二、对于后奥运信息网络安全的思考
北京奥运会为信息安全留下了很多宝贵的东西,值得所有直接和间接参与奥运安保工作的机构、企业去思考和总结。
奥运会结束后,不管是企业还是用户,应该有什么思考和收获,未来的信息安全究竟应该怎么做?
谈到这个问题,刘恒最深的感受是“安全是艺术”。“这次奥运会也是艺术。国际上的安全专家提出‘每个人都有自己安全的方法,每个人都是大师’,这是对安全的非常好的诠释。很多的安全产品和应用都是零散的,艺术也代表了一定程度的‘无序’。”
第二,安全是科学。“在方案的设计和实施中要尊重科学,科学的原则能为用户省下数百万元。”
第三,未来信息网络安全行业的竞争是综合实力的较量,包括是否有安全技术方面的专门研究和深厚积累、是否有全面完整的产品线、是否经过大的项目的考验和历练,这些都是安全企业整体实力和核心竞争力的体现。
第四,在这次奥运会中,有些安全理念被印证,有的则被颠覆,安全和用户需求一样,始终不断变化。
比如安全服务,奥运期间,启明星辰共为5000多个奥运相关对象进行经授权的渗透性测试;涉及300多个应用;评估加固了近1000台设备;奥运应急响应5831次;安全现场值守44,016小时;发现10,000多个中高级安全漏洞;监控上千万次安全事件……
这组数字无疑是惊人的,它们代表的是一场又一场艰难的安全实战演练,而这一切的背后,我们看到,“安全成为服务”这一理念已经走下神坛,在奥运会这样的大型舞台上得以印证,并被用户所接受。
“再比如,传统的安全模式在奥运实战中出现了一些问题,我们要保护的网络是有史以来最复杂、庞大的网络,如果依靠传统的PDR模式,很难达到预期的保护水准。”刘恒说。
众所周知,PDR是信息网络安全的经典模型,即从预防(Prevention)——用技术构建基础保护架构设施,到监测(Detection)——监测是否有网络攻击行为,再到响应恢复(Recovery)——发现攻击后及时响应恢复。
但在奥运复杂的网络结构面前,这种模式面临着新的考验:该如何部署保护措施?过去许多用户采取了这种模式,但为什么网络还是不断遭受攻击?
“经过用户、安全专家的反复开会讨论,我们发现,应该反过来思考问题,也就是RDp:应该首先思考并罗列出可能出现的最恶劣的情况,针对这些情况部署应急处理方式;然后在安全保障过程中,及时监测网络中的情况;最后才考虑采用适当的安全防范内的产品,小写的‘p’代表适度防护,不该花钱的地方就不用花钱。”
有一个实际的例子,在启明星辰实际研究后,发现一个客户的很多服务器上不需要安装万兆防火墙,从而为客户节约了很多资金。但在检测环节却加强了,帮助客户监测几万次、甚至上亿次的事件,另外还建设了一个监控中心,可以把所有的事件进行汇总。
“这种方式最终证明是有效的,一是确保在最坏情况下,我们有应对措施,二是减少在预防保护上的投入,体现“适度防护”,三是过程中重点做好安全监控,及时发现并处理问题,有效地将攻击扼杀在摇篮之中。”刘恒说。
奥运会带来了信息安全理念上的革新,从来没有一个用户像在奥运期间这样重视安全,这本身就是对信息安全企业的巨大挑战。刘恒说,对于安全企业来说,未来三件头等大事,第一件就是要在安全领域做深、做专,第二是做好攻防人才和知识经验的积累,第三是加强服务,后奥运时代,安全服务无疑将成为厂商间竞争的新的利剑。
三、奥运感受TOP10
最后,刘恒总结了启明星辰在奥运安保工作中的十大感受。奥运已经成为过去,那些紧张刺激又充实精彩的日子也已成为记忆,但这些切身的体会将被不断总结和创新,融入到启明星辰领先的信息安全整体解决方案中去,变成真正的奥运“安全”遗产。
1. 复杂是安全的最大敌人。互联网、政府内网等等的复杂度带来了更多的安全问题,不要期望一次就全部解决掉。
2. 应用安全成为新的挑战。要把系统和安全结合起来,在应用开发阶段就做很多的安全工作,这一点还很薄弱。
3. 安全责任始终需要放在第一位,用户需要的是能承担责任的公司,能帮用户真正解决问题的公司。安全不可能完美。
4. 中国市场的安全成熟度还不高。最高的级别是全面开发,所有人都成为安全的倡议者和关注者。我们要不断寻找安全的驱动力,提高安全成熟度。
5. 安全的新挑战在于要保护所有的点。不仅满足安全需求,还要保障系统可用并节省成本,奥运安保就是一个典型的案例。
6. 安全意识的培养很重要。
7. 重视安全过程的控制。安全是个过程,有时候不用花钱就能解决问题,比如资产的投入和分类等,这些在安全过程中同样重要。
8. 安全必须进行规划,明确先做什么,后做什么。
9. 关注安全效果。
10. 安全迟早会成为服务,只有通过服务才能把安全做好。比如奥组委的网络,需要的不是产品,而是一种保障和承诺,这就需要专业的安全服务和人才。
