揭秘世界最大实验室CERN如何对抗黑客攻击

（原标题：揭秘世界最大实验室CERN如何对抗黑客攻击）

欧洲核子研究组织（法语：Organisation Europ enne pour la Recherche Nucl aire；英语：European Organization for Nuclear Research，1954年9月29日－ ），通常被简称为CERN，是世界上最大型的粒子物理学实验室，也是万维网的发祥地，是世界上第一个网站，第一个网络服务器，第一个浏览器的诞生地。

安全的核心在于平衡——既需要保障用户与数据安全，又需要维持可用性与效率水平。在CERN，Stefan Lueders负责着协调现有系统安全性、同时保持自由学术环境的艰巨任务。

作为一名计算机安全管理者，Lueders在电话采访中指出，CERN需要对来自各高校教授、技术人员以及其他工作者的约4万台自带设备进行管理；另外，学者与工程师们还需要经常与远程系统进行对接。该机构分别位于瑞士与匈牙利的两台主数据中心拥有约10万块磁盘驱动器，而服务器总量亦达到1万3千台。

接下来则是LHC的计算网格，其地理区域跨越北美、欧洲与亚洲，负责对实验产生的数据进行二次处理。该设备的控制系统则需要保障全部流程安全可靠。另外，CERN还托管有约1万个网站。

“攻击来自哪里：无处不在”

Lueders解释称：“攻击面非常庞大。” 而新的攻击面正在不断衍生并被发现：具体威胁包括低级拒绝服务攻击、黑客扫描CERN Web服务器以搜索安全漏洞并以暴力方式尝试突破系统等等。Lueders指出：“这样的情况可谓所在多有。”

“在日常工作中，我们需要面对被感染的计算机、因为钓鱼攻击而失窃的密码以及由于工作人员在外部环境下接入内网所引发的信息泄露。这种状况有任何其它机构乃至高校中都有发生。我们面临的其实是同样的难题，”Lueders表示。

Lueders补充称，CERN在一年当中还会碰到几次更为先进的攻击。总体而言，黑客攻击似乎普遍存在，而非单纯指向某一特定目标。

“攻击来自哪里？无处不在，”Lueders指出。“我并没发现攻击来源存在什么显著的地域特征。我也没发现攻击主要源自某个特定国家。”

Lueders在采访中展示的资料

Lueders表示，攻击归属其实并不是特别重要，因为他们会以同样的方式加以应对。“同样的博弈，同样的业务，我们也以类似的方式进行处理，”他总结称。

CERN强化自身防御的一项重要手段就是利用白帽黑客测试该机构的保护能力极限。一旦受到批准，各高校学生将能够自由攻击CERN系统以找寻其中漏洞。CERN还对约120名工程师、技术人员及程序员进行了渗透测试培训，Lueders补充道。

尽管其职位在于管理安全事务，但Lueders表示他并不负责CERN的计算机安全工作。“我做的更像是一整套职能组合：我需要进行保护/预防，实现检测并做出响应。不过，我并不负责CERN的计算机安全工作。我拒绝了这方面任务，”他指出。

相反，每个人都有义务为自己的设备安装补丁并保护其安全，甚至包括他们日常能够接触到的大型系统，或者在发现难以应对时将具体工作委托给其他同事。“如果大家正在运行一套数据库，那么你就有责任保护这套数据库，”Lueders表示。同样的方式也适用于网络服务器、控制面板以及个别计算机。

Lueders的首要工作是在系统保护与学术自由之间找到平衡点。

Lueders和他的团队会不断扫描CERN网络以找出某台设备发送垃圾邮件或者访问恶意URL的迹象。对应用户将收到警告，并根据实际问题的严重程度分配特定时间以控制事态。如果该用户仍然无动于衷，则需要承担相应后果。

“我们会采取行政手段，而且具体方式多种多样，包括警告、谴责以及开除等，”Lueders告诉我们。

在安全权衡当中，Lueders的首要工作是在系统保护与学术自由之间找到平衡点。

如果态度太过谨慎，即不允许CERN员工使用任何其需要的编程语言或者软件，那么用户的工作能力可能会大打折扣。

Lueders指出：“如果愿意，我可以要求每位员工都使用特定品牌的计算机、特定类型的操作系统并选择特定的软件堆栈。没有管理员权限，完全不留任何空间。我完全可以把安全控制水平提升到这样的高度。”

但这种作法毫无平衡性可言，无论是对Lueders还是对CERN而言皆是如此。

“人们习惯拥有一定的自由发挥空间，并在内范围内任意选择自己需要的技术方案、硬件设备、操作系统以及应用程序。”

如果做不到这一点，那么CERN社区的活动将受到威胁。“如果我们用高压方式控制一切，那么所有智慧及创意结晶都会被扼杀在摇篮当中，”Lueders表示。