BCS2022|重大活動網絡安保的“零事故”之路

2022年北京網絡安全大會（BCS2022）戰略峰會7月13日于北京啟幕，“體育賽事技術服務主題對話”全球對話環節，由北京2022年冬奧會和冬殘奧會組織委員會技術部部長喻紅主持，國內外知名網絡安全專家、奧運會技術負責人和奧運會頂級贊助商代表等出席，一同聚焦全球網絡空間安全、冬奧網絡安保“零事故”經驗、重大活動安保信息化等議題展開探討，共話網絡安全服務的危機與轉機。

奧運會等重大活動面臨網絡安全難題

新興技術不斷運用于奧運會等重大活動的各項服務與保障工作中，它們一方面給觀眾和參與者帶來更精彩的體驗，另一方面也帶來了更嚴峻的網絡安全危機。

對奧運會而言，黑客攻擊“魔咒”始終縈繞。奧運會歷史上曾發生過攻擊票務系統、電力系統，發布勒索病毒等安全事件。日本內閣網絡安全中心發布報告顯示，2020年東京奧運會期間，共遭遇約4.5億次網絡攻擊，東京奧運會官網在內的眾多網站曾癱瘓1小時。

2012年倫敦奧運會首席信息技術官Gerry Pennell從2016年開始擔任了國際奧委會技術部部長，在13日的論壇上，他介紹了奧運會的各類信息系統及其面臨的網絡安全挑戰。

“奧運會需要一系列技術保證自身的運轉。”他說，通訊和視頻技術貫穿于從觀眾買票到賽事播報，從比賽裁定到賽場服務等過程中，復雜的系統也會給攻擊者諸多可乘之機。他結合2018年冬奧會的網絡攻擊事件分析稱，奧運會的網絡安全風險正從黑客個人行為轉變為阻撓主辦方提供服務的行動，多種勒索病毒的運用，使其成為奧運會的破壞者。

挑戰不僅來源于外部的攻擊者。奧運會本身的賽事特性也給網絡安全保障工作和安保人員帶來了挑戰。

“奧運會是一項復雜的系統工程，有嚴格的關門的時間，沒有重來的機會。”國家體育總局體育信息中心主任李業武結合北京冬奧會和冬殘奧會的籌辦過程分析，奧運會是一次性的服務，它對前期系統穩定性、各業務口的協同、基礎設施的質量、工作人員的經驗和專業能力的要求很高。

內生安全為奧運會網絡安保帶來轉機

在2022年北京冬奧會和冬殘奧會上，奇安信作為網絡安全獨家贊助商，圓滿完成冬奧會網絡安全保障任務，創造了奧運史上網絡安全“零事故”的世界紀錄。

奇安信集團冬奧網絡安全保障總架構師尹智清說，網絡安保要考慮到網絡安全不能影響奧運會大量信息系統的使用，必須要保障這些信息系統穩定的運行。個人隱私數據的保護也格外重要，不僅要符合中國的法律要求，也要滿足全球相關法律法規的限制和要求。

尹智清介紹，冬奧的網絡工程體系，在“數據驅動安全”的指導下，以“內生安全”和“經營安全”的方式展開安全建設，做到了對端、網、云、應用、數據等的安全全覆蓋，安全貫穿于每個系統的設計、開發、測試、運行等環節。此外，他們還對包括專業人員進行技術培訓，對全體工作人員展開安全意識培訓，并定期展開測試、演練以提升和優化安全防護水平。

“技術無處不在，技術如影隨形，這是歷屆奧運會的真實寫照。”喻紅這樣說，穩定可靠的體育賽事技術服務，直接關乎每一場賽事能否正常舉行。

“本屆冬奧會的技術組織工作，應該講是我經歷的最好的一次。”為北京冬奧會提供視頻會議服務的隨銳集團合伙人董事、集團高級副總裁、矚目科技總裁蔣升自2004年雅典奧運會起共經歷過4屆奧運會的技術保障、贊助服務。

他說，本屆冬奧會不僅采用了很多新技術，給媒體、贊助商都提供很好的服務，同時它也在網絡安全測試、技術演練、網絡安全技術運營、技術團隊應急響應等網絡安保方面做好了充足準備，因此能夠完美應對新技術帶來的挑戰。

面向未來重大活動的網絡安全新方案

在本次圓桌論壇上，嘉賓們立足于體育賽事等大型活動面臨的安全挑戰，討論了解決網絡安全風險的新路徑。眾多專家指出，隨著新技術的發展，體育賽事等大型活動所面臨的網絡安全危機也會越來越嚴重，需要更多技術創新。

聯想集團智慧體育業務部總經理王磊提出，伴隨互聯網與社交媒體的發展，體育的技術保障不僅要做好原有的安保服務，還需要思考如何保障賽時社交媒體的互動、現場觀眾互動等更具社會性的安全問題。“越來越開放的奧運會也需要用更安全可靠的技術和開放的技術來加以支撐。”他說。

Palo Alto Networks創始人、首席技術官Nir Zuk認為，需要進一步開發人工智能、自動化技術，實現網絡安全運營的自動化，用技術為大型活動的數據安全提供一個保護的屏障。

觀潮論壇海外聯合發起人、美退役陸軍少將John Davis認為，全球格局下的網絡安全的問題之一，是安全產品在內的各類產品供應鏈完整性難以保障。這種供應鏈的風險存在于設計、采購、制造、交付和服務等產品生命周期中，因此網絡安全產品提供商的首要任務是保障產品的完整性與客戶的安全。

“不僅僅是奧運會，‘零事故’應該成為千行百業網絡安全建設的新目標。這不僅是時代對我們的要求，更是網絡安全產業向更高水平發展的必經之路。”奇安信董事長齊向東告訴記者。齊向東認為，重大活動的網絡安保，“零事故”是一個結果，更是一個開始。網絡安全“零事故”具體有三條標準：

• 第一是業務不中斷，機構能夠正常運轉；
• 第二是數據不出事，數據安全一絲不茍；
• 第三條是合規不踩線，嚴格遵守安全規范。

喻紅說，網絡安全與生俱來，漏洞不能源于先天不足，此次冬奧會中，技術、管理、運行組成的整體解決方案，最終支撐了北京冬奧會網絡安全“零事故”的優異表現。

除了技術外，制度和規范也成為化解網絡安全風險的必要。李業武認為，伴隨著物聯網、大數據、AR等技術運用于大型活動中，安全與競賽的關系變的更為重要，“要形成既能滿足賽事信息化的保障特點，又能有效的保障賽事平穩有序運行的網絡安全的規范”。