圖：冬奧閉幕式 新華社記者 曹燦 攝

冬奧會，是各國冰雪健兒的比賽場，也是前沿科技的競技場。跨度百余公里的三個賽區、26個場館，近百個國家數千名運動員的交流溝通、場館協作，需要依賴于大量先進的技術。開放式5G網絡、云計算、物聯網、人工智能等技術，200多項科技應用，使奧運網絡系統空前復雜，更給網絡安全保障，帶來了空前的挑戰。

圖：奇安信冬奧網絡安保工作圓滿結束

“零事故”，是冬奧網絡安全官方贊助商奇安信對冬奧的莊嚴承諾，其背后離不開網絡安全“黑科技”的強大保障。在本屆冬奧會的“隱蔽戰線”----網絡安全保障工作中，有大量前沿創新的“黑科技”，首次在大會中成功落地和應用，為奇安信交上冬奧安保“零事故”完美答卷提供了堅實后盾。

克制0day漏洞 首創采用了第三代安全技術天狗引擎

0day漏洞，被認為是網絡安全領域珠穆朗瑪峰級的高難度問題。根據全球風險咨詢機構Kroll公司最新報告顯示,CVE/零日漏洞利用現已占到安全事件案例的26.9%，這表明攻擊者越來越善于利用漏洞，在某些情況下，甚至在概念驗證漏洞出現的同一天就利用了這些漏洞。

本次冬奧會有超過10000臺終端，分布于12個競賽場館、26個非競賽場館、188個服務場站中，地理位置非常分散，平臺類型復雜多樣，0day漏洞無疑是冬奧網絡安全保障面臨的最大威脅之一。

“作為第三代安全技術的代表，基于指令執行序列檢測技術的新一代安全引擎天狗，首次在冬奧中實戰應用。”奇安信天狗引擎負責人表示，天狗引擎在邊界防御、系統防護之外，額外增加了內存攻擊指令執行檢測的防護，可以有效防御利用系統或可信程序的漏洞發起的攻擊。同時，天狗引擎還可以利用指令流反溯技術，定位攻擊者所利用漏洞的具體位置，第一時間發現0Day漏洞并進行封堵，在根源上杜絕了攻擊持續發生及大規模爆發的可能。

在去年底的史詩級Log4j漏洞事件中，“天狗”一戰成名，無需更新就能直接防御Log4j漏洞。在本次冬奧網絡安全保障中，以天狗引擎為代表的第三代安全技術，為“零事故”立下了重要一功。

能力、效率雙提升 “安全中臺”首次應用于國家級指揮平臺

對于冬奧網絡安全保障來說，這是一個整體，是奇安信所有前沿安全能力的匯集，產品的標準化、統一化和關聯化是重要課題，產品部署絕不能各自為營。在“六全”體系的指導下，本次冬奧采用中臺化處理，以大禹平臺等為代表的平臺化架構在實戰中發揮了積極的作用，為所有產品提供了相關能力的輸出，保證產品一體化，而不是產品的堆疊。

“定位于實戰，做整個行業的安全中臺”是大禹平臺的目標。在本次冬奧中，作為“安全中臺”能力的核心，大禹平臺被廣泛集成在了態勢感知等多項安全產品中，其中包括某國家級指揮中心的態勢感知指揮平臺。大禹平臺提供了面向大數據安全的通用開發平臺及配套的內置安全能力，其核心能力包括安全資產管理和運營、數據接入、數據治理、云地協同、威脅聯合分析、事件管理與處理、安全設備接入控制等。

“這是大禹平臺首次應用于國家級態勢感知指揮平臺，安全中臺在復雜大型實戰化項目的應用，大幅度提升了安全建設、安全管理和安全運行的效率。”大禹平臺負責人左文建介紹，態勢感知是安全領域最復雜的產品，尤其是冬奧網絡安全保障所需要的態勢感知產品。“大禹平臺匯聚感知分析類安全數據，集成行業安全能力，能夠持續滿足實戰建設需要。從結果來看，大禹平臺也確實經得起實戰的考驗。”

海量數據精準發現 首創利用人工智能安全分析引擎

據奇安信網絡安全保障中心統計，冬奧會期間，日均監測各類系統日志超40億條，監測日志數量累積達1189億條。面對海量的多源異構數據，如何從中精準發現潛在的威脅和安全風險，降低誤報率和漏報率，這對奇安信冬奧重保團隊來說，是一個非常嚴峻的考驗。

為了提升冬奧會賽事網絡與系統的安全性，奇安信首創利用基于人工智能安全分析的引擎---- Sabre（賽博威引擎）實現基于海量數據的精準告警。該引擎可針對多類型的網絡攻擊智能化提取特征，構建基于深度學習的攻擊行為模型；通過采集北京冬奧會組委會信息網絡中的流量及相關設備和系統的日志，開展多源數據關聯分析，進而從中挖掘攻擊行為的關聯性；通過數據與攻擊行為的對齊，實現了威脅的智能發現及威脅檢測方法的優化，達到了減少告警的誤報和冗余的目標，從而能夠更精準、更有效地應對未來所面臨的未知威脅。

具體而言，Sabre引擎具備以下優勢：其一，Sabre引擎支持接入全量數據，從而保證分析結果的準確性，這一點對APT攻擊的發現和溯源至關重要;其二，Sabre引擎可實現實時計算和實時統計，比如，在IT系統中，防火墻會持續過濾數據包，公司辦公系統會持續被訪問，只有計算速度夠快才能保證實時輸出結果;其三，快速建模是Sabre的核心優勢，安全分析師可借助Sabre引擎，可以用圖形拖拽的方式，就能把自己想要檢測場景轉化成對應的檢測規則，下發到分析引擎運行。

首創情報內生體系 支撐冬奧閉環安全運行

“數據驅動安全”的初期，是利用互聯網數據生成威脅情報，提升威脅檢測和響應效率；而在內生安全時代，數據驅動安全需要全面利用內部信息化和業務數據，與信息化系統深度結合、全面覆蓋，而威脅情報從生產、應用到運行的全流程都要與信息化結合。

威脅情報驅動的威脅運營是一個運行閉環，威脅情報從生產、應用到運行要在政企機構落地，不能僅依賴于外部的IOC情報數據，更需要“嵌入”內部的信息化和業務系統和流程中，并作用于積極防御，建立自身的情報生產和消費能力，挖掘出潛在和未知威脅，并及時有效的彌補防御弱點，這個過程就是情報內生。

尤其對于冬奧會這樣的重大活動，以及關鍵基礎設施單位和組織，針對他們的高級威脅攻擊目標選擇有高度的定向性，互聯網上能看到攻擊載荷的概率很低，更需要通過在內部信息化和業務系統上構建威脅情報能力來生產與自身密切相關的情報，安全企業可以向這些單位和組織輸出平臺、流程、人和數據能力。

在本次冬奧網絡安全保障中，奇安信基于情報內生的理念，部署了包括威脅情報平臺、分析運營平臺、各類威脅檢測引擎等核心組件的完整情報內生解決方案。利用冬奧大型網絡內的海量多維基礎數據，通過成熟高效的運營流程和高度自動化的平臺工具，結合經驗豐富的運營團隊，生產和拓展高質量的威脅情報，支持多類安全檢測和防御設備進行自動化的威脅阻斷，為安全分析人員對威脅對象研判提供了全面的助力，協助監管機構打擊威脅背后的攻擊團伙。

技術驅動 樹立標桿

有了這些“黑科技”的落地應用，更有從2019年以來800多天的全力備戰，和冬奧期間3500多名員工近1個月的晝夜奮戰，奇安信順利實現了網絡安全“零事故”目標，兌現了對冬奧會網絡安保承擔“完全、徹底、端到端”責任的莊嚴承諾。奇安信集團董事長齊向東表示，“零事故”標志著北京冬奧會的網絡安全保障全面超過往屆，達到了前所未有的高度，也充分證明奇安信的技術實力是世界領先的，樹立了行業新標桿。