舉世矚目的北京奧運(yùn)會(huì)已經(jīng)勝利落下帷幕，全世界人民對(duì)4年一度的體育盛會(huì)投入了極大的熱情和關(guān)注，當(dāng)然其中也包括網(wǎng)絡(luò)上的黑客和攻擊者。

據(jù)資料顯示，悉尼奧運(yùn)會(huì)期間，奧運(yùn)官方網(wǎng)站經(jīng)受了113億次攻擊；雅典奧運(yùn)會(huì)，16天的比賽中就有超過500萬起信息技術(shù)安全報(bào)警信息；北京奧運(yùn)會(huì)無論從比賽規(guī)模還是參與人數(shù)都遠(yuǎn)超以往，因此，奧運(yùn)網(wǎng)絡(luò)與信息安全保障也被譽(yù)為“奧運(yùn)安全的第二前線”。

對(duì)于承接奧運(yùn)會(huì)官方網(wǎng)站安全保障工作的啟明星辰公司來說，如何保障網(wǎng)站穩(wěn)定有效運(yùn)行，是一項(xiàng)極富挑戰(zhàn)性的任務(wù)，需要有效的威脅信息收集系統(tǒng)、威脅分析和情況預(yù)警能力以及主動(dòng)的安全事件響應(yīng)能力。而事實(shí)證明，入侵檢測系統(tǒng)（IDS）在此過程中發(fā)揮了不可替代的作用。

奧運(yùn)官網(wǎng)威脅分析

奧運(yùn)官方網(wǎng)站安全服務(wù)項(xiàng)目旨在確保官方網(wǎng)站（www.beijing2008.cn）的安全運(yùn)維和其它信息內(nèi)容服務(wù)的安全性，保證奧運(yùn)官網(wǎng)在賽時(shí)能夠提供安全、穩(wěn)定的服務(wù)，特別是能夠承載大流量訪問，抵抗各類網(wǎng)絡(luò)攻擊，如DDoS分布式拒絕服務(wù)攻擊和網(wǎng)頁篡改攻擊。

奧運(yùn)官網(wǎng)所面臨的威脅主要來自于兩個(gè)方面：一是黑客的入侵和攻擊，諸如運(yùn)動(dòng)員年齡資料被改寫成“9 5歲”這樣的玩笑，試圖改變奧組委通過因特網(wǎng)向世界發(fā)布的比賽最后結(jié)果、篡改獎(jiǎng)牌運(yùn)動(dòng)員的名字等等是黑客們的拿手戲；另一方面，病毒和蠕蟲的入侵造成奧運(yùn)官網(wǎng)的癱瘓同樣具有毀滅性的打擊。

啟明星辰作為奧運(yùn)官網(wǎng)信息和網(wǎng)絡(luò)安全總服務(wù)商，自2008年6月起開始進(jìn)行滲透測試、代碼審核、風(fēng)險(xiǎn)評(píng)估、安全加固等前期安全服務(wù)工作，為了有效地對(duì)網(wǎng)絡(luò)訪問實(shí)施監(jiān)控，及時(shí)發(fā)現(xiàn)威脅，啟明星辰在奧運(yùn)官網(wǎng)出口處署了天闐入侵檢測系統(tǒng)（IDS），結(jié)合安全工程師全天候職守，對(duì)網(wǎng)站進(jìn)出流量進(jìn)行監(jiān)控。

“入侵檢測”一夫當(dāng)關(guān)

天闐入侵檢測系統(tǒng)（IDS）為威脅監(jiān)控提供了兩種途徑：

1． 實(shí)時(shí)報(bào)警

工程師可以通過實(shí)時(shí)報(bào)警顯示界面觀測到網(wǎng)絡(luò)中發(fā)生的安全事件，高中低不同級(jí)別的事件通過不同顏色加以區(qū)分。另外，對(duì)于重點(diǎn)關(guān)注的事件，比如最常見的拒絕服務(wù)攻擊，在自定義的窗口單獨(dú)對(duì)此顯示，工程師可以有針對(duì)性地在海量事件中提取有效信息。

2．實(shí)時(shí)流量圖

天闐還提供了實(shí)時(shí)的流量統(tǒng)計(jì)圖，通過流量曲線的變化，可以很直觀地看到網(wǎng)絡(luò)中各種應(yīng)用的分布情況。在奧運(yùn)期間就曾發(fā)現(xiàn)過某天夜間的網(wǎng)絡(luò)流量驟增，變化幅度超過正常范圍，現(xiàn)場職守工程師將這種流量異動(dòng)結(jié)合報(bào)警信息進(jìn)行分析，定位了威脅來源，發(fā)現(xiàn)是某一地域幾個(gè)IP地址頻繁對(duì)網(wǎng)站發(fā)起TCP半連接和掃描，可以判定為拒絕服務(wù)攻擊。

工程師向奧組委現(xiàn)場值班專家小組進(jìn)行預(yù)警，網(wǎng)絡(luò)安全專家經(jīng)過分析，結(jié)合其它安全設(shè)備，及時(shí)采取措施對(duì)攻擊行為進(jìn)行了有效地防御，保護(hù)了正常的Web訪問。在奧運(yùn)以及隨后的殘奧會(huì)期間，天闐IDS幫助工程師有效地發(fā)現(xiàn)、量化、定位了來自互聯(lián)網(wǎng)的威脅，并為威脅分析和響應(yīng)提供了數(shù)據(jù)和指導(dǎo)。

威脅并非一成不變，黑客發(fā)起攻擊時(shí)，手段總是千變?nèi)f化，這就要求IDS能夠“隨需而變”，針對(duì)入侵和攻擊的變化，及時(shí)調(diào)整檢測策略。天闐IDS提供每日安全事件統(tǒng)計(jì)報(bào)表，并定時(shí)自動(dòng)發(fā)送給安全專家小組成員。通過對(duì)每日統(tǒng)計(jì)事件變化的分析，安全專家可以在天闐系統(tǒng)上對(duì)原有檢測策略進(jìn)行修改和添加，針對(duì)一些可疑事件自定義檢測規(guī)則，設(shè)定參數(shù)，從而來應(yīng)對(duì)網(wǎng)絡(luò)攻擊的變化。

下圖所示就是8月23日和8月24日兩天，奧運(yùn)會(huì)官方網(wǎng)站Top10事件統(tǒng)計(jì)柱形圖和事件次數(shù)統(tǒng)計(jì)表，從中可以看到網(wǎng)絡(luò)威脅的變化情況，作為調(diào)整檢測策略的參考。

為了保證天闐IDS 對(duì)最新攻擊的檢測能力，啟明星辰的攻防專家和安全事件研究人員一直保持對(duì)最新漏洞和攻擊的研究和跟蹤。奧運(yùn)會(huì)期間，微軟等廠商相繼發(fā)布了最新的系統(tǒng)漏洞，啟明星辰及時(shí)升級(jí)天闐檢測規(guī)則庫，從常規(guī)的每周一次升級(jí)頻率提高到每日一次，一旦有利用這些漏洞的攻擊和最新病毒發(fā)生，天闐IDS 能夠精確檢測并報(bào)警，從而使應(yīng)急響應(yīng)專家能夠迅速采取措施，保護(hù)奧運(yùn)官網(wǎng)業(yè)務(wù)不受干擾。

3. 全面守護(hù)奧組委核心網(wǎng)絡(luò)

在奧運(yùn)會(huì)以及殘奧會(huì)期間，不僅是在奧運(yùn)會(huì)官方網(wǎng)站，在奧組委辦公網(wǎng)絡(luò)中，天闐入侵檢測系統(tǒng)也成為安全監(jiān)控的主力，就像是龐大計(jì)算機(jī)網(wǎng)絡(luò)中的攝像頭，記錄這網(wǎng)絡(luò)中發(fā)生的一切可疑行為和事件，實(shí)時(shí)將威脅有效的呈現(xiàn)給網(wǎng)絡(luò)安全管理人員，像那些真正的安全衛(wèi)兵一樣保護(hù)著奧運(yùn)會(huì)。

在啟明星辰承建的奧組委辦公網(wǎng)（管理網(wǎng)）網(wǎng)絡(luò)監(jiān)控系統(tǒng)中，需要對(duì)部署的各種安全產(chǎn)品（包括防火墻、防病毒、應(yīng)用系統(tǒng)、網(wǎng)絡(luò)設(shè)備等相關(guān)產(chǎn)品)和相關(guān)的應(yīng)用系統(tǒng)進(jìn)行數(shù)據(jù)收集，進(jìn)行統(tǒng)一實(shí)時(shí)報(bào)警，幫助監(jiān)控人員及時(shí)發(fā)現(xiàn)網(wǎng)絡(luò)中的各種安全事件和異常行為，并進(jìn)行快速定位。這些都離不開天闐IDS的巨大作用。

奧運(yùn)官網(wǎng)和奧組委辦公網(wǎng)的安全運(yùn)行，不僅僅依靠天闐IDS的工作和維護(hù)，更依靠在天闐提供的數(shù)據(jù)基礎(chǔ)上的分析。在奧運(yùn)會(huì)和殘奧會(huì)期間，啟明星辰安排了7×24小時(shí)現(xiàn)場值守工程師、安全專家小組以及應(yīng)急響應(yīng)隊(duì)伍，建立了科學(xué)的事件上報(bào)和處理流程，一旦發(fā)生安全問題，即可調(diào)動(dòng)多方資源及時(shí)支持現(xiàn)場監(jiān)控人員。

天闐IDS經(jīng)受住了流量的考驗(yàn)，體現(xiàn)了全面的檢測能力，在發(fā)現(xiàn)威脅、準(zhǔn)確定位、量化威脅，從而科學(xué)分析事件和快速解決響應(yīng)的過程中發(fā)揮了不可替代的作用。

全面負(fù)責(zé)奧運(yùn)會(huì)安全保障項(xiàng)目的啟明星辰CTO劉恒博士評(píng)價(jià)說，IDS對(duì)于防范網(wǎng)絡(luò)攻擊尤其是DDoS攻擊可以起很大作用，在啟明星辰對(duì)產(chǎn)品做了策略優(yōu)化配置之后，通過流量模塊管理功能和其它產(chǎn)品的關(guān)聯(lián)，提前發(fā)現(xiàn)和成功處置了奧運(yùn)會(huì)官方網(wǎng)站90%以上的DDoS攻擊。

天闐IDS在奧運(yùn)官網(wǎng)維護(hù)過程中的實(shí)戰(zhàn)經(jīng)驗(yàn)無疑為我們以后更合理地開發(fā)、使用和維護(hù)入侵檢測產(chǎn)品，更正確地認(rèn)識(shí)和發(fā)揮入侵檢測產(chǎn)品的價(jià)值提供了借鑒和參考。