奧運安全專家談之：信息也需做「安檢」

【賽迪網-IT技術報道】隨著北京奧運會漸行漸近，奧運安全保障也吹響了「集結號」。為了確保奧運期間公共交通的穩定運營以及人們的安全出行，自6月29日開始，北京地鐵全線93個車站進入安檢期。據瞭解，此次地鐵安檢引入了新的技術手段比如光檢測儀、手持金屬探測儀、液體檢測儀等，將安全檢查重點指向槍支彈藥、管制刀具、易燃易爆及放射性、毒害性等八大類可能影響公共安全的物品，旅客須通過安檢通道才能進入地鐵站。與地鐵安檢帶給人們直觀感受不同，有一種特別的「安檢」正在「默默地」保障奧運有條不紊地進行，這就是信息安全安檢。

2000年悉尼奧運會期間，官方網站經受了113億次攻擊；2004年雅典奧運會，16天的比賽中記錄顯示就有超過500萬起信息技術安全報警信息，其中嚴重警報425起、危急警報20起。2008年，奧運會的接力棒傳到了中國手中，眾多遠距離場館的網絡連通、參會人數的眾多等都是以往奧運會無法匹敵的，這意味著為奧運信息安全保駕護航的任務將更加富有挑戰。

據網御神州信息安全高級顧問盧青對介紹，奧運會期間，信息安全的風險主要為黑客入侵和攻擊對關鍵業務系統造成破壞；病毒和蠕蟲造成網絡和關鍵伺服器癱瘓；網絡接入混亂，沒有有效的接入控制手段，關鍵資源遭洩漏或者破壞。保障奧運信息安全的「安檢」正是需要隔離和排查以上安全隱患，整體佈局思路主要分為三個部分：首先，嚴格的接入控制，確保端點安全；其次，分級部署，確保關鍵應用和業務；最後，集中管理與控制，以達到協同安全。

構築奧運信息安全防護體系的重點和難點是保障網絡和關鍵應用的可用性，分解來看就是要通過攻擊、入侵檢測與防護來保護WEB、郵件等關鍵應用伺服器避免遭受黑客、木馬的攻擊和入侵，通過屏蔽P2P、蠕蟲、病毒、木馬等導致的異常流量保護網絡避免擁塞。同時對於內部網絡的安全性也不可疏忽，通過嚴格的接入認證控制、分級管理，避免關鍵資源洩漏、黑客入侵從內部發起、病毒/木馬爆發導致流量異常。其中重點措施是通過分級部署安全設備比如防火牆、IPS、防病毒、反垃圾郵件、桌面管理軟體等；同時，要及時的部署SOC，以保證協同安全。

然而，正如在早8點與晚6點的出行高峰期，地鐵安檢工作有可能將會造成擁堵、超員甚至是乘客滯留現象一樣，確保安全和快速高效之間難以調和，這在信息安全領域也是如此。如何平衡其中矛盾，關鍵在於針對網絡和應用狀況，進行合理的分級、有針對性的部署，比如反垃圾郵件可以部署在網絡出口，但為了保證效率，部署在郵件伺服器前， 既充分避免垃圾郵件的危害，又保證了處理效率，不會影響除郵件外的絕大部分資料流量的處理性能。IPS部署在關鍵伺服器之前而不是網絡出口也是應用同樣道理。

備戰奧運已進入倒計時，應對奧運信息保障課題所帶給信息安全工作的機會和挑戰，各行各業都應該正視信息風險的存在，將信息安全納入全面管理的風險之中，針對具體風險狀況構築堅不可摧的信息安全堡壘，以在確保「科技奧運」大背景下健康有序地實現可持續發展。

(