重大活动网络安保的“零事故”之路 ——来自2022北京网络安全大会的主题对话

2022年北京网络安全大会(BCS2022)战略峰会13日于北京启幕,“体育赛事技术服务主题对话”全球对话环节,由北京2022年冬奥会和冬残奥会组织委员会技术部部长喻红主持,国内外知名网络安全专家、奥运会技术负责人和奥运会顶级赞助商代表等出席,一同聚焦全球网络空间安全、冬奥网络安保“零事故”经验、重大活动安保信息化等议题展开探讨,共话网络安全服务的危机与转机。

1657695972161196.png

奥运会等重大活动面临网络安全难题

新兴技术不断运用于奥运会等重大活动的各项服务与保障工作中,它们一方面给观众和参与者带来更精彩的体验,另一方面也带来了更严峻的网络安全危机。

对奥运会而言,黑客攻击“魔咒”始终萦绕。奥运会历史上曾发生过攻击票务系统、电力系统,发布勒索病毒等安全事件。日本内阁网络安全中心发布报告显示,2020年东京奥运会期间,共遭遇约4.5亿次网络攻击,东京奥运会官网在内的众多网站曾瘫痪1小时。

2012年伦敦奥运会首席信息技术官Gerry Pennell从2016年开始担任了国际奥委会技术部部长,在13日的论坛上,他介绍了奥运会的各类信息系统及其面临的网络安全挑战。

“奥运会需要一系列技术保证自身的运转。”他说,通讯和视频技术贯穿于从观众买票到赛事播报,从比赛裁定到赛场服务等过程中,复杂的系统也会给攻击者诸多可乘之机。他结合2018年冬奥会的网络攻击事件分析称,奥运会的网络安全风险正从黑客个人行为转变为阻挠主办方提供服务的行动,多种勒索病毒的运用,使其成为奥运会的破坏者。

挑战不仅来源于外部的攻击者。奥运会本身的赛事特性也给网络安全保障工作和安保人员带来了挑战。

“奥运会是一项复杂的系统工程,有严格的关门的时间,没有重来的机会。”国家体育总局体育信息中心主任李业武结合北京冬奥会和冬残奥会的筹办过程分析,奥运会是一次性的服务,它对前期系统稳定性、各业务口的协同、基础设施的质量、工作人员的经验和专业能力的要求很高。

内生安全为奥运会网络安保带来转机

在2022年北京冬奥会和冬残奥会上,奇安信作为网络安全独家赞助商,圆满完成冬奥会网络安全保障任务,创造了奥运史上网络安全“零事故”的世界纪录。

奇安信集团冬奥网络安全保障总架构师尹智清说,网络安保要考虑到网络安全不能影响奥运会大量信息系统的使用,必须要保障这些信息系统稳定的运行。个人隐私数据的保护也格外重要,不仅要符合中国的法律要求,也要满足全球相关法律法规的限制和要求。

尹智清介绍,冬奥的网络工程体系,在“数据驱动安全”的指导下,以“内生安全”和“经营安全”的方式展开安全建设,做到了对端、网、云、应用、数据等的安全全覆盖,安全贯穿于每个系统的设计、开发、测试、运行等环节。此外,他们还对包括专业人员进行技术培训,对全体工作人员展开安全意识培训,并定期展开测试、演练以提升和优化安全防护水平。

“技术无处不在,技术如影随形,这是历届奥运会的真实写照。”喻红这样说,稳定可靠的体育赛事技术服务,直接关乎每一场赛事能否正常举行。

“本届冬奥会的技术组织工作,应该讲是我经历的最好的一次。”为北京冬奥会提供视频会议服务的随锐集团合伙人董事、集团高级副总裁、瞩目科技总裁蒋升自2004年雅典奥运会起共经历过4届奥运会的技术保障、赞助服务。

他说,本届冬奥会不仅采用了很多新技术,给媒体、赞助商都提供很好的服务,同时它也在网络安全测试、技术演练、网络安全技术运营、技术团队应急响应等网络安保方面做好了充足准备,因此能够完美应对新技术带来的挑战。

面向未来重大活动的网络安全新方案

在本次圆桌论坛上,嘉宾们立足于体育赛事等大型活动面临的安全挑战,讨论了解决网络安全风险的新路径。众多专家指出,随着新技术的发展,体育赛事等大型活动所面临的网络安全危机也会越来越严重,需要更多技术创新。

联想集团智慧体育业务部总经理王磊提出,伴随互联网与社交媒体的发展,体育的技术保障不仅要做好原有的安保服务,还需要思考如何保障赛时社交媒体的互动、现场观众互动等更具社会性的安全问题。“越来越开放的奥运会也需要用更安全可靠的技术和开放的技术来加以支撑。”他说。

Palo Alto Networks创始人、首席技术官Nir Zuk认为,需要进一步开发人工智能、自动化技术,实现网络安全运营的自动化,用技术为大型活动的数据安全提供一个保护的屏障。

观潮论坛海外联合发起人、美退役陆军少将John Davis认为,全球格局下的网络安全的问题之一,是安全产品在内的各类产品供应链完整性难以保障。这种供应链的风险存在于设计、采购、制造、交付和服务等产品生命周期中,因此网络安全产品提供商的首要任务是保障产品的完整性与客户的安全。

“不仅仅是奥运会,‘零事故’应该成为千行百业网络安全建设的新目标。这不仅是时代对我们的要求,更是网络安全产业向更高水平发展的必经之路。”奇安信董事长齐向东告诉记者。齐向东认为,重大活动的网络安保,“零事故”是一个结果,更是一个开始。网络安全“零事故”具体有三条标准:第一是业务不中断,机构能够正常运转;第二是数据不出事,数据安全一丝不苟。第三条是合规不踩线,严格遵守安全规范。

喻红说,网络安全与生俱来,漏洞不能源于先天不足,此次冬奥会中,技术、管理、运行组成的整体解决方案,最终支撑了北京冬奥会网络安全“零事故”的优异表现。

除了技术外,制度和规范也成为化解网络安全风险的必要。李业武认为,伴随着物联网、大数据、AR等技术运用于大型活动中,安全与竞赛的关系变的更为重要,“要形成既能满足赛事信息化的保障特点,又能有效的保障赛事平稳有序运行的网络安全的规范”。