四个首创 冬奥网络安全“黑科技”面面观

图：冬奥闭幕式 新华社记者 曹灿 摄

冬奥会，是各国冰雪健儿的比赛场，也是前沿科技的竞技场。跨度百余公里的三个赛区、26个场馆，近百个国家数千名运动员的交流沟通、场馆协作，需要依赖于大量先进的技术。开放式5G网络、云计算、物联网、人工智能等技术，200多项科技应用，使奥运网络系统空前复杂，更给网络安全保障，带来了空前的挑战。

图：奇安信冬奥网络安保工作圆满结束

“零事故”，是冬奥网络安全官方赞助商奇安信对冬奥的庄严承诺，其背后离不开网络安全“黑科技”的强大保障。在本届冬奥会的“隐蔽战线”----网络安全保障工作中，有大量前沿创新的“黑科技”，首次在大会中成功落地和应用，为奇安信交上冬奥安保“零事故”完美答卷提供了坚实后盾。

克制0day漏洞 首创采用了第三代安全技术天狗引擎

0day漏洞，被认为是网络安全领域珠穆朗玛峰级的高难度问题。根据全球风险咨询机构Kroll公司最新报告显示,CVE/零日漏洞利用现已占到安全事件案例的26.9%，这表明攻击者越来越善于利用漏洞，在某些情况下，甚至在概念验证漏洞出现的同一天就利用了这些漏洞。

本次冬奥会有超过10000台终端，分布于12个竞赛场馆、26个非竞赛场馆、188个服务场站中，地理位置非常分散，平台类型复杂多样，0day漏洞无疑是冬奥网络安全保障面临的最大威胁之一。

“作为第三代安全技术的代表，基于指令执行序列检测技术的新一代安全引擎天狗，首次在冬奥中实战应用。”奇安信天狗引擎负责人表示，天狗引擎在边界防御、系统防护之外，额外增加了内存攻击指令执行检测的防护，可以有效防御利用系统或可信程序的漏洞发起的攻击。同时，天狗引擎还可以利用指令流反溯技术，定位攻击者所利用漏洞的具体位置，第一时间发现0Day漏洞并进行封堵，在根源上杜绝了攻击持续发生及大规模爆发的可能。

在去年底的史诗级Log4j漏洞事件中，“天狗”一战成名，无需更新就能直接防御Log4j漏洞。在本次冬奥网络安全保障中，以天狗引擎为代表的第三代安全技术，为“零事故”立下了重要一功。

能力、效率双提升 “安全中台”首次应用于国家级指挥平台

对于冬奥网络安全保障来说，这是一个整体，是奇安信所有前沿安全能力的汇集，产品的标准化、统一化和关联化是重要课题，产品部署绝不能各自为营。在“六全”体系的指导下，本次冬奥采用中台化处理，以大禹平台等为代表的平台化架构在实战中发挥了积极的作用，为所有产品提供了相关能力的输出，保证产品一体化，而不是产品的堆叠。

“定位于实战，做整个行业的安全中台”是大禹平台的目标。在本次冬奥中，作为“安全中台”能力的核心，大禹平台被广泛集成在了态势感知等多项安全产品中，其中包括某国家级指挥中心的态势感知指挥平台。大禹平台提供了面向大数据安全的通用开发平台及配套的内置安全能力，其核心能力包括安全资产管理和运营、数据接入、数据治理、云地协同、威胁联合分析、事件管理与处理、安全设备接入控制等。

“这是大禹平台首次应用于国家级态势感知指挥平台，安全中台在复杂大型实战化项目的应用，大幅度提升了安全建设、安全管理和安全运行的效率。”大禹平台负责人左文建介绍，态势感知是安全领域最复杂的产品，尤其是冬奥网络安全保障所需要的态势感知产品。“大禹平台汇聚感知分析类安全数据，集成行业安全能力，能够持续满足实战建设需要。从结果来看，大禹平台也确实经得起实战的考验。”

海量数据精准发现 首创利用人工智能安全分析引擎

据奇安信网络安全保障中心统计，冬奥会期间，日均监测各类系统日志超40亿条，监测日志数量累积达1189亿条。面对海量的多源异构数据，如何从中精准发现潜在的威胁和安全风险，降低误报率和漏报率，这对奇安信冬奥重保团队来说，是一个非常严峻的考验。

为了提升冬奥会赛事网络与系统的安全性，奇安信首创利用基于人工智能安全分析的引擎---- Sabre（赛博威引擎）实现基于海量数据的精准告警。该引擎可针对多类型的网络攻击智能化提取特征，构建基于深度学习的攻击行为模型；通过采集北京冬奥会组委会信息网络中的流量及相关设备和系统的日志，开展多源数据关联分析，进而从中挖掘攻击行为的关联性；通过数据与攻击行为的对齐，实现了威胁的智能发现及威胁检测方法的优化，达到了减少告警的误报和冗余的目标，从而能够更精准、更有效地应对未来所面临的未知威胁。

具体而言，Sabre引擎具备以下优势：其一，Sabre引擎支持接入全量数据，从而保证分析结果的准确性，这一点对APT攻击的发现和溯源至关重要;其二，Sabre引擎可实现实时计算和实时统计，比如，在IT系统中，防火墙会持续过滤数据包，公司办公系统会持续被访问，只有计算速度够快才能保证实时输出结果;其三，快速建模是Sabre的核心优势，安全分析师可借助Sabre引擎，可以用图形拖拽的方式，就能把自己想要检测场景转化成对应的检测规则，下发到分析引擎运行。

首创情报内生体系 支撑冬奥闭环安全运行

“数据驱动安全”的初期，是利用互联网数据生成威胁情报，提升威胁检测和响应效率；而在内生安全时代，数据驱动安全需要全面利用内部信息化和业务数据，与信息化系统深度结合、全面覆盖，而威胁情报从生产、应用到运行的全流程都要与信息化结合。

威胁情报驱动的威胁运营是一个运行闭环，威胁情报从生产、应用到运行要在政企机构落地，不能仅依赖于外部的IOC情报数据，更需要“嵌入”内部的信息化和业务系统和流程中，并作用于积极防御，建立自身的情报生产和消费能力，挖掘出潜在和未知威胁，并及时有效的弥补防御弱点，这个过程就是情报内生。

尤其对于冬奥会这样的重大活动，以及关键基础设施单位和组织，针对他们的高级威胁攻击目标选择有高度的定向性，互联网上能看到攻击载荷的概率很低，更需要通过在内部信息化和业务系统上构建威胁情报能力来生产与自身密切相关的情报，安全企业可以向这些单位和组织输出平台、流程、人和数据能力。

在本次冬奥网络安全保障中，奇安信基于情报内生的理念，部署了包括威胁情报平台、分析运营平台、各类威胁检测引擎等核心组件的完整情报内生解决方案。利用冬奥大型网络内的海量多维基础数据，通过成熟高效的运营流程和高度自动化的平台工具，结合经验丰富的运营团队，生产和拓展高质量的威胁情报，支持多类安全检测和防御设备进行自动化的威胁阻断，为安全分析人员对威胁对象研判提供了全面的助力，协助监管机构打击威胁背后的攻击团伙。

技术驱动 树立标杆

有了这些“黑科技”的落地应用，更有从2019年以来800多天的全力备战，和冬奥期间3500多名员工近1个月的昼夜奋战，奇安信顺利实现了网络安全“零事故”目标，兑现了对冬奥会网络安保承担“完全、彻底、端到端”责任的庄严承诺。奇安信集团董事长齐向东表示，“零事故”标志着北京冬奥会的网络安全保障全面超过往届，达到了前所未有的高度，也充分证明奇安信的技术实力是世界领先的，树立了行业新标杆。