在都灵冬奥会期间,一位具有内部办公网管理权限的工作人员企图登录比赛网系统,这一举动被安全报警系统发现,并通报场馆保安人员将其抓获。经调查,该名工作人员声称,和他一起蓄意攻击这一系统的同伴竟达百人规模。时隔四年之后,这份担忧已经降临在即将开幕的北京奥运会。面对愈演愈烈的信息安全威胁,北京需要比都灵考虑的更周全才能从容应对。
毋庸置疑,服务北京奥运的信息安全体系,具有更高水平的智能性以及主动防御性,但这只是安全系数的增加,并不保证万无一失,面对更具隐蔽性、迷惑性而且变化多端的网络攻击,我们更想知道的是 “目前的控制措施是否到位?”,“我们还可能面临什么的安全问题?”,“现有平台和管理机制还存在什么样的安全隐患和漏洞?”一言以蔽之,奥运信息安全与否,到底谁说了算?
网御神州信息安全高级顾问卢青认为,应当从信息安全风险评估中寻找答案。一方面通过“实施评估”可以科学的认识现有系统的管理中面临的隐患和风险,而“脆弱性”识别将有助于发现与最佳实践之间的差距。另一方面,必要的风险分析会为后期采取怎样的安全措施提供理论依据,具体到操作层面上,比如经常用到的“威胁分析”,就能够帮助管理员确认在什么时间、什么地点和什么样的条件下可能会受到什么样的攻击,从而做到有备无患,因此从某种意义上看,评估比建设更重要。同时由于信息安全是个动态发展的过程,因此评估工作也就如同体检一样,应当确立成为一项长效机制。
一般来讲,信息安全体系常规的评估手段有以下几种:工具扫描、人工评估、问卷与访谈以及渗透测试的方式,而目前国际上最流行的方式是将“白盒测试”和“黑盒测试”相融合,模拟和分析各种威胁,深入发现安全漏洞和隐患,最终根据“风险分析”的方法最终确认安全与否。但在实际评估中,由于时间、环境和技术等限制会用到其中的一到两种,而这将取决于开展评估的主要目的和时间要求等。
在奥运会期间,各方最关注的是涉奥的IT业务系统能否安全稳定的运行,能否为奥运期间全世界来华运动员、裁判员、教练员等提供优质服务,为此在这些系统上线前要经过充分的测试和评估,尽可能全面的分析在奥运会期间可能面临的各类风险,以及系统中由于技术、管理等限制所造成的各类安全隐患,所以一方面会深入的进行各项白盒测试,另一方面也应当模拟黑盒测试,从而确保系统的相对稳定和安全,也为准备日常安全维护和应急预案奠定基础。
在奥运会期间,全世界的来华人员有着各种不同的生活习惯,包括对于IT资源的使用,所以在信息安全评估的过程中“分析威胁”是实施评估的难点,也就是很难把问题考虑周全,虽然有一些往界奥运会的经验可以借鉴,但针对中国以及中国企业和组织的实际情况,还是很难分析清楚和全面分析威胁,这方面的经验还需要不断的积累。
信息安全没有绝对的安全,安全的标准就是“考虑周全、从容应对”,无论是什么样的控制和部署也许都会存在被威胁利用的可能性,所以针对涉奥系统的安全建设,就是要从风险的角度,正确认识系统所对应的机密性、完整性和可用性,并通过安全防护、信任、监控和审计的综合部署,从管理和技术的各个角度进行全面控制可以加强信息安全保障水平,当然这也包括出现安全问题后的应急流程和措施,也就是我们所提到的应急预案。
信息安全工作是一个长效、持久的工作,只要业务发展,系统运行,网络提供服务,安全工作就一天都不能够懈怠,奥运来临之际,希望各有关部门能正确面对自身系统,储备一些有效的资源,加强对于业务系统和平台的安全防护和监控审计,制定必要的流程和制度规范,在技术力量和管理机制方面能够做到有的放矢,相信一定能够安全稳定地为奥运提供高效服务。
网友评论