4 安全运维服务

　　4.1 安全运维服务总框架

　　广州亚运会安全服务内容极其丰富，各服务子项是紧密联系的，同时阶段性很强(不同阶段重点不同)，如下图示。

▲图表 10 广州亚运会安全运维服务总框架图

　　4.2 安全运维服务内容及成果

　　4.2.1 安全评估服务

　　 服务内容：渗透测试、漏洞扫描

　　 服务范围：赛事网关键应用系统、关键服务器和网络设备

　　 服务频率：2009年1次，2010年1次;

　　4.2.2 安全咨询服务

　　 服务内容：根据ISO 17799和等级保护系列标准族有关管理规范的要求，结合亚组委实际制定明确的信息安全管理策略，从人员管理、物理环境与设施管理、设备与介质管理、运行与开发管理和信息保密管理五个方面进行日常安全管理工作;

　　 服务频率：一次性编制相关安全管理制度。在根据用户要求，提供后续修改协助服务;

　　4.2.3 安全加固服务

　　 服务内容：根据分析扫描、渗透测试结果，提出加固建议并落实;

　　 服务范围：包括赛事网系统500多台服务器;

　　 服务频率： 2009年开展一次加固服务，在技术演练、测试赛，安全服务商以每月1次的频率开展安全加固服务。

　　4.2.4 安全通告服务

　　 服务内容：

　　 厂商安全通告：根据客户订阅内容，提供主流厂商的中文安全通告，包括AIX、Solaris、Windows、Linux、CISCO等;

　　 集成商自身安全通告：本联合体发现的安全问题通告和其他有必要提示的重要安全问题通告;

　　 其他安全通告：其他应用系统和安全组织的安全通告;客户关心的安全技术的最新发展情况通告;最新公布漏洞及解决方法安全通告;最新的病毒动态及防治;对于影响力大的计算机病毒24小时内提供具体的检测和修复办法;

　　 服务频率：每周一次;测试赛、技术演练、亚残会正式比赛期间每天一次;爆发重大病毒传播或紧急安全漏洞提供紧急安全通告服务;

　　4.2.5 安全监控服务

　　 服务内容

　　 流量分析

　　 日志审计

　　 安全日志关联分析

　　 策略分析

　　 服务频率：在技术演练、测试赛和比赛阶段，本联合体及厂商提供实时驻场安全监控服务，提供整个信息系统范围内的监控分析结果，及时发现安全隐患。

　　4.2.6 驻场服务

　　 服务内容

　　 在亚运会及亚残运会比赛期间，提供现场7×24小时现场监控服务，达到100%的用户响应度;

　　 监控系统的工作状态，监控重要系统参数，并做好记录;

　　 定期对监控记录和日志进行分析，发现系统存在的故障隐患和安全隐患，并及时解决;

　　 配合安全应急响应服务小组的工作安排，及时汇报各类信息;

　　 服务范围

　　 驻场服务覆盖亚运会涉及到的数据中心、备份数据中心、奥体中心体育场、广州体育馆、国际广播中心、主新闻中心、亚运村、物流中心 。具体驻场地点由亚组委指定。

　　 服务频率：在亚运会及亚残运会举行期间本联合体及各设备厂家提供技术人员进行现场7×24小时驻场服务。具体驻场地点由亚组委指定。

　　4.2.7 应急响应服务

　　 服务内容：黑客攻击事件、非法信息事件和安全设备恢复或更换、编制安全事件应急子预案;

　　 响应时间：

　　 赛时人员响应：7*24小时、实时现场响应;

　　 非赛时人员响应：7*24小时、半小时内到达现场响应;

　　 赛时产品故障响应：不超过半小时的恢复或应急响应;

　　4.2.8 服务成果

　　相应的安全服务成果主要有：《试运行计划》、《技术演练总结报告》、《测试赛总结报告》、《AGIS安全管理制度(系列)》、《赛时应急预案》、《赛时运维保障方案》、《安全评估报告》、《安全加固方案》、《监控报告》、《安全通告》以及各类《培训教材及课件》等。

　　4.3 赛时安全运维及效果

　　4.3.1 组织结构及职责

　　赛事网安全团队内部组织结构如下图示。

▲图表 11 AGIS安全团队组织结构图

　　各类角色各司其职,以ITCC技术经理为例,其职责是:

　　 负责整个赛事网专网的信息安全的运行和管理，并负责统筹和管理所有比赛场馆与非比赛场馆赛事网专网的信息安全技术工程师;

　　 安排对赛事网信息安全核心的安全设备进行日常巡检;

　　 及时发现赛事网专网信息安全隐患，最快速的响应的处理安全事件;

　　 主动发现网络和流程中可能存在的问题，采取措施处理;接收信息安全专家的建议和策略，分析可行性和风险，并采取措施;及时向AGIS信息安全组长汇报运行情况和问题解决建议;

　　 向赛事网信息安全管理岗位(P类)汇报;

　　 接受来自各场馆赛事网信息安全工程师的情况汇报和报障，并采取措施及时处理，保障网络的安全运行;

　　 向赛事网安全项目经理、副经理汇报。

　　4.3.2 安全事件处置统计

　　在亚运会和亚残会赛事期间, 赛事网安全团队总计处理了百余次有记录的安全变更或安全事件处理。主要包括防火墙策略变更、网闸策略变更、场馆U盘临时开启及控制、疑似病毒处理、临时PC准入开启及控制等。

　　通过各类监控平台(摩卡/SOC/IDS/防病毒)，配合其他安全设备的日志审计，发现和处理各类安全事件统计如下：

　　 分布式拒绝服务40万次

　　 拒绝服务1.1万次

　　 网络数据库攻击150次

　　 木马后门20次

　　 缓冲溢出10次

　　 病毒事件6次

　　 可疑行为90次

　　由于安全设备策略配置的合理性、服务器设备及应用系统的健壮性,绝大多数安全事件被安全保障体系执行解决，自始至终未发生有破坏力的安全事件，有力地保障了赛事网系统的持续稳定安全运行。

　　5 总结

　　大型赛事信息安全一直以来都是有关部门关注的重点，也容易发生突发事件。所以，2010广州亚运会赛事系统网络的信息安全保障工作其紧迫性、严峻性、复杂性都高于一般企业网络。不过，天融信通过为世博会这样的大型活动提供全面的信息安全防范体系建设，积累了大量实战经验，并在2010广州亚运会赛事系统网络的信息安全保障工作中继续发扬光大，取得了瞩目的成绩。

　　此次2010广州亚运会的圆满举办，天融信付出了辛苦努力，也经受住了考验。而一次次大型活动信息安全保障任务的圆满完成，也证明了天融信有资格扛起引领民族信息安全产业发展的大旗。肩负民族信息安全使命，天融信一直没有松懈。回顾历史，展望未来，天融信仍将时刻鞭策自己，为民族信息安全产业贡献更优秀的产品，更贴心的服务，更坚不可摧的信心安全保障体系解决方案。