特稿：後奧運時代，信息安全劍指何方？

【賽迪網-IT技術報道】北京奧運會是一屆無與倫比的奧運會，它的IT系統之龐雜前所未有，它首次利用互聯網大規模發佈信息、訂閱各種賽事門票，首次將互聯網作為賽事轉播平台……因此，它首次將信息安全保障推向了時代的最前沿。在各方的努力下，奧運核心網絡和涉奧外圍網絡都經受住了考驗，奧運信息安全保障工作取得圓滿成功。

盛會過後，我們有哪些信息安全保衛經驗值得借鑒？後奧運時代，會出現怎樣的信息安全新理念和新趨勢？信息網絡安全未來將指向何方？帶著種種問題，記者走訪了負責奧運核心網絡安全保障的啟明星辰公司CTO劉恆博士。

一、奧運「安全」遺產－－解讀奧運安保的經驗與教訓

「對於奧運信息安全保衛工作，啟明星辰不僅是安全產品提供商，更重要的，我們區別於一般安全廠商，是奧組委管理網、官方網站、CCTV、奧帆委等幾項奧運安保工作的合同商。這對我們來講是個機遇，更是個挑戰；奧運期間，沒有發生安全事件，就是挑戰成功。」劉恆說。

「可以說整個奧運期間，開始我們很有信心，中間經歷過一段懷疑，但很快我們又很有信心。因為當一些攻擊行為我們一開始就認為它很難克服的時候，就會把問題想得最壞最徹底，為此，我們在每個相關的環節都準備了各種策略，進行了相應的測試，這一系列的行為讓我們心裡有底。可以說我們的工作已經超越了僅靠安全產品來防範的範疇，反應最快的組織結構、有效的工作方法和流程，這些都增加了成功的砝碼。」

劉恆將奧運信息網絡安全保障中的經驗教訓總結為四點。

1.入侵檢測系統（IDS）對於防範DDoS攻擊可以起很大作用。在啟明星辰對產品做了策略優化配置之後，通過流量模塊管理功能和其它產品的關聯，提前發現和成功處置了奧運會官方網站90%以上的DDoS攻擊。

2.和其他廠商的緊密合作，比如和防火牆等安全設備的關聯很重要。

3.國家相關主管部門的高度重視和統籌協作在奧運安保中起到了決定性作用。通過安全廠商和相關部門的聯動，有問題及時上報，及時處理，避免了很多不必要的安全事件發生。

4.安全要充分發揮「人」的作用。在所有的安全事故中，從最初的發現到專家會診、判斷匯報等等，靠的都是服務和人。

劉恆說，如果沒有強有力的團隊，沒有其它廠商的配合，沒有國家各個部門的協作，要防範針對奧運官網的DDoS攻擊將會很困難。這也是劉恆和他的團隊最初頭疼的地方。「通過奧運安保工作，啟明星辰對DDoS攻擊有了更加深入的認識，通過立體的防護和多種機制，而不是單純的產品，就能很好地控制。」

「這屆奧運會的完美可謂是『無與倫比』，我們深刻地感受到，這次奧運會的信息安全保障同時也是『無與倫比』的」，劉恆說，「這並不是說我們已經做得夠好，而是奧運會把信息網絡安全工作推向一線，讓我們直接和挑戰對話，是對我們的技術、人員、管理和經驗的巨大考驗。」

二、對於後奧運信息網絡安全的思考

北京奧運會為信息安全留下了很多寶貴的東西，值得所有直接和間接參與奧運安保工作的機構、企業去思考和總結。

奧運會結束後，不管是企業還是用戶，應該有什麼思考和收穫，未來的信息安全究竟應該怎麼做？

談到這個問題，劉恆最深的感受是「安全是藝術」。「這次奧運會也是藝術。國際上的安全專家提出『每個人都有自己安全的方法，每個人都是大師』，這是對安全的最佳詮釋。很多的安全產品和應用都是零散的，藝術也代表了一定程度的『無序』。」

第二，安全是科學。「在方案的設計和實施中要尊重科學，科學的原則能為用戶省下數百萬元。」

第三，未來信息網絡安全行業的競爭是綜合實力的較量，包括是否有安全技術方面的專門研究和深厚積累、是否有全面完整的產品線、是否經過大的項目的考驗和歷練，這些都是安全企業整體實力和核心競爭力的體現。

第四，在這次奧運會中，有些安全理念被印證，有的則被顛覆，安全和用戶需求一樣，始終不斷變化。

比如安全服務，奧運期間，啟明星辰共為5000多個奧運相關對像進行經授權的滲透性測試；涉及300多個應用；評估加固了近1000台設備；奧運應急響應5831次；安全現場值守44，016小時；發現10，000多個中高級安全漏洞；監控上千萬次安全事件……

這組數字無疑是驚人的，它們代表的是一場又一場艱難的安全實戰演練，而這一切的背後，我們看到，「安全成為服務」這一理念已經走下神壇，在奧運會這樣的大型舞台上得以印證，並被用戶所接受。

「再比如，傳統的安全模式在奧運實戰中出現了一些問題，我們要保護的網絡是有史以來最複雜、龐大的網絡，如果依靠傳統的PDR模式，很難達到預期的保護水準。」劉恆說。

眾所周知，PDR是信息網絡安全的經典模型，即從預防（Prevention）－－用技術構建基礎保護架構設施，到監測（Detection）－－監測是否有網絡攻擊行為，再到響應恢復（Recovery）－－發現攻擊後及時響應恢復。

但在奧運複雜的網絡結構面前，這種模式面臨著新的考驗：該如何部署保護措施？過去許多用戶採取了這種模式，但為什麼網絡還是不斷遭受攻擊？

「經過用戶、安全專家的反覆開會討論，我們發現，應該反過來思考問題，也就是RDp：應該首先思考並羅列出可能出現的最惡劣的情況，針對這些情況部署應急處理方式；然後在安全保障過程中，及時監測網絡中的情況；最後才考慮採用適當的安全防範內的產品，小寫的『p』代表適度防護，不該花錢的地方就不用花錢。」

有一個實際的例子，在啟明星辰實際研究後，發現一個客戶的很多伺服器上不需要安裝萬兆防火牆，從而為客戶節約了很多資金。但在檢測環節卻加強了，幫助客戶監測幾萬次、甚至上億次的事件，另外還建設了一個監控中心，可以把所有的事件進行匯總。

「這種方式最終證明是有效的，一是確保在最壞情況下，我們有應對措施，二是減少在預防保護上的投入，體現「適度防護」，三是過程中重點做好安全監控，及時發現並處理問題，有效地將攻擊扼殺在搖籃之中。」劉恆說。

奧運會帶來了信息安全理念上的革新，從來沒有一個用戶像在奧運期間這樣重視安全，這本身就是對信息安全企業的巨大挑戰。劉恆說，對於安全企業來說，未來三件頭等大事，第一件就是要在安全領域做深、做專，第二是做好攻防人才和知識經驗的積累，第三是加強服務，後奧運時代，安全服務無疑將成為廠商間競爭的新的利劍。

三、奧運感受TOP10

最後，劉恆總結了啟明星辰在奧運安保工作中的十大感受。奧運已經成為過去，那些緊張刺激又充實精彩的日子也已成為記憶，但這些切身的體會將被不斷總結和創新，融入到啟明星辰領先的信息安全整體解決方案中去，變成真正的奧運「安全」遺產。

1.複雜是安全的最大敵人。互聯網、政府內網等等的複雜度帶來了更多的安全問題，不要期望一次就全部解決掉。

2.應用安全成為新的挑戰。要把系統和安全結合起來，在應用開發階段就做很多的安全工作，這一點還很薄弱。

3.安全責任始終需要放在第一位，用戶需要的是能承擔責任的公司，能幫用戶真正解決問題的公司。安全不可能完美。

4.中國市場的安全成熟度還不高。最高的級別是全面開發，所有人都成為安全的倡議者和關注者。我們要不斷尋找安全的驅動力，提高安全成熟度。

5.安全的新挑戰在於要保護所有的點。不僅滿足安全需求，還要保障系統可用並節省成本，奧運安保就是一個典型的案例。

6.安全意識的培養很重要。

7.重視安全過程的控制。安全是個過程，有時候不用花錢就能解決問題，比如資產的投入和分類等，這些在安全過程中同樣重要。

8.安全必須進行規劃，明確先做什麼，後做什麼。

9.關注安全效果。

10.安全遲早會成為服務，只有通過服務才能把安全做好。比如奧組委的網絡，需要的不是產品，而是一種保障和承諾，這就需要專業的安全服務和人才。

(