国家体育场(鸟巢)智能场馆工程网络安全建设分析

摘 要：主要介绍了国家体育场（鸟巢）智能场馆工程网络系统及网络安全的建设与分析。首先说明了现代信息安全威胁的背景和演变，特别是国家体育场网络系统面临的安全威胁，以及各类安全威胁对国家体育场的影响。同时详细阐述了冬奥会开幕前的网络系统建设工作，包括网络系统的整体架构与网络安全的部署情况以及各类业务部署和安全策略分析工作，并在冬奥会举办期间起到了良好技术服务保障。

关键词：网络安全威胁; 网络系统建设; 网络安全等级保护三级; 网络系统运维

中图分类号： TU855文献标志码： A 文章编号： 1674-8417（2024）09-0034-07

DOI：10.16618/j.cnki.1674-8417.2024.09.007

0 引 言

网络安全在国家安全体系中的基础性、战略性、全局性地位凸显。国家体育场在冬奥期间承载着4个开/闭幕仪式的重点工作，其场内的网络安全建设更是重中之重。为保障国家体育场智能化网络系统在冬奥会期间以及后续日常运行的安全稳定，该网络系统以网络安全等级保护三级为目标开展建设，过程中邀请了多方网络安全专家对整体设计方案进行论证和评估。基于研究与分析，本文将为体育场馆及相关机构提供网络安全建设相关的深入了解和指导，以应对不断变化的网络安全挑战，保障用户权益和信息资源的安全性。同时，能够对用户面临的网络安全威胁问题起到警示作用，促进更多用户和公众对于网络安全意识的提升，共同构建安全可靠的体育场馆网络生态系统。

1 网络安全威胁

（1） 信息安全威胁的背景和演变。① 常见威胁形式：恶意软件和病毒是网络系统中最常见的威胁。黑客通过这种形式感染计算机系统，导致数据丢失、系统崩溃和信息泄露。② 对冬奥会的直接影响：本次智能场馆项目业务系统部署了大量的存储和服务器，涵盖海量场馆内视频、图片、用户信息等数据，如被泄露或窃取，将会导致场馆安全隐患增加、活动内容扩散等，进而威胁赛事正常运转，甚至会对国家安全和利益产生影响。（2） 国家体育场网络系统面临的主要安全威胁。① 系统漏洞和弱点：信息系统中的软件和硬件漏洞可能被黑客利用，进而侵入系统并获取敏感信息或控制系统。缺乏及时的安全更新和漏洞修复将增加系统受攻击的风险。② 内部威胁：工作人员的不当行为或疏忽可能导致体育场网络面临安全威胁。例如，泄露敏感信息、滥用权限或未经授权的访问系统等行为都可能给体育场带来严重后果。③ 外部威胁：外部网络出口设备将会面临各种安全威胁，黑客会通过各类攻击手段入侵和破坏网络系统。 ④ DDOS攻击：黑客利用DDOS攻击器控制多台机器一同攻击体育场网络出口设备，通过大量互联网流量淹没目标或其周围基础设施，从而破坏目标服务器、服务或网络的正常流量。⑤ 零日攻击：零日漏洞是指尚未公开或未被修复的安全漏洞。黑客可以利用这些未知漏洞，进行有针对性的攻击，对体育场网络系统造成损害［1］。（3） 安全威胁对国家体育场服务和用户的影响。① 业务中断和可用性问题：网络安全威胁可能导致体育场信息系统服务中断，使业务系统无法正常使用（如安防系统、导航系统），影响体育场正常运行。② 数据泄露和用户隐私问题：体育场内视频、图片，涉及用户隐私的信息等敏感数据可能因安全威胁而泄露。③ 信任和声誉受损：体育场作为冬奥会开幕场所，如频繁遭受安全威胁和攻击，会引发用户及更广泛的社会公众对于奥组委、国家体育场管控能力的质疑，产生信任危机。

2 网络架构及网络安全部署分析

为应对以上网络安全威胁，以网络安全等级保护三级标准为目标，国家体育场智能化网络系统拓扑图如图1所示，将网络系统划分为8个安全区域，通过防火墙设备对各安全区域进行逻辑隔离和安全防护。

（1） 网络出口区。网络系统有两个外网出口，一个为5G切片专网，由联通公司采用5G切片技术为体育场建设了一套5G专网，与外部网络隔离;另一个为互联网出口，为网络系统内各业务系统提供外网数据通信。此区域部署了出口安全网关、防火墙、入侵检测系统、虚拟局域网（VPN）等安全防护功能;还部署了异常流量清洗设备，用于抵抗DDOS攻击。防火墙和入侵检测系统是体育场网络安全的重要组成部分，用于保护网络免受未经授权的访问和恶意攻击。可以通过部署防火墙监控网络流量，并根据预先设定的策略，过滤恶意流量和非法访问。同时也要配置安全策略，根据网络需求和安全要求，制定适当的规则，限制进出网络的通信，包括限制端口、协议和IP地址等。通过定期对防火墙更新和升级，及时更新防火墙固件和软件版本，确保防火墙具备最新的安全功能。定期进行安全审查和评估，确保防火墙配置符合最佳实践，并修复潜在的安全漏洞。（2） 核心交换区。此区域部署了两台核心交换机，用于网内所有数据流量的处理和转发;另外部署了两台边界防火墙旁挂于核心交换机旁，通过边界防火墙划分出多个安全域用于保护各业务系统进行逻辑隔离、安全策略制定，所有数据流量均通过核心交换机引流至边界防火墙。在此安全区域部署防火墙，根据业务功能划分出不同的安全域，建立访问控制机制和身份认证措施，确保只有授权用户可以访问网络资源。采用强密码策略、多因素身份验证和访问控制列表等方法可以增强系统的安全性。（3） 安全管理区。此区域部署了日志审计、服务器安全监测、漏洞扫描、数据库审计、运维审计系统等多个安全防护设备，对全网的设备与业务系统进行安全防护和检测;部署终端管理系统用于网络系统中终端接入的准入与控制。通过建立安全监测、漏洞扫描、数据库审计等系统，可以检测和响应潜在的安全事件，同时快速发现异常活动并采取必要的应对措施。日志管理是网络安全的重要组成部分，记录和审计关键系统的日志，包括网络设备、应用程序和身份认证等系统。通过对日志进行分析，可以发现潜在的安全问题和入侵行为，并进行适时的响应和调查。（4） 数据中心服务器区。所有业务系统的服务器划分在此区域，通过边界防火墙与安全管理区的安全防护设备对此区域的设备与应用系统进行保护。在数据中心服务器区，定期备份业务系统重要数据是防止数据丢失的关键措施。备份数据应存储在安全的位置，并进行定期的测试和验证，以确保在数据损坏或灾难性事件发生时能够及时恢复。（5） 终端业务区。所有终端设备划分在此区域。通过边界防火墙与安全管理区的安全设备对此区域的设备与业务进行保护。此外，部署了终端管理系统用于网络系统中终端接入的准入与控制，使非法用户无法接入网络系统。（6） 原安防网络区。将原安防网络系统划分在此区域，通过边界防火墙对网络系统与原安防网络系统进行逻辑隔离。（7） DMZ区。设置访问控制策略，使所有与外网有数据通信需要的业务系统的中转服务器划分在此区域，作为外部网络与内部网络的中转区域;并在此区域部署Web防火墙对Web业务进行安全防护。通过此区域，将内网业务与外网业务逻辑隔离，保护内网业务的信息安全。（8） 安全隔离区。设置访问控制策略，使所有与外网有数据通信且与内部网络无数据通信的业务系统划分在此区域。此区域与其他安全区域物理隔离。

3 业务系统部署分析

国家体育场网络系统上承载着多个业务系统。根据业务系统的业务特性，将其划分在不同的安全域中。（1） 内部业务系统。内部业务系统不与外部网络产生数据通信，各业务系统的服务器设备划分在数据中心服务器区。内部业务所有流量通过核心交换机引流至旁挂防火墙中，并且在防火墙中部署了详细的访问控制策略，根据各业务系统的特点进行策略控制：

① 将没有数据交互需求的业务系统进行逻辑隔离，如为智慧安防系统和设备监测预警系统制定访问控制策略，将两个业务系统的网段进行隔离;

② 为没有外网访问需求的业务系统设置拒绝访问外网策略;

③ 访问策略进行精细化管理。将有外网访问需求的业务系统设置单向访问DMZ区域的控制策略，只限内部业务访问DMZ区，禁止DMZ区“回访”。（2） 外部业务系统。为保证内部业务系统的安全，将外部业务系统划分在出口防火墙的DMZ区。业务系统数据流量示意图如图2所示。此区域的业务系统通过VPN或专线的方式借助转发服务器与外部网络通信。通过访问策略只允许内部网络单向访问DMZ区域的转发服务器，转发服务器再通过VPN、专线单向访问外网数据。

部分外部业务系统与内部网络系统没有数据通信需求，所以划分在安全隔离区中。

（3） 终端设备。各业务系统的终端设备划分在终端业务区。根据业务需求，对所有业务网段进行逻辑划分，使没有数据交互需求的业务无法通信。

4 网络安全建设策略分析

在网络系统建设完成后，根据时间节点划分筹备调试、冬奥会举办、冬奥会后运维保障3阶段，分别采用不同的网络安全应对方案。（1） 筹备调试期的网络安全建设工作。在此期间，针对国家体育场业务系统涉及的服务器、操作系统、数据库、中间件进行脆弱性检测，并对系统相关的网络核心层、汇聚层设备、安全设备进行脆弱性检测，实施漏洞扫描，以发现在网络、主机、应用等层面存在的安全隐患，并提出改进建议。通过威胁识别、脆弱性识别等工作，评估相关信息系统的安全性以及面临的安全风险，为系统管理人员了解自身信息系统的脆弱性提供技术支持。保障网络系统、各业务系统稳定运行及调试的同时，通过运维审计、数据库审计、漏洞扫描、日志审计、服务器安全检测、终端安全管理等安全防护设备对全网进行扫描检测与保护。制定网络安全管理办法，对各业务系统的服务器和软件进行升级软件补丁、修补软件漏洞、开启防火墙、关闭不用端口、增加数据安全性等安全措施;并提出禁止将设备私自接入内网、禁止将内网设备接入外网、禁止设置弱口令等管理要求。同时对网络系统和业务系统进行资产梳理、安全检查、网络安全监测、备品备件准备、应急保障管理、电子大屏和安防系统管理、运维和终端使用管理、网络安全意识培训等工作。根据对国家体育场智慧场馆关键信息系统进行渗透测试以及脆弱性检查等工作的结果，结合当前的实际需求，提出合理的安全整改建议和切实可行的安全加固方案。同时对网络、主机、应用等安全方面进行加固实施。安全加固方案中将明确加固内容、加固方法以及加固风险等，将高风险漏洞和中风险漏洞降低或规避在可接受的范围内，将整个网络、应用系统等的安全状况提升到较高的水平。安全加固服务包含网络结构优化调整、系统设备脆弱性加固两部分工作，具体内容如下：① 网络结构优化调整：由于系统网络规模较大，网络系统所涉及的产品较多，信息系统在网络拓扑结构方面相对复杂。每次系统结构的调整，均会不同程度地提升或降低系统的安全防护水平，进而对信息安全整体目标的实现产生积极或消极影响。从信息安全的角度出发，结合信息系统的业务应用现状，提出合理可行的网络结构调整方案，协助优化信息系统结构使之逐步趋于合理，从整体结构上提高抗风险能力。② 系统设备脆弱性加固：在不影响系统当前业务的前提下，通过工具扫描和手工检查的技术方法，发现系统相关主机、网络与安全设备所存在的安全隐患，并采取必要的技术手段对目标系统实施全面而周到的安全加固配置，及时消减相应的操作系统、数据库、中间件、路由与交换设备、安全设备所存在的技术性安全问题，降低恶意攻击者利用安全漏洞威胁系统安全运行的概率，从而有效控制因系统配置不当等因素引发的业务中断及信息外泄等风险，将高风险漏洞和中风险漏洞降低至可接受的范围内，使得整个网络、应用系统的安全状况提升到一个较高的水平。（2） 冬奥会举办期间网络安全应对方案。冬奥会期间网络拓扑图如图3所示。在此期间，以保障国家体育场网络系统安全为首要目标，切断外部网络出口，从而有效避免黑客组织的恶意攻击。因此，DMZ区内的所有业务系统均无法与外部网络通信，各系统在冬奥会期间将采用历史数据进行展示。图3 冬奥会期间网络拓扑图

因安全隔离区与其他区域物理隔离，故此区域不受此影响。（3） 冬奥会后网络安全管理办法。体育场网络安全建设需要一个明确的战略框架，以指导实际操作和实施过程。具体协助体育场公司制定网络安全政策和规范，建立安全文化，实施风险管理和持续改进等工作。① 制定安全政策和规范。制定明确的安全政策和规范对于确保体育场网络安全至关重要。 安全政策制定：制定一份全面的安全政策，明确体育场对网络安全的承诺和期望。政策应包括对网络资源和用户数据的保护、用户行为规范、安全事件响应和通知程序等内容。 合规性要求：确保体育场的网络安全政策符合适用的法律、法规和合规性要求。应包括隐私保护、数据保护、知识产权保护等方面的要求。 安全规范建立：建立详细的安全规范和操作指南，明确网络设备、应用程序和用户的安全配置要求。可以包括密码策略、防火墙配置、访问控制列表、漏洞管理等方面的要求。 审计和合规性检查：定期进行安全审计和合规性检查，确保网络安全政策和规范的执行和符合性。这有助于发现和纠正潜在的安全漏洞和不合规问题［2］。② 建立安全文化。 安全培训和教育：提供定期的安全培训和教育，确保体育场工作人员了解网络安全威胁和最佳实践。培训内容可以包括密码管理、社交工程防范、恶意软件识别等。 安全意识提升：通过定期的安全通知、海报、内部邮件和培训材料等，提升员工对安全问题的意识和重要性;组织安排安全活动和演练，增加员工对安全事件的应对能力。 安全沟通和反馈渠道：建立安全沟通和反馈渠道，鼓励员工主动报告安全事件、漏洞和建议。确保员工能够安全举报和分享安全相关的问题，促进信息共享和快速响应。③ 实施风险管理。 风险评估和分类：对网络系统和应用进行全面的风险评估，识别潜在的威胁和漏洞。将风险进行分类和优先级排序，以便合理分配资源和采取相应的风险应对措施。 安全控制和防护策略：根据风险评估结果，制定相应的安全控制和防护策略。可以包括加固网络设备、应用安全补丁管理、恶意软件防护、访问控制等措施。 漏洞管理和修复：建立漏洞管理流程，定期扫描和评估网络系统和应用的漏洞。及时修复已知漏洞，并建立漏洞披露和补丁管理机制。 灾备和业务连续性计划：建立灾备和业务连续性计划，确保在安全事件、灾难或系统故障发生时，能够迅速恢复业务功能，并保护用户数据的完整性。

5 实现目标

经过上述的网络安全建设和策略的部署，最终实现以下目标。（1） 优化和完善网络结构安全。

通过对网络系统进行安全域划分，提高信息内部对象访问控制的强度，清晰划分不同安全区域，建立和优化边界控制设施的访问控制策略，防止内部不同角色的用户越权访问业务系统。同时，针对网络流量进行网络安全审计、入侵检测行为分析、漏洞扫描等，借助安全运营监控平台以便及时发现潜在的安全风险，加强核心关键数据的防护和审计，以便于在出现安全事件时可审计与追溯。 （2） 完善安全管理制度文件。

安全管理是以实现信息系统安全为目标而进行的有关决策、计划、组织和控制等方面的活动，主要运用现代安全管理原理、方法和手段，从技术上、组织上和管理上采取有力的措施，解决和消除各种不安全因素，防止事故的发生。安全管理方面需要优化安全管理组织，完善安全管理制度，制定信息系统建设和安全运维管理的相关管理要求，规范人员安全管理等。（3） 持续维护安全措施有效性。

针对国家体育场智慧场馆网络及信息系统的安全策略和安全措施，借助专业的第三方公司检测现有安全措施的有效性，发现信息系统潜在的安全威胁;同时开展定级备案、差距分析、脆弱性检测和安全加固等服务，针对紧急事件，采取应急响应服务，能够快速、精准地定位安全事件源，找出解决方法，并快速遏制住信息安全事态的进一步发展，全面提升整体网络安全防护能力。通过安全建设满足等级保护的基本要求，使得信息系统顺利通过第三方等级测评。

6 结 语

网络安全建设是一个综合性的工作，涉及网络安全设备和软件的安全策略、访问控制和身份认证、规范制定以及持续改进等方面。只有通过全面的安全措施和策略，才能有效应对网络安全威胁，保障场馆内业务系统的安全和稳定。国家体育场网络系统的构建对北京冬奥会及冬残奥会的成功举办起到了毋庸置疑的作用。本文总结了国家体育场面对的各类网络安全威胁，以及网络安全建设应具备的各个环节，能够对其他类似背景的网络安全建设项目提供有益借鉴。

［1］ 魏静.公共图书馆网络安全建设：保护资源、保障服务［J］.大众文艺，2023（16）：68.

［2］ 孙戈.公共图书馆网络信息安全风险与防范策略［J］.图书馆理论与实践，2018（6）：19-22.

收稿日期： 20240603

Analysis of Network Security Construction for the National Stadium

（Bird’s Nest） Intelligent Venue Project

WANG Minnan， HU Hongbo， LI Hongjie

［Tongfang Taitell International Technology （Beijing） Co.， Ltd.， Beijing 100083， China］ Abstract：

This paper mainly introduces the construction and analysis of the intelligent venue network system and network security of the National Stadium（Bird’s Nest）.It first explains the background and evolution of modern information security threats，especially the security threats faced by the network system of the National Stadium and the impact of various security threats on the National Stadium.It also provides a detailed description of the network system construction work before the Winter Olympics，including the overall architecture of the network system and the deployment of network security，as well as the analysis of various business deployment and security strategy work.It also provides good technical service support during the Winter Olympics.Key words：

network security threat; network system construction; network security level protection level three; network system operation and maintenance