安全：信息也需做“安检”

    随着北京奥运会渐行渐近，奥运安全保障也吹响了“集结号”。为了确保奥运期间公共交通的稳定运营以及人们的安全出行，自6月29日开始，北京地铁全线93个车站进入安检期。据了解，此次地铁安检引入了新的技术手段比如光检测仪、手持金属探测仪、液体检测仪等，将安全检查重点指向枪支弹药、管制刀具、易燃易爆及放射性、毒害性等八大类可能影响公共安全的物品，旅客须通过安检通道才能进入地铁站。与地铁安检带给人们直观感受不同，有一种特别的“安检”正在“默默地”保障奥运有条不紊地进行，这就是信息安全安检。

    2000年悉尼奥运会期间，官方网站经受了113亿次攻击；2004年雅典奥运会，16天的比赛中记录显示就有超过500万起信息技术安全报警信息，其中严重警报425起、危急警报20起。2008年，奥运会的接力棒传到了中国手中，众多远距离场馆的网络连通、参会人数的众多等都是以往奥运会无法匹敌的，这意味着为奥运信息安全保驾护航的任务将更加富有挑战。

    据网御神州信息安全高级顾问卢青对介绍，奥运会期间，信息安全的风险主要为黑客入侵和攻击对关键业务系统造成破坏；病毒和蠕虫造成网络和关键服务器瘫痪；网络接入混乱，没有有效的接入控制手段，关键资源遭泄漏或者破坏。保障奥运信息安全的“安检”正是需要隔离和排查以上安全隐患，整体布局思路主要分为三个部分：首先，严格的接入控制，确保端点安全；其次，分级部署，确保关键应用和业务；最后，集中管理与控制，以达到协同安全。

    构筑奥运信息安全防护体系的重点和难点是保障网络和关键应用的可用性，分解来看就是要通过攻击、入侵检测与防护来保护WEB、邮件等关键应用服务器避免遭受黑客、木马的攻击和入侵，通过屏蔽P2P、蠕虫、病毒、木马等导致的异常流量保护网络避免拥塞。同时对于内部网络的安全性也不可疏忽，通过严格的接入认证控制、分级管理，避免关键资源泄漏、黑客入侵从内部发起、病毒/木马爆发导致流量异常。其中重点措施是通过分级部署安全设备比如防火墙、IPS、防病毒、反垃圾邮件、桌面管理软件等；同时，要及时的部署SOC，以保证协同安全。

    然而，正如在早8点与晚6点的出行高峰期，地铁安检工作有可能将会造成拥堵、超员甚至是乘客滞留现象一样，确保安全和快速高效之间难以调和，这在信息安全领域也是如此。如何平衡其中矛盾，关键在于针对网络和应用状况，进行合理的分级、有针对性的部署，比如反垃圾邮件可以部署在网络出口，但为了保证效率，部署在邮件服务器前， 既充分避免垃圾邮件的危害，又保证了处理效率，不会影响除邮件外的绝大部分数据流量的处理性能。IPS部署在关键服务器之前而不是网络出口也是应用同样道理。

    备战奥运已进入倒计时，应对奥运信息保障课题所带给信息安全工作的机会和挑战，各行各业都应该正视信息风险的存在，将信息安全纳入全面管理的风险之中，针对具体风险状况构筑坚不可摧的信息安全堡垒，以在确保“科技奥运”大背景下健康有序地实现可持续发展。