奧運安全專家談：奧運信息安全誰說了算？

【賽迪網-IT技術報道】在都靈冬奧會期間，一位具有內部辦公網管理權限的工作人員企圖登錄比賽網系統，這一舉動被安全報警系統發現，並通報場館保安人員將其抓獲。經調查，該名工作人員聲稱，和他一起蓄意攻擊這一系統的同伴竟達百人規模。時隔四年之後，這份擔憂已經降臨在即將開幕的北京奧運會。面對愈演愈烈的信息安全威脅，北京需要比都靈考慮的更周全才能從容應對。

毋庸置疑，服務北京奧運的信息安全體系，具有更高水平的智能性以及主動防禦性，但這只是安全係數的增加，並不保證萬無一失，面對更具隱蔽性、迷惑性而且變化多端的網絡攻擊，我們更想知道的是 「目前的控制措施是否到位？」，「我們還可能面臨什麼的安全問題？」，「現有平台和管理機制還存在什麼樣的安全隱患和漏洞？」一言以蔽之，奧運信息安全與否，到底誰說了算？

網御神州信息安全高級顧問盧青認為，應當從信息安全風險評估中尋找答案。一方面通過「實施評估」可以科學的認識現有系統的管理中面臨的隱患和風險，而「脆弱性」識別將有助於發現與最佳實踐之間的差距。另一方面，必要的風險分析會為後期採取怎樣的安全措施提供理論依據，具體到操作層面上，比如經常用到的「威脅分析」，就能夠幫助管理員確認在什麼時間、什麼地點和什麼樣的條件下可能會受到什麼樣的攻擊，從而做到有備無患，因此從某種意義上看，評估比建設更重要。同時由於信息安全是個動態發展的過程，因此評估工作也就如同體檢一樣，應當確立成為一項長效機制。

一般來講，信息安全體系常規的評估手段有以下幾種：工具掃瞄、人工評估、問卷與訪談以及滲透測試的方式，而目前國際上最流行的方式是將「白盒測試」和「黑盒測試」相融合，模擬和分析各種威脅，深入發現安全漏洞和隱患，最終根據「風險分析」的方法最終確認安全與否。但在實際評估中，由於時間、環境和技術等限制會用到其中的一到兩種，而這將取決於開展評估的主要目的和時間要求等。

在奧運會期間，各方最關注的是涉奧的IT業務系統能否安全穩定的運行，能否為奧運期間全世界來華運動員、裁判員、教練員等提供優質服務，為此在這些系統上線前要經過充分的測試和評估，盡可能全面的分析在奧運會期間可能面臨的各類風險，以及系統中由於技術、管理等限制所造成的各類安全隱患，所以一方面會深入的進行各項白盒測試，另一方面也應當模擬黑盒測試，從而確保系統的相對穩定和安全，也為準備日常安全維護和應急預案奠定基礎。

在奧運會期間，全世界的來華人員有著各種不同的生活習慣，包括對於IT資源的使用，所以在信息安全評估的過程中「分析威脅」是實施評估的難點，也就是很難把問題考慮周全，雖然有一些往界奧運會的經驗可以借鑒，但針對中國以及中國企業和組織的實際情況，還是很難分析清楚和全面分析威脅，這方面的經驗還需要不斷的積累。

信息安全沒有絕對的安全，安全的標準就是「考慮周全、從容應對」，無論是什麼樣的控制和部署也許都會存在被威脅利用的可能性，所以針對涉奧系統的安全建設，就是要從風險的角度，正確認識系統所對應的機密性、完整性和可用性，並通過安全防護、信任、監控和審計的綜合部署，從管理和技術的各個角度進行全面控制可以加強信息安全保障水平，當然這也包括出現安全問題後的應急流程和措施，也就是我們所提到的應急預案。

信息安全工作是一個長效、持久的工作，只要業務發展，系統運行，網絡提供服務，安全工作就一天都不能夠懈怠，奧運來臨之際，希望各有關部門能正確面對自身系統，儲備一些有效的資源，加強對於業務系統和平台的安全防護和監控審計，制定必要的流程和制度規範，在技術力量和管理機制方面能夠做到有的放矢，相信一定能夠安全穩定地為奧運提供高效服務。

(