安全工作推向一线,让我们直接和挑战对话,是对我们的技术、人员、管理和经验的巨大考验。”二、对于后奥运信息网络安全的思考
北京奥运会为信息安全留下了很多宝贵的东西,值得所有直接和间接参与奥运安保工作的机构、企业去思考和总结。
奥运会结束后,不管是企业还是用户,应该有什么思考和收获,未来的信息安全究竟应该怎么做?
谈到这个问题,刘恒最深的感受是“安全是艺术”。“这次奥运会也是艺术。国际上的安全专家提出‘每个人都有自己安全的方法,每个人都是大师’,这是对安全的最佳诠释。很多的安全产品和应用都是零散的,艺术也代表了一定程度的‘无序’。”
第二,安全是科学。“在方案的设计和实施中要尊重科学,科学的原则能为用户省下数百万元。”
第三,未来信息网络安全行业的竞争是综合实力的较量,包括是否有安全技术方面的专门研究和深厚积累、是否有全面完整的产品线、是否经过大的项目的考验和历练,这些都是安全企业整体实力和核心竞争力的体现。
第四,在这次奥运会中,有些安全理念被印证,有的则被颠覆,安全和用户需求一样,始终不断变化。
比如安全服务,奥运期间,启明星辰共为5000多个奥运相关对象进行经授权的渗透性测试;涉及300多个应用;评估加固了近1000台设备;奥运应急响应5831次;安全现场值守44,016小时;发现10,000多个中高级安全漏洞;监控上千万次安全事件……
这组数字无疑是惊人的,它们代表的是一场又一场艰难的安全实战演练,而这一切的背后,我们看到,“安全成为服务”这一理念已经走下神坛,在奥运会这样的大型舞台上得以印证,并被用户所接受。
“再比如,传统的安全模式在奥运实战中出现了一些问题,我们要保护的网络是有史以来最复杂、庞大的网络,如果依靠传统的PDR模式,很难达到预期的保护水准。”刘恒说。
众所周知,PDR是信息网络安全的经典模型,即从预防(Prevention)——用技术构建基础保护架构设施,到监测(Detection)——监测是否有网络攻击行为,再到响应恢复(Recovery)——发现攻击后及时响应恢复。
但在奥运复杂的网络结构面前,这种模式面临着新的考验:该如何部署保护措施?过去许多用户采取了这种模式,但为什么网络还是不断遭受攻击?
“经过用户、安全专家的反复开会讨论,我们发现,应该反过来思考问题,也就是RDp:应该首先思考并罗列出可能出现的最恶劣的情况,针对这些情况部署应急处理方式;然后在安全保障过程中,及时监测网络中的情况;最后才考虑采用适当的安全防范内的产品,小写的‘p’代表适度防护,不该花钱的地方就不用花钱。”
有一个实际的例子,在启明星辰实际研究后,发现一个客户的很多服务器上不需要安装万兆防火墙,从而为客户节约了很多资金。但在检测环节却加强了,帮助客户监测几万次、甚至上亿次的事件,另外还建设了一个监控中心,可以把所有的事件进行汇总。
“这种方式最终证明是有效的,一是确保在最坏情况下,我们有应对措施,二是减少在预防保护上的投入,体现“适度防护”,三是过程中重点做好安全监控,及时发现并处理问题,有效地将攻击扼杀在摇篮之中。”刘恒说。
奥运会带来了信息安全理念上的革新,从来没有一个用户像在奥运期间这样重视安全,这本身就是对信息安全企业的巨大挑战。刘恒说,对于安全企业来说,未来三件头等大事,第一件就是要在安全领域做深、做专,第二是做好攻防人才和知识经验的积累,第三是加强服务,后奥运时代,安全服务无疑将成为厂商间竞争的新的利剑。三、奥运感受TOP10
最后,刘恒总结了启明星辰在奥运安保工作中的十大感受。奥运已经成为过去,那些紧张刺激又充实精彩的日子也已成为记忆,但这些切身的体会将被不断总结和创新,融入到启明星辰领先的信息安全整体解决方案中去,变成真正的奥运“安全”遗产。
1.复杂是安全的最大敌人。互联网、政府内网等等的复杂度带来了更多的安全问题,不要期望一次就全部解决掉。
2.应用安全成为新的挑战。要把系统和安全结合起来,在应用开发阶段就做很多的安全工作,这一点还很薄弱。
3.安全责任始终需要放在第一位,用户需要的是能承担责任的公司,能帮用户真正解决问题的公司。安全不可能完美。
4.中国市场的安全成熟度还不高。最高的级别是全面开发,所有人都成为安全的倡议者和关注者。我们要不断寻找安全的驱动力,提高安全成熟度。
5.安全的新挑战在于要保护所有的点。不仅满足安全需求,还要保障系统可用并节省成本,奥运安保就是一个典型的案例。
6.安全意识的培养很重要。
7.重视安全过程的控制。安全是个过程,有时候不用花钱就能解决问题,比如资产的投入和分类等,这些在安全过程中同样重要。
8.安全必须进行规划,明确先做什么,后做什么。
9.关注安全效果。
10.安全迟早会成为服务,只有通过服务才能把安全做好。比如奥组委的网络,需要的不是产品,而是一种保障和承诺,这就需要专业的安全服务和人才。