欧洲核子研究组织(法语:Organisation Européenne pour la Recherche Nucléaire;英语:European Organization for Nuclear Research,1954 年 9 月 29 日- ),通常被简称为 CERN,是世界上最大型的粒子物理学实验室,也是万维网的发祥地,是世界上第一个网站,第一个网络服务器,第一个浏览器的诞生地。
安全的核心在于平衡——既需要保障用户与数据安全,又需要维持可用性与效率水平。在 CERN,Stefan Lueders 负责着协调现有系统安全性、同时保持自由学术环境的艰巨任务。
作为一名计算机安全管理者,Lueders 在电话采访中指出,CERN 需要对来自各高校教授、技术人员以及其他工作者的约 4 万台自带设备进行管理;另外,学者与工程师们还需要经常与远程系统进行对接。该机构分别位于瑞士与匈牙利的两台主数据中心拥有约 10 万块磁盘驱动器,而服务器总量亦达到 1 万 3 千台。
接下来则是 LHC 的计算网格,其地理区域跨越北美、欧洲与亚洲,负责对实验产生的数据进行二次处理。该设备的控制系统则需要保障全部流程安全可靠。另外,CERN 还托管有约 1 万个网站。
“攻击来自哪里:无处不在”
Lueders 解释称:“攻击面非常庞大。” 而新的攻击面正在不断衍生并被发现:具体威胁包括低级拒绝服务攻击、黑客扫描 CERN Web 服务器以搜索安全漏洞并以暴力方式尝试突破系统等等。Lueders 指出:“这样的情况可谓所在多有。”
“在日常工作中,我们需要面对被感染的计算机、因为钓鱼攻击而失窃的密码以及由于工作人员在外部环境下接入内网所引发的信息泄露。这种状况有任何其它机构乃至高校中都有发生。我们面临的其实是同样的难题,”Lueders 表示。
Lueders 补充称,CERN 在一年当中还会碰到几次更为先进的攻击。总体而言,黑客攻击似乎普遍存在,而非单纯指向某一特定目标。
“攻击来自哪里?无处不在,”Lueders 指出。“我并没发现攻击来源存在什么显著的地域特征。我也没发现攻击主要源自某个特定国家。”
Lueders 在采访中展示的资料
Lueders 表示,攻击归属其实并不是特别重要,因为他们会以同样的方式加以应对。“同样的博弈,同样的业务,我们也以类似的方式进行处理,”他总结称。
CERN 强化自身防御的一项重要手段就是利用白帽黑客测试该机构的保护能力极限。一旦受到批准,各高校学生将能够自由攻击 CERN 系统以找寻其中漏洞。CERN 还对约 120 名工程师、技术人员及程序员进行了渗透测试培训,Lueders 补充道。
尽管其职位在于管理安全事务,但 Lueders 表示他并不负责 CERN 的计算机安全工作。“我做的更像是一整套职能组合:我需要进行保护/预防,实现检测并做出响应。不过,我并不负责 CERN 的计算机安全工作。我拒绝了这方面任务,”他指出。
相反,每个人都有义务为自己的设备安装补丁并保护其安全,甚至包括他们日常能够接触到的大型系统,或者在发现难以应对时将具体工作委托给其他同事。“如果大家正在运行一套数据库,那么你就有责任保护这套数据库,”Lueders 表示。同样的方式也适用于网络服务器、控制面板以及个别计算机。
Lueders 的首要工作是在系统保护与学术自由之间找到平衡点。
Lueders 和他的团队会不断扫描 CERN 网络以找出某台设备发送垃圾邮件或者访问恶意 URL 的迹象。对应用户将收到警告,并根据实际问题的严重程度分配特定时间以控制事态。如果该用户仍然无动于衷,则需要承担相应后果。
“我们会采取行政手段,而且具体方式多种多样,包括警告、谴责以及开除等,”Lueders 告诉我们。
在安全权衡当中,Lueders 的首要工作是在系统保护与学术自由之间找到平衡点。
如果态度太过谨慎,即不允许 CERN 员工使用任何其需要的编程语言或者软件,那么用户的工作能力可能会大打折扣。
Lueders 指出:“如果愿意,我可以要求每位员工都使用特定品牌的计算机、特定类型的操作系统并选择特定的软件堆栈。没有管理员权限,完全不留任何空间。我完全可以把安全控制水平提升到这样的高度。”
但这种作法毫无平衡性可言,无论是对 Lueders 还是对 CERN 而言皆是如此。
“人们习惯拥有一定的自由发挥空间,并在内范围内任意选择自己需要的技术方案、硬件设备、操作系统以及应用程序。”
如果做不到这一点,那么 CERN 社区的活动将受到威胁。“如果我们用高压方式控制一切,那么所有智慧及创意结晶都会被扼杀在摇篮当中,”Lueders 表示。
本文文字及图片出自 www.cnbeta.com
你的反应是: