对于北京2008年奥运会的IT系统安全而言,工作人员只有几秒钟的反应时间,而且没有第二次机会。
“奥运门票第二阶段预售首日预订热情空前高涨,网站瞬间访问量达八百万次,因技术原因暂停销售,票务中心向公众道歉,五日后公布新办法。”10月31日,北京奥运会官方票务网站贴出了如此公告。
30日上午9时至10时,票务网站浏览量达到800万次,呼叫中心呼入量超过380万次,由于瞬间访问量过大,技术系统出现应对不畅。
试想,如果在奥运会比赛期间,相关的IT系统还出现应对不畅,民众还接受事后的道歉公告么?
“对于奥运会IT系统的安全,我们只有几秒钟的反应时间,而且,我们没有第二次机会。”奥运会技术合作伙伴源讯公司负责信息安全的经理Vladan Todorovic表示。
一天夜里,一位志愿者偷偷地在一个比赛场馆内登陆了奥运会办公网络,并发动了针对办公网络的攻击。同一时间,IT系统发出报警信息,监控人员立即定位所在场馆并通知保安人员。三分钟后,攻击发动者被抓获。
令人恐怖的是,这位攻击者宣称,他还有很多伙伴,会在不同的场馆终端对系统进行攻击。警察和系统安全人员立即分析出与之相关的98个可疑人员,把他们在系统任何终端产生的任何信息调整为最高优先级,第一时间监控并阻止可能的攻击,最终没有造成任何影响。
这是发生在2006年意大利都灵冬奥会上的重要安全事件。作为当时负责奥运会IT系统安全的经理,Vladan对此记忆犹新。如今,他又要担负起北京2008奥运会IT系统的安全责任。
在北京2008奥运会期间,有28个体育大项,302个运动小项,70多个竞赛和非竞赛场馆,大概有10000多名运动员和20000多名媒体记者,230000名包括媒体、工作人员和运动员在内的注册人员。IT系统方面,有4000名 IT技术人员,超过10000台PC机,1000多台服务器和1000多台网络设备。所有这些系统都需要进行信息安全维护。
跟着“定义”走
奥运会主要有三大系统:计时计分系统,负责实时地把比赛成绩记录下来,传送到计算机里并显示在计分牌上;信息发布系统,负责把信息发布到网站、媒体中心以及国际广播中心,以及部分发送到非北京地区的远程终端;运动员管理系统,负责对奥运会的一些资源进行分类和管理,包括参赛人员的制证系统、工作人员管理系统和交通系统等。
从信息安全角度而言,前两者最重要的,是保证系统的高可用性和数据不被篡改,后者最重要的,是保证数据不被篡改的同时保证信息的机密性。
为此,在奥运比赛网内,有超过200个系统采取了明确的“定义”措施。每一套系统,需要采用什么样的工作站、硬件、软件、操作系统、基础设置以及有可能具有的一些漏洞,统统都被定义出来。通过这些系统配置标准化设置之后,所有的系统都是标准化的,便于安全的维护和加固。
如果有台机器需要加装一个软件,工作人员是无法自行随意添加的,必须发出一个更改申请,经过批准后才可以被执行。因为所有的系统都是如此标准化的配置,所以在基础层面就可以减少安全风险的可能性。
此外,每一个系统访问人员的权限也会被一一定义。远程的还是本地的、可读的还是执行的、访问的资源等都有明确的划分。也就是说,每一个工作人员的工作岗位,能够访问哪些系统、执行哪些操作都被定义好了。
有人会问,这对低端人员的安全防护是有效的,但对于内部高级人员的安全防护如何保证呢?Vladan介绍说,高级人员其实主要能访问安全系统,对于应用系统也是无法访问的。比如核心的信息发布系统,内部高级人员也无法访问。
预想可能的风险
在系统的软硬件标准化以及访问权限逐一被定义后,安全人员对网络流量进行正常的分析,根据目的地址、采用的网络协议等定义出正常的标准化需求,最后生成正常行为的定义。
在正常行为的定义基础上,任何异样的状况或情景都会被作为安全风险进行评估,这就是风险场景分析。风险场景分析遵循的原则是“What-How-What for”,也就是风险是什么、可能产生怎样的攻击、产生攻击所采用的方式是什么、攻击的目的是什么。
以INFO Sever遭受拒绝服务攻击的场景为例,INFO是提供所有比赛信息的系统,如果某个终端有台笔记本插入INFO网络,对INFO Sever进行拒绝服务攻击。安全人员会对此风险场景定义出两方面的风险:一个是攻击对业务的破坏力有多大,一个是风险发生的可能性有多大。根据源讯以往建设奥运IT系统的经验,这种攻击的安全后果非常严重,发生的可能性也非常高,所以,这个风险场景最终被定义为9级,属于高等级风险。
事实上,偌大的一个奥运会IT系统,安全风险应该说是无处不在。如何保证每一个可能的风险场景以及每一种可能的攻击种类被定义出来,是维护整个奥运会IT系统安全的重要问题。
Vladan介绍说,对于风险场景的定义,首先是根据以往比赛过程中的实际经验,哪些系统发生故障、遭受攻击的可能性比较大,源讯已有丰富的积累;其次会有一些外部安全专家的参与,根据安全方面的专业经验给予建议。
最后就是各种测试。为了增强奥运IT系统的安全防护,源讯不仅由内部人员进行系统测试,还会邀请外部第三方人员测试。由于外部人员与内部人员对于系统的了解不一样,第三方人员的安全测试可能会发现一些没有被注意的漏洞,然后会针对性的逐一加固。
双重保险 只出不进
事实上,奥运会的IT系统除了信息中心的核心系统外,外围还有各种合作伙伴提供的业务系统,维持整体奥运会的运转需要把核心系统与外围业务系统整合到一起。在这个整合的过程中,安全风险就需要一些特别的措施。
比如欧米茄(OMIGA)提供的比赛成绩的计分系统,分布在外围;负责各项比赛的成绩计时,得到计时结果后传回给比赛系统,再由比赛系统分发到计分牌上以及媒体中心。
首先,为了确保比赛信息的准确及时分发,欧米茄计分系统采用了双系统模式,比赛网同样如此,甚至根据比赛的重要性及优先级,处于信息中心的比赛网系统还采用多备份。如果有一套出现故障不能工作,立刻会有另外一套顶上。所有的服务都采用双网口设置,每接到不同的网络设备都至少采用双备份,任何网络出现问题,都确保有另外一套替补。总之,当运动员的比赛结束时,无论场外场内的观众都能第一时间看到成绩和分数。
此外,北京奥运会比赛场馆的分布不仅在北京,而且在天津、香港都有设立,此间的信息流动基本是“只出不进”。也就是说,信息流向只有核心IT系统向外流出,而没有允许外围信息向内流进。即便是“只出不进”,在连接的方式上也采用了双重连接,信息必须经过两层防火墙才能达到内部IT系统。
稍微例外的是与公安部的信息交换,为了全方位地确保奥运安全,奥运IT系统与公安部信息系统需要实现部分信息交换。对于信息来说,虽然是由外向内,但连接方式上不是直接对奥运内部IT系统传输。而是在公安部的服务器上设立一个中转站,需要传进奥运IT系统的信息通过中转站过滤一下,确保安全后再传输进去。而且,这些少有的允许向内传输的信息都是纯粹的数据信息,不是执行文件信息。
先发制人
对于奥运会来说,再坚固的系统也会面临各种可能的威胁。因此,在安全维护的理念上,源讯采取的是“先发制人”策略,即采用一种主动性的安全信息管理系统。它从所有的安全设备采集整个系统的报警信息,然后对之进行智能化的分析处理,再提供给安全人员使用。
在2004年都灵冬奥会上,风险管理系统在17天的比赛时间里总共产生了5000多万条报警信息,每天就有300万报警信息。经过关联分析后,大概有57万多个关联信息,经过进一步地智能处理,大概还会有15万条报警信息,再次分析判断后,最后剩下185个值得安全人员关注的信息,最终生成需要处理的有49个安全事件。
由于奥运会是一个涉及大量事件、大量人员的活动,IT系统需要面对各种数量级别、各种重要级别的安全信息,安全人员要想逐一确认并保证不漏掉任何一条,这些安全信息的处理就需要一个智能化的流程。
其中主要的就是整合和关联分析。由于每天产生的报警信息非常多,所以需要进行一个整合处理。假如有一个攻击者企图盗用某个帐号登陆系统,安全信息管理系统就会把这个帐号在所有系统上的登陆信息收集起来,然后进行关联性分析并整合提供给安全人员。
此外,针对不同系统的重要性,报警信息也会被定义成不同的优先级别,按照级别高低对报警信息进行高效处理。
比如一个数据中心产生的报警信息肯定比一个酒店产生的优先级高。再者,根据比赛的时间和项目,不同场馆的优先级也会实施动态调整。比如2008年8月8日晚8时,国家体育场举行开幕式,它在这时的优先级就比其他场馆的优先级要高。一段时间后,乒乓球决赛在另外的场馆举行,这时比赛场馆的优先级就比国家体育场要高了。优先级高的地方的报警信息会得到优先处理。
看起来有些复杂,但在安全人员的监控界面上却清晰明了。在整个奥运场馆分布的电子地图上,每个比赛场馆被一个圆圈表示。这个圆圈可以变换各种颜色,绿色表示该地系统一切正常,黄色表示一些等级较低的安全警报,橙色表示中级,红色表示高级。通过每一个圆圈,可以进入每一个场馆的具体信息,根据优先级别以及重要级别,安全人员可以快速有效的实施安全措施。
奥运IT集成实验室里,两名工作人员正在分析安全报警信息
奥运会集成实验室