中国,深圳——从这里开始,天融信携2008年奥运会安保经验、2010年上海世博会安全保障支撑经验、2010年广州亚运安全体系设计与集成经验,结合大运会新的网络应用特点,为大运会信息安全服务做出了突出贡献。在持续的12天时间里,天融信圆满完成了大运会组委会交予的任务。
一、2011深圳大运会信息系统及网络概况
2011年世界大学生夏季运动会(以下简称“大运会”)场馆包含43个竞赛场馆、23个训练场馆,以及14个非竞赛场馆。其中Games网和Admin网是大运会重要网络系统,保障Games网和Admin网的稳定、可靠、高速、安全实现大运会期间各个场馆的稳定、高速、安全的互联,通过各个场馆内的信息系统,实时的采集赛事信息,并通过信息系统的集中管理,为运动员、裁判员、记者、观众等提供及时的赛事信息发布,同时为信息管理中心提供全面的亚运会信息管理。因此,大运会的安全体系建设要充分的分析大运会期间的各种信息系统对网络建设的需求,以及大运会本省所具有的特点。
二、2011深圳大运会的安全特点
根据大运会信息系统的特点,大运会赛事系统存在以下两个非常突出的差异性:
- 从业务重要性的角度:大运会赛事系统各类应用系统承载的业务是不同的,各类业务系统的重要性也是不相同的,从信息系统的三性分析,可以看出,不同业务系统在机密性、完整性和可用性三个方面的,需要的保护强度也是不同的;
- 从阶段的角度:大运会系统信息化建设包含了筹办期间、场馆化期间、比赛期间和赛后总结四个大阶段,各个业务系统在不同阶段的重要性也是不同的,并且需要的保护强度也是存在差异性的。
作为万众瞩目的大运会,在举办期间必然会成为黑客关注的焦点。综合当前常见的安全问题,大运会赛事系统中突出的安全隐患包括病毒、人员滥用、网络入侵、内部缺乏访问控制、存在网络设施与主机的漏洞,同时相应的技术手段不完善。大运会赛事系统中应用系统安全防护的主要目的是:通过引入必要的安全防护手段,强化信息系统的抗攻击能力,为上层应用系统提供可靠的运行环境,保障信息系统的高可用性和高完整性。大运会的系统的安全建设需求为:以风险为主线,实现4个方面的安全防护需求,分别为:
- 风险预防需求
- 风险监视需求
- 风险控制需求
- 风险处置需求
根据天融信在奥运安保和上海世博信息系统保障的经验,大运会的信息系统区别于其他信息系统,其安全保障的特点,除了不同信息系统的重要性存在差异以外,在大运会赛时期间,随着时间的推移,信息系统需要的保护能力也存在很大的差异性。
通常信息系统的保障能力包含三个方面,分别是防护能力、监控能力和应急能力,三种能力综合起来,确定了信息系统的安全保障能力,通常一般信息系统中这三种能力是相对稳定的,对三种能力强度的需求也是相对持续的,但对于大大运会,随着赛程阶段、场次、时段的变化,对三种防护能力的要求也是不断变化着。总体来讲,大运会赛事系统信息安全保障能力的差异性特点表现在以下三点:
三、大运会信息系统网络安全设计
大运会信息系统安全保障体系的设计思路,主要依据天融信的2008年奥运会经验、2010年上海世博信会安全保障支撑经验、2010年广州亚运安全体系设计与集成经验、等级保护建设经验,对大运会Games网和Admin网业务系统理解,以及ISO27001、IATF、ITIL等相关标准。在理解大运会信息系统业务特点基础上,充分借鉴和参考了上述经验及标准,将为大运会信息安全保障奠定坚实基础。安全保障体系的设计思想来源图示如下:
大运会Games网和Admin网的安全保障思路为:
- 充分利用天融信在2008年奥运会安全保障、2010上海世博的神经网络中枢之世博信息安全综合管理系统建设与运维的经验、2010年广州亚运安全体系设计-集成-运维经验;
- 充分与深圳大力推进的等级保护试点工作和风险评估工作相结合,对大运会赛事系统依照国家有关等级保护和风险评估的要求进行调研和评估;
- 根据前期调研成果,依照ISO 27001构建基本的信息安全管理体系;
- 根据前期调研成果,依照IATF构建信息安全保障技术体系;
- 依据等级保护分域防控思想,对信息系统进行分级分域划分和采取针对性的保护措施;
- 根据前期调研成果,基于ITIL的服务体系构建自身安全服务管理体系。
对大运会的安全保障,天融信则全力配合大运会项目组。在本次服务中,业务目标清晰,我们所需要的就是一种基于神经网络的信息安全综合管理体系,实现知晓全局的安全保障。以业务为核心的安全保障,并且这种安全保障需要全局观的安全策略,一系列可以实实在在的落地安全策略和准确有效地安全感知,从而形成有一个大运会安全保障体系。
如何知晓全局、如何使这些网络安全设施能最大限度地发挥其安全保障功能,就必须借助一个良好的安全运维管理平台,知晓全局,分析业务流程,对业务系统的运行进行有效的安全监控、安全审计、健康性评估等方面的管控,从全局的角度进行安全策略的管理,实时的事件监控及响应,为管理者提供及时的运行情况报告、问题报告、事件报告、安全审计报告和风险分析报告、健康性报告,从而使决策者能及时调整安全防护策略,恰当地进行网络优化,及时地部署安全措施,消除网络、系统和组织中的问题与安全隐患。只有这样,大运会的信息网络和业务应用系统才能真正地实现安全运行,从而形成确实有效的大运会安全保障体系和管理机制。
四、2011深圳大运会信息系统网络安全建设
根据上述安全保障设计思路和分析,大运会Games网和Admin网安全建设如下:
- Games网的安全建设
Games网的安全建设需要分别对主数据中心、备份数据中心、场馆及非场馆区、Games与Admin互联等安全区域,结合各安全区域的特点、安全需求,分别制定详细的安全策略。可用的网络安全设备包括:防火墙系统、入侵检测系统、日志审计系统、上网审计系统、网闸、安全运维系统、接入管理系统、终端防护系统、非法外联系统及网络防病毒系统等。
- Admin网的安全建设
Admin网的安全建设需要分别对主数据中心、备份数据中心、场馆及非场馆区、Admin与互联网、电子政务网、Games网互联等安全区域,结合各安全区域的特点、安全需求,分别制定详细的安全策略。可用的网络安全设备包括:防火墙系统、入侵检测系统、日志审计系统、上网审计系统、网闸、安全运维系统、接入管理系统、终端防护系统、网页防护系统以及网络防病毒系统等。
五、天融信提供的主要安全系统
天融信在本次大运会中提供的主要安全系统如下:
- 天融信安全运维系统
安全运维系统2套,分别部署在Admin网和Games网非竞赛场馆中的主数据中心(MDC),用于监控管理所有竞赛场馆与非竞赛场馆设备和终端PC的使用情况。实时大运会场内网络的安全事件并及时预警、响应和处理,并综合分析大运会网络的整体安全趋势和安全态势,充分发挥神经中枢的作用,全方位监测与保障大运会Admin网和Games网的安全运行。
- 天融信高性能千兆防火墙
共使用66台,分别在Games网和Admin网各安全域边界和网络出口。
- 天融信日志审计系统
日志审计系统2套,分别部署在Admin网和Games网非竞赛场馆中的主数据中心(MDC)。对大运会的信息系统中的安全设备、网络设备、应用系统、操作系统等多种产品及系统进行全面的监控,从网络到设备直至应用系统的监控。在对日志信息的集中收集、关联分析的基础上,有效地实现了全网的安全预警、入侵行为的实时发现和入侵事件动态响应。
- 天融信非法外联监控系统
非法外联系统2套,部署在Games网2620个终端上。发现内部网计算机非法接入互联网和外来主机接入内部网等行为,及时告警切断非法的连接,从而保障内部网与外界的完全隔离,确保内部机密信息的安全。
- 天融信接入管理系统
接入管理系统2套,分别部署在Admin网4713终端和Games网2864终端。能够在整个网络上实时执行动态策略管理,将用户身份、端点完整性及定位信息与接入控制捆绑起来,可以解决平衡接入和安全控制的问题。
- 天融信终端防护系统
安全终端防护系统2套。分别部署在Admin网5270终端和Games网2620终端竞赛与非竞赛场馆中供内部使用的终端PC上,每个场馆都安装有此软件服务端工作站,软件客户端与服务端实时通讯保证及时的软件更新及安全策略的下发。
历届大运会中,2011年深圳大运会本届赛事共设24个大项、306个小项,项目数量创历届大运会之最。通过本次对大运会信息系统的安全保障与管理单位的服务,再次展示了天融信在大型活动中的综合信息安全保障能力与实力,并且沉淀了丰富的实践经验。今后,天融信将以更高的起点为您服务,续写安全保障新篇章!
