奥运倒计时

北京奥运安全倒计时

奥运会网络会运行三大系统：计时

计分系统（Ｔｉｍｉｎｇ＆Ｓｃｏｒｉｎｇ）、信息

发布系统（ＩＤＳ）以及运动会管理系统

（ＧＭＳ）。

计时计分系统比赛成绩实时显示在

计分牌上，同时传送到计算机里。成绩

的记录以及处理完全是实时的，因此要

保证这个系统的高可用性和数据不被篡

改。之后，比赛成绩要传送到信息发布

系统，然后发布到网站、媒体中心、国

际广播中心，这个系统是接近实时的，

因此也要保证系统的高可用性和数据不

被篡改。运动会管理系统主要是对奥运

会资源的分类和管理，包括参赛人员的

制证系统、工作人员管理系统和交通系

统等等，它的重点是要保证信息的机密

性和数据不被篡改。

２００８年北京奥运会共有２８个体育

大项、３０２个小项、７０多个竞赛和非竞

赛场馆；约有１万多名运动员、２万多名

媒体记者和２０万名注册人员参与比赛；

比赛过程中，将有超过１万台ＰＣ机，１０００

台服务器和ｌ ０００多台网络设备投入使

用，约有４０００名ＩＴ技术人员为保证系

统的安全和可用性而工作。

源讯公司是奥运会的全球信息技术

（ＩＴ）合作伙伴，需要跟所有的合作伙伴

和设备提供商打交道，进行总集成。奥

运系统对安全的需求，一是保证高可用

性、数据不被篡改和高机密性；二是比

赛时间是固定的，因此必须在奥运会开

幕前把所有的系统都准备好；三是解决

源讯公司北京２００８奥运会信息技术安全经理 Ｖｌａｄａｎ Ｔｏｄｏｒｏｖｉｃ

ＩＴ系统的问题只有几秒钟的时间，而且

没有第二次机会。

针对以上情况，我们应用信息安

全总的方法论来应对：

第一步分析业务需求。定义什么是

正常行为，对系统重要性进行分级，定

义系统的安全措施，对系统实施情况进

行度量。

第二步进行业务分析。分析系统哪

些地方会出现漏洞，然后根据这些风险

制定一些实时的保护措施。

第三步实施系统建设。首先设计

整个信息安全的系统框架，建立安全的

监控措施，然后对系统进行测试，包括

系统反应时间以及对非正常行为的监

控，最后进行结果分析、系统审计和漏

洞统计。

这些步骤只完成了第一个阶段的循

环，我们接下来还要进行第二轮的分

析、实施、测试和结果分析……不断循

环，使系统达到最佳效果。

访问控制权限

我们会定义访问人员的角色、访

问权限、远程还是本地、访问的资源。

我们在比赛内网定义了超过２００个系

统，对于每一套系统都会定义它需要采

用的工作站、硬件、软件，包括它的操

作系统和基础设置，以及系统可能具有

的一些漏洞，再对这套系统进行加固和

标准化。接下来要对网络流量进行分

析，定义网络里面所有的流量、ＩＰ地址、

采用的网络协议，最后生成正常行为的

定义。

对于每一个风险场景，我们都会分

析“Ｗｈａｔ（可能产生的攻击）”、“Ｈｏｗ

（攻击所采用的方式）”和“Ｗｈａｔ ｆｏｒ（发

动攻击的目的）”。对于可能出现的风

险，我们会安排技术演练（ＴＲ），明年

会有ＴＲ １和ＴＲ２两次很重要的技术演练

进行测试。

为了尽量减少攻击的可能性，我

们对比赛网和外网的连接控制得非常

严，只有天气预报和一些人员配置审查

的信息拥有连接端口，除此之外完全是

一个封闭的系统。信息传输尽量做到只

从内向外，反向极少。对必不可少的数

据交换，采用双层结构一所有对内对外

的连接都要经过双重连接，要进行攻击

的话必须穿过两层防火墙，保证了网络

的安全。

风险场景测试

比如，某台笔记本插入了提供比赛

信息的ＩＮＦＯ网络，对ＩＮＦＯ Ｓｅｒｖｅｒ进

行拒绝服务攻击。对这个风险场景，我

们会定义风险的两个方面，一是对业务

的破坏有多大，二是风险发生的可能性

有多大。具体到这个例子中，危害产生

的可能性非常高，破坏性非常严重，所

以对它的定义最终是９级。

针对这个攻击，会采取两方面的

维普资讯

措施来降低它发生的可能性以及造成的

危害。

首先，对ＩＮＦ０ Ｓｅｒｖｅｒ进行最优化

配置可以降低破坏性，其次是对信息安

全的监控，如对服务器ＣＰＵ应用进行监

控，及时发现反常的情况；所有的应用

系统都是分布在不同的网络ＶＬＡＮ（虚

拟局域网）里，一个区域里面发生攻击，

不会影响其它系统的运行。

为了减少网络渗透的可能性，我们

采用在比赛网的每一端口只允许指定机

器进行接触，所有其它机器的接触就会

被禁止。最后会加固操作系统，保证攻

击的可能性降到最低。

奥运会过程中，会有一个核心的安

全团队对ＩＴ系统进行２４小时的值守。团

队包括一名值班经理，几名安全分析专

家和几名安全事件应急反应人员。一旦

有安全事件发生，值班经理会对任务进

行分配，由分析专家进行分析或者让应

急反应人员进行处理。

实时监控

虽然事先采取了措施，但在运营中

仍然需要采用监控措施，包括网络入侵

监测、系统ＣＰＵ应用检测以及网络流量

检测。

我们采用的是一种主动性的风险管

理系统。

２００６年都灵冬奥会，ｌ７天的比赛过

程里产生了５０００多万条报警信息，因为

包括操作系统、防火墙、防病毒在内的

所有安全设备都会不断产生报警信息，

但是很多信息与真正的安全事件无关。

如此巨大的信息量，要求管理系统必须

是主动和实时的，对从所有的安全设备

得到的报警信息进行智能化处理过滤。

接着，我们将过滤后的信息进行关联分

析之后，得到５７万多个关联信息，再对

它进行进一步的智能处理，再剩下ｌ５万

条……最后剩下ｌ８５条报警信息是值得

我们关注的。

我们会把这些信息的优先级调高，

供安全人员进行分析，最后产生了需要

处理的４９个安全事件。当然，最后的结

果是对系统没有任何影响。

都灵冬奥会曾经发生过一件真实

的案例。一名志愿者在某个场馆对奥组

委办公网进行攻击。报警系统首先发现

攻击后，通知场馆的保安逮捕了这名嫌

疑人。

嫌疑人宣称他的朋友将在不同的场

馆对系统进行攻击。根据警察的分析，

跟他相关的人员大概有９８个，但不可能

立刻停止这些人员的所有工作，于是我

们调整了动态优先级，将这些人员在比

赛网里面的一些活动信息的优先级标

高，如果他们从事一些危险行为，我们

会及时阻止他们。结果使这一事件没有

造成任何影响。

端口安全

在过去的比赛中，端口的安全报警

发生较多。因为总会有志愿者或者媒体

企图利用自己的笔记本接人到比赛网络

中。但这种情况下，端口马上就被封掉，

不会发生进一步情况；同时这个信息会

被中控系统监测到，安全人员马上会到

现场去检查，这种行为是有意还是无意

的。另外一种比较多的情况，是企图用

管理人员帐号进行非法登陆，一旦密码

错误报警超过三次，系统就会记录下

来，同时通知场馆的安全人员。

因为病毒的破坏性极强，因此我们

采用了多重安全措施，保证病毒发生的

可能性最低。最外层是物理层，如果接

入网络必须要有自己的权限，其次还有

许多防病毒系统和监控系统，完全可以

把风险降到最低。

总之，对待安全问题最重要的是进

行主动防御，保障攻击的企图能够被最

先发现并阻止，而不是在攻击发生后再

进行处理。但所有的系统都不能保证百

分之百的安全，我们采用的方式是根据

不同的系统采用不同的措施，尽量减小

它的风险性。

举例来说，ＩＮＦＯ终端是放在公众

场所，提供给媒体、场馆工作人员和其

他志愿者进行浏览使用的。这个终端只

允许ｗｅｂ浏览，没有其他的功能。除了

对系统进行加固外，我们还会监控它所

有的非正常使用情况。

比赛前ＩＴ系统会进入冻结状态，

不再更改，杜绝更改后造成的新风险。

北京奥运的特点就是场馆分散，从北

京到青岛到香港，不同场馆之间的信

息交互由中国网通提供。北京场馆采

用双环全光网，香港场馆采用专线，所

有的网络都是双电路双备份。在设备

大规模安装实施阶段，所有场馆使用

的服务器、工作站和笔记本，都会在ＰＣ

工厂预装我们配置好的系统，然后直

接运到场馆安装使用。所有的系统也

都是在专门的集成实验室测试好后，

再实施到场馆去。圈

（Ｖｌａｄａｎ Ｔｏｄｏ ｒｏｖｉｃ担任北京２００８奥运会信息技术安全经理，负责ＩＴ风险评估．安全政策制定．安全

规划、安全审计以及易损性测试．并且负责运行受控的安全服务．就潜在的Ｉ Ｔ网络威胁进行评估．

确定优先级．通告，确保奥运会顺利进行。此前曾任雅典２００４奥运会及都灵２００６冬奥会安全信息

管理系统建筑师。）

维普资讯