七年前,我们在欢呼声中期待,七年后2008年北京奥运会在一片赞誉声中落下帷幕。从8月8日奥运会开幕到9月17日残奥会闭幕,盛会为我们,留下的不仅仅是追求更快、更高、更强的奥林匹克精神,那些为北京奥运信息网络安全保障做出重要贡献的幕后英雄,我们同样不容忘却。
 
谁在挑战北京奥运的信息网络安全?
 
国际奥委会主席雅克·罗格曾说:如果没有信息技术的应用,奥运会就不可能成功举行。纵观历届奥运会,信息网络技术在其中所发挥的作用日益增强,但与此同时,网络与信息安全问题也日渐突出。在北京奥运开幕前夕,某国外媒体有报道称:网络病毒正在虎视眈眈地盯着奥运会。该报道说,6月下旬以来,***病毒就被冠以奥运开幕式的文件名,在网络上到处发送。一些***集团将在奥运期间大肆活动。他们目的很明确,就是破坏北京奥运信息安全。
 
奥运信息资产危险重重
 
其实这并非危言耸听,从历届奥运会来看,自1992年巴塞罗那奥运会首次运用计算机网络以来,奥运网络安全受到的冲击就呈现出不断加剧的趋势。
 
事实上,近年来的历届奥运会都成为***的首要***目标。据统计,2000年悉尼奥运会期间,官方网站经受了113亿次***,平均每天遭受2.5万次***,比1998年的长野冬奥会增加了1700%,仅在开幕第二天,网络安全保障人员就处理了70万次***。2004年,雅典方面对奥运网络安全的重视程度超过了"恐怖分子",整个电脑保安系统价值高达4亿美元。2006年2月意大利都灵冬奥会期间,平均每天生成300多万件信息网络安全事件报告。从这些数字中我们不难看出,在大多数目光都集中在"恐怖分子"的威胁时,无形的网络***已成为现代奥林匹克运动会的又一大安全隐患。
 
北京奥运信息安保面临挑战
 
与往届奥运会相比,2008年北京奥运会的信息系统是有史以来最为庞大复杂的,数据处理需求量也大大超过往届。在北京奥运会期间,来自全球的数万名运动员、各国政要、商界名流和数百万游客在北京、青岛、香港等7个奥运赛事城市云集,将有数量巨大的笔记本、DC、DV、PDA、U盘、手机等移动设备与网络连接,如果有人蓄意将病毒带入网络,或不小心感染病毒,就可能殃及整个网络。这就意味着奥运信息安全保障工作任务将更加艰巨,甚至在一定程度上将影响着奥运会是否成功地举办。
 
作为举世瞩目的体育盛事,北京奥运会也给我国信息安全技术领域提出了很高的要求。面对******、DDoS***、病毒***、网络钓鱼、垃圾邮件、僵尸网络、间谍软件、恶意程序,乃至服务器瘫痪、篡改网页等各种针对奥运信息网络的***行为,电子金融、电子政务、电子商务等各种直接或间接为奥运会服务的信息网络系统的安全性、可靠性都将面临前所未有的巨大挑战。
 
谁来保障北京奥运的信息安全?
 
奥运安全举国关注,早在2004年12月,国家就成立了第29届奥运会安全保卫工作协调小组。该小组由公安部、安全部等20多个国家部委和北京市委、市政府的相关部门组成,作为中国国家级的奥运安保的协调机构,统一领导2008年的奥运安保工作。国家计算机网络应急技术处理协调中心(CNCERT/CC)也制定了奥运保障专项应急预案,进行全面的安全事件信息汇总和应急处置工作。
 
由于奥运会对直接或间接服务奥运的重要信息系统提出了更高的安全标准和要求,代表我国信息安全技术最高水平的几大厂商也都齐聚一堂,为奥运的信息安全保障做出了充分的准备和部署。
 
北京奥运信息安保需求复杂
 
据51CTO记者了解,奥运网络总体由五大部分构成:北京奥组委管理网、运动会网、奥运官方网站、奥运会票务网以及其他互联网接入,其中又以北京奥组委管理网和奥运官方网站最为重要,这也是历届奥运会***最乐于攻下的阵地。另据启明星辰CSO潘柱廷介绍,北京奥组委的工作人员多达三、四千人,其办公网的复杂程度远远高于一般的国家部委内网,涉及到的技术问题也更多,项目本身代表了目前国内最高的安全建设和服务水平;官网的复杂程度和重要性更是不言而喻,对厂商在防范***、源代码审计和安全服务等方面的综合实力有着极高的要求,特别是承载大流量访问,抵抗各类网络***,尤其是抵抗DDoS分布式拒绝服务***和网页篡改***方面,需要厂商有专业的产品和深厚的技术、人才积累。
 
那么,谁来保障赛时信息网络系统免遭***?怎样在第一时间检测DDoS***?又如何保障赛事成绩、奥运官网等机密信息不被篡改?这些都成为奥运信息安全保障工作中最为棘手和重要的任务。
 
面对如此艰巨的任务,没有网络安全技术和设备的协助是不可能完成的,尤其在监测和防御DDoS***方面,如果没有IDS***检测设备来监测扫描***行为,后果将不堪设想。当然,像防火墙、反病毒、信息加密、风险评估、安全审计等安全技术和产品,也都发挥了非常重要的作用。但是,对于奥运会这样重要的安全保障工作来说,仅仅依靠传统意义上的安全产品是不能完全保护网络的,产品只是工具,安全产品的智能化程度有限的,专业的安全服务、安全人才、知识和经验的积累才是保障网络安全的关键。
 
民族信息安全产业值得信赖
 
以启明星辰公司为例,该公司是奥组委管理网和官方网站的信息安全总服务商、奥帆委唯一信息安全产品和服务提供商,不仅提供了自主研发的***检测系统、***防御系统、互联网行为审计系统、终端管理系统、UTM、漏洞扫描系统、安全管理平台(SOC)等产品,更为奥组委和奥帆委提供了涵盖奥运会和残奥会赛事全程的安全监测和服务,包括风险评估、***测试、安全加固、日常监控、现场人员值守、安全咨询和应急响应等各个方面,为奥组委和奥帆委内、外网的安全、稳定、高效运行做出了重要贡献。
 
像启明星辰这样的民族安全产业先锋还有很多,如瑞星、浪潮、天融信、东软等公司,这些厂商无一例外,都是我国信息安全领域的佼佼者。事实也证明了这些民族信息安全企业可以担负起奥运安保的重任。
 
与奥组委管理网和奥运官网相比,央视国际网站作为北京2008年奥运会唯一官方互联网和移动平台,也是奥运会历史上第一个新媒体转播机构,需要最高级别的播出安全保障。它不仅覆盖了2.1亿互联网用户、5.08亿手机用户,还具有12000小时的奥运视频内容,可同时有50路信号同步直播、轮播,对网页的恶意篡改、对网站的恶意***、病毒的大面积传播、网络访问流量过大导致网络瘫痪等问题,提出了近乎苛刻的信息安保需求。
 
通过合理的逆向思维分析和残酷的实战演习,承接此项目的启明星辰公司不辱使命,为央视国际网的在线转播提供了高质量的信息安全服务保障。事实证明,民族信息安全产业是值得信赖的,该公司的安全服务团队也交出了一份满意的答卷:奥运期间央视网没有发生一起安全故障。
 
民族信息安全产业在北京奥运会上做出的贡献是不可磨灭的,以启明星辰为例,除了全面负责奥运会主体网络系统的安全保障外,他们还要支持公安部、国家计算机网络应急技术处理协调中心(CNCERT/CC)、北京市公安局、北京市信息办等主管部门部署的多项奥运技术保障工作,并在奥运期间,负责政府、金融、电信、能源、运输等50多个国家基础设施和重要行业信息系统的安全保障工作。
 
据51CTO记者了解,该公司在奥运期间,共为5000多个奥运相关对象进行经授权的***性测试;涉及300多个应用;评估加固了近1000台设备;奥运应急响应5831次;安全现场值守44,016(人)小时;发现10,000多个中高级安全漏洞;监控了上千万次安全事件……,在2008北京奥运会之前,有奥运信息安保历史以来,这些全部是由国外信息安全公司负责的项目,而今全部由我们民族信息安全企业承建。现在,我们可以自豪的说,中国信息安全产业是值得信赖的。
 
2008带给信息安全的理性思考:中国信息安全产业如何真正崛起
 
事实证明,北京奥运会信息安保工作是成功的,期间没有发生一起重大信息安全事故,是我国民族信息安全企业担起了北京奥运信息安保的重任,体现了我们民族信息安全领域的综合技术实力和应急服务水平,也是我国民族信息安全产业正在崛起的标志。
 
奥运会后,51CTO记者就中国信息安全的未来发展等问题与启明星辰公司CTO刘恒先生进行了深入探讨。在刘恒看来,安全是一门艺术,也是一门科学,未来信息安全领域的强者一定是拥有专业的团队、全面的产品线并经历大项目的洗礼。
 
在经过奥运信息安保的洗礼后,他认为,未来的信息安全防护理念将是"立体防护",必须以需求为导向,从整体出发抓住细节问题,并合理运用逆向思维,进行适度防护。在刘恒看来,如果没有进行诸如停电、断网、真实DDoS***、篡改页面,机密信息丢失、设备损毁等情况最糟糕的实战演习,没有合理的运用逆向思维分析******手段,启明星辰是不可能从容应对成千上万种安全威胁,不可能合理地制定出"应急响应要求",更不可能提供高质量的信息安全保障服务。在谈到奥运信息安保工作的感受时,刘恒先生与记者分享了启明星辰对未来信息网络安全最大的感受:安全成为服务,服务成就安全。
 
从感受中我们不难看出,中国信息安全产业想真正崛起,关键在于对需求的深入理解、独特的安全理念和规划、成熟稳定的技术和产品、一流的安全服务水准和服务人员。显而易见,这些缺一不可。虽然,这只是一家之言,像"未来的信息安全将何去何从?中国信息安全产业将走向何方?"这样的问题,或许只有在实践中寻求答案,但在51CTO记者看来,可以肯定的是,随着举世瞩目的2008年北京奥运会落下帷幕,对于国内信息安全产业来说,这是一次"里程碑"式的盛会,能够参与奥组委和奥运会的信息安全保障工作,本身就已经体现了安全公司的综合实力和水准,同时也让我们看到了中国信息安全产业崛起的希望,给我们留下的必将是一笔宝贵的财富。