中国电科集团服务世博会 做好信息安全乘法

随着上海世博会的开幕，一场“平安世博”信息安全保卫战已悄然展开。这场耗时长达半年、总体风险值非常之高的信息安全保卫战将如何部署，成为当下业界关注的热点。在信息安全领域的权威人物———上海世博会信息安全保障应急响应决策咨询专家和技术处置专家张建军看来，世博会是一个提升信息安全“常态化”的机会，要将信息安全看作贯穿信息系统生命周期的一个基本属性去管理，将“安全”当作乘法来做。

将“安全”当作乘法来做

今年3月，张建军所在的单位中国电子科技集团公司第30研究所旗下上海三零卫士信息安全有限公司(以下简称“三零卫士”)成为上海世博会首批信息安全保障应急响应支撑单位，同时他本人被聘为上海世博会信息安全保障应急响应决策咨询专家和技术处置专家。

在服务于上海世博会之前，三零卫士承担过北京奥运会的信息安全保障工作。张建军在接受《中国电子报》记者采访时说：“同为举世盛会，面临同样的挑战和压力，我总结了三零卫士3条参与北京奥运会的经验，成为我们对世博会服务的有效工具。”

张建军总结的三零卫士奥运会保障经验如下：一是专门成立奥运会安全保障小组，建立网站监控体系，实现24小时不间断监控，并专门整理了一套奥运会网站工具集，根据检测对象特点，通过定期修正工具的测试策略，尽可能提前发现安全问题。二是采用24小时轮流值班的方式，换班过程通过值班表的方式进行记录监控情况，有效保障数据的同步性、及时性，通过两个点同时进行监控，尽可能做到及时、全面地发现问题。三是奥运会期间的监控情况主要是通过各片区驻场经理与客户进行沟通，在前期准备工作中，已将客户的信息整理齐全，在整个监控过程中能及时将监控信息反馈给客户，所以未发生因沟通不利而造成的问题和事故。通过定期的保障工作交流会议制度，确保所有片区保障工作同步进行。

张建军比任何人都深知“平安世博”赋予这场信息安全保卫战的特殊性：一是耗时长，长达半年都要面临各类信息安全风险；二是总体风险值高，虽然由风险产生事件的发生概率并不高，可是一旦事件发生所造成的损失或负面影响不可估量。

风险与机会总是同在。在张建军看来，世博会是一个提升信息安全“常态化”的机会，要将信息安全保障的工作“常态化”，按照不同环节(设计、建设、运维等)、不同方面(意识、技术、管理等)、不同手段(检查、监控、应急等)进行分解落实，将信息安全看作贯穿信息系统生命周期的一个基本属性去管理，将“安全”当作乘法来做。

信息安全保障“常态化”

张建军在接受《中国电子报》记者采访时表示，要借世博会的东风，切实提高信息系统的安全保障能力。从短期来看是保障世博会期间的安全性和可用性，从长期来看则是提高安全意识，建立安全机制，落实安全投入。

三零卫士作为世博会信息和通信技术类推荐服务提供商，以及世博会信息安全保障应急响应支撑单位，其承担的主要工作包括以下四个方面：

一是提供上海世博会最核心的信息系统的安全运维服务和评估服务。该公司不仅从上海本地挑选了一批精兵强将，其中包括被聘为“世博会信息安全保障应急响应决策咨询专家”的张建军和“世博会信息安全保障应急响应技术处置专家”陈锡军、夏等，还特意从全国各地分支机构抽调了具有北京奥运会安全运维保障和亚田赛安全保障实战经验的技术专家，以此为基础组建了一支18人的现场专业技术团队以及10人的后台专家团队。这支团队7×24小时不间断地为世博会的信息系统安全运维和评估提供服务。

二是提供重要涉博信息系统安全保障服务，包括网站安全服务、系统加固服务、信息安全运维服务和应急服务。具体如下：上海市政府网站作为2010年上海世博会重要的对外宣传窗口，需要时刻保持上海乃至中国的良好形象，三零卫士为上海市近500个站点提供加固、监控与应急服务，确保网站的安全；各个重要的电子政务信息系统为世博会期间公共服务提供保障与支撑，结合上海市等级保护的要求，为上海市10个区县提供信息系统加固和安全稳定运行支撑工作；依托覆盖上海的7大片区，23个服务网点，为9个区县与近10个重要涉博信息系统提供日常的安全运行维护保障支撑服务；根据上海市应急响应的统一要求，协助重要涉博单位建立并完善应急预案，组织应急演练，完善各项应急机制，确保有备无患。

三是提供世博会外围信息安全态势分析服务。为上海市整体的信息安全监控网络建设提供技术支撑，使信息安全主管部门实现对上海市信息安全态势的实时监控与掌握，为世博会的信息安全提供外围的保障。

四是开发“建设涉博信息系统安全监控管理和网格化应急响应平台”，以保障涉博信息系统安全运行，大幅提升专业的涉博信息系统安全监控管理和网格化应急响应服务能力。该平台将在世博会期间，在上海市部署网格化监控和应急支撑网点，网格化片区布点超过7个，实现对区级门户、卫生、公安、检察、教育等用户的系统、应用的监控和保障。

上海世博会已经开幕，在张建军看来，三零卫士重担在肩。这个重担并非仅仅为世博会提供信息安全保障这么简单，三零卫士的目标更为高远，那就是不枉三零卫士服务的品牌，为客户提供高质量、高效率的服务。当下，三零卫士正依托网格化分布于上海市各区县的信息安全服务技术人员，利用现场和远程相结合的方式，7×24小时不间断地保障“平安世博”。

相关链接

信息安全发展趋势：分离与整合

在张建军看来，信息安全的发展趋势呈现两个特点，可概括为“分离”与“整合”。从需求的发展来看，信息安全的发展趋势具有“分离”的特点，即“国家层面的信息安全需求”与“商业层面”的信息安全需求将分离。前者是从国家安全、社会稳定发展的角度来看的，其所需要的技术很多都是专用的；后者则是信息安全产业面向的主体，对于用户而言，注重的是信息安全投入的产出和效益，满足这方面需求的技术和商业模式具有产业化的优势。

从技术角度来看，信息安全将呈现一种整合的态势。从技术上，信息安全技术与IT技术将紧密结合；从商业模式上，信息安全产业将更加紧密地融入IT产业领域中；信息安全正在对IT的基础技术领域、基本的技术思路和模式产生根本性影响。