2022年2月4日至3月13日，，，北京成功进行了第24届冬季奥林匹克活动会。。。

    功夫拉回到2019年12月26日，，，北京2022年冬奥会和冬残奥会官方网络安全服务和杀毒软件赞助商颁布会在北京冬奥组委园区进行，，，AB钱包正式成为北京2022年冬奥会和冬残奥会官方网络安全服务和杀毒软件赞助商。。。时至今日，，，已两年有余。。。从成为冬奥会赞助商，，，到以零变乱的成就圆满实现冬奥会安全保险，，，离不开从零起头搭建到流畅运行的冬奥安全运营中心。。。

    图2019年12月26日，，，北京2022年冬奥会和冬残奥会官方网络安全服务和杀毒软件赞助商颁布会

    提到冬奥安全运营中心，，，离不开一个贯通全程的人，，，AB钱包冬奥项主张总工程师尹智清，，，各人都叫他老尹。。。

    “从2019年12月26日起头，，，AB钱包正式成为北京2022年冬奥会和冬残奥会官方赞助商。。。”回首冬奥项目设计阶段，，，老尹提到，，，“早在2019年3月，，，冬奥项主张设计工作就已经起头。。。”由于3月份冬奥组委还没有正式颁布应征文件，，，所以初版设计规划并没有可参考的明确要求，，，其重要参考凭据是AB钱包多年的重保经验。。。

    老尹说，，，其时参加做初版规划的只有3小我，，，只能摸着石头过河。。。即便没有可参考的要求，，，这3小我的团队还是在7月份迭代了第二版规划。。。直到2019年9月份冬奥组委的应征文件正式颁布，，，才有了明确的规划要求，，，也就是从那时辰起头正式进入最终策动阶段。。。在数十人团队的共同致力下，，，直到最后中标，，，AB钱包冬奥重保工作的第一阶段的正式实现。。。

    与以往重保分歧的是，，，

    ◆首先冬奥项主张网络安全建设耗时极度长，，，前后历时2年多，，，

    ◆其次AB钱包要全面承担冬奥会网络安全责任，，，从以往项主张甲乙方关系造成了合作同伴关系，，，这一点的转变极度关键，，，也给冬奥重保提出了更高的要求。。。

    “冬奥组委对于AB钱包最主题要求就是，，，要对冬奥会的网络安全承担齐全的、彻底的、端到端的责任，，，最终指标就是零变乱。。。”老尹说。。。

    同步规划同步建设同步运营

    在正式成为冬奥赞助商之后，，，项目也即将进入现场交付建设阶段。。。

    “冬奥项目罕见十家赞助商及第三方云上云下业务系统，，，涉及多个场馆，，，要保险冬奥项目全盘业务系统安全运行，，，就意味着，，，冬奥项主张网络安全建设要与多个业务系统维持同步规划、同步建设、同步运营，，，这也是项目初期最大的难点。。。”

    冬奥安全运营中心现场项目经理仝磊提到，，，几十个利益有关方要维持协同、进度打算适配、技术对接、系吐洫调，，，往往安全建设总是被铺排在业务系统之后，，，还要面对着工期被压缩等诸多压力。。。不仅如此，，，在与有些业务有关方做技术对接的时辰，，，还会遇到各类各样的“非技术性难题”。。。

    入场后面对的第一个问题就是定位。。。

    冬奥安全运营中心在设计之初蕴含三级指挥中心，，，即一个总指挥中心+三个赛区指挥中心+场馆指挥中心，，，但由于冬奥没有了赛区的概念，，，相应赛区指挥中心也随之取缔，，，最终只有位于首钢园区的总指挥中心——即冬奥安全运营中心。。。

    而作为冬奥安全运营中心的主题安全监测平台，，，必要汇集全量数据，，，因而该平台必必要占有巨大的数据处置能力以及相应的关联分析能力，，，对所有安全事务集中展示，，，且总指挥中心所有安全监测、分析人员都可能通过一个平台监控、分析、措置安全事务。。。因而在屡次评估和会商之后，，，AB钱包态势感知与安全运营平台（NGSOC），，，顺理成章成为了建设冬奥安全运营中心安全监测平台的主题。。。

    与此同时，，，为了提升效能，，，冬奥安全运营中心选取了全流程的尺度化运营，，，制订了涉及安全运营、安全运维、应急响应的SOP（尺度作业法式），，，以上每个环节的决策和作为都对最终了局产生了重要影响。。。

    “其实其时选择哪个产品作为主题安全监测平台并没有那么顺利。。。”老尹回顾说，，，“但作为总工程师，，，要对整体项目进行思考和掌管，，，总指挥中心人员有限，，，不成能让他们分散去监测多个设备，，，在事务措置上也无法做到实时和高效。。。”

    作为冬奥安全运营中心主题安全监测平台，，，NGSOC承载着从数据的接入、日常监控、应急治理、溯源分析、事务措置、态势出现等全流程作为的对接和落地，，，因而必要最早一批进场交付部署。。。

    熬夜、红牛，，，持续两周的交付部署

    在2020年那个火热的夏天，，，PNC机房刚刚实现构筑施工，，，在网络前提还未美满的情况下，，，冬奥项目组几位工程师就奔赴现场，，，起头了第一次的平台迁徙、部署工作。。。当入场的时辰着实被吓了一跳，，，交付团队的同学带着防毒面具的在里面忙乱着。。。

    机房建成初期里面充溢着粉尘和不确定是否有害的怪味气体，，，冬奥安全运营中心项主张交付部署和构筑施工同步进行工作，，，当你以为耳边响起的霹雷声是服务器声音的时辰，，，却发现有可能是电钻和榔头，，，还有可能是空调调试的轰鸣声。。。各人在机柜之间，，，竖起服务器纸箱子，，，作为电脑办公桌、作为半蹲半坐的椅子、也作为走廊的“餐桌”。。。每隔一两个小时就要出去室外换个气、同时在夏季阳光下“取暖”。。。

    据其中一位工程师回顾，，，持续高强度的工作，，，身段稍微有点吃不消，，，印象最深刻的一次是在机房升级到晚上近凌晨1点，，，依照升级流程一步步地进行着，，，一向地敲击着键盘，，，忽然鼻血流在了键盘上。。。

    “由于项目工期比力紧，，，所以各人住在了离冬奥安全运营中心最近的旅店，，，早上8点进场、凌晨一两点脱离，，，晚上各人为了提神，，，3小我每2天就会喝掉一箱红牛，，，嗓子肿到1天只吃一顿饭，，，不敢喝太多、不敢吃太多，，，由于上厕所要去差不多1公里之外的处所，，，来回跑太耽失事儿。。。”另一位工程师补充说道。。。

    即便如此，，，功夫也显得极度严重。。。

    NGSOC平台的部署工作持续了或许2周的功夫，，，工程师们克服了恶劣前提带来的难题，，，解决了好多技术问题，，，在保险冬奥组委业务使用的前提下，，，滑润不变地实现了平台集群拓荒部署、平台迁徙、HA（HighlyAvailable，，，是双机集群系统简称，，，提高可用性集群，，，是保障业务陆续性的有效解决规划，，，通常有两个或两个以上的节点，，，且分为主活动节点及备用节点）上线、HA初期技术验证等工作，，，为后续的安全建设工作提供了支持。。。

    高靠得住、高安全，，，主备集群无缝切换

    冬奥项目选取HA（双机集群）的方式，，，这在NGSOC以前的项目中是没有遇到过的，，，也给研发人员带来了巨大的挑战。。。“主备集群的共同能够有效保险业务系统不变运行，，，通常我们实现主备切换必要30分钟。。。”NGSOC事业部研发总监说，，，然而这个速度显然还达不到冬奥尺度。。。而随着技术难关一个个被攻克，，，直到最后，，，主备切换不到10分钟即可实现。。。

    为了达到冬奥会零变乱的要求，，，NGSOC研发团队从建设初期就起头钻研高靠得住、不变性和安全性要求，，，从架构设计启程全面提升产品能力，，，指标是达到冬奥会的高质量尺度，，，打造冬奥尺度NGSOC。。。

    首先是高靠得住

    NGSOC借鉴了传统安全产品的高靠得住思路，，，通过主从的方式实现高靠得住，，，但是很快就面对难题，，，海量的数据若何可能做到一致性关联、高并发的告警措置过程若何实近况态同步等。。。

    研发中心组建了攻坚团队，，，最终在架构层面成功解决。。。通过唯一性ID天生算法，，，在HA主从集群实现一致性关联。。。通过逻辑复制机制，，，实现告警措置过程的状态同步，，，并且顺利实现了可控的主从同步切换机制，，，在垂危故障情况下可实现业务不中断。。。

    NGSOC平台最终在日均35亿日志高吞吐和50+人并发运营前提下，，，实现了数据的主从齐全同步。。。

    其次是不变性

    NGSOC必要对自身的不变性以及输入异常做出反映，，，预防自身陷入异常。。。在研发过程中实现了对主题组件进行监控，，，蕴含服务监控、告警通知和自动复原机制。。。一旦某个主题业务组件出现异常，，，NGSOC能够自动感知，，，并通过冬奥会短信网关实时通知7*24H待命的安全运维人员实时染指并措置。。。

    同时，，，在NGSOC可能自动复原的情况下，，，会同时尝试自动复原。。。其次是实现了对集群EPS负载进行监控，，，当集群负载超出集群告警阈值的时辰，，，NGSOC自动短信通知监控人员，，，通过冬奥应急响应SOP，，，按要求进行降负载措置，，，预防数据积压等问题出现。。
；；股杓屏讼蘖鞅Ｏ栈，，，过载情况下也要确保NGSOC自身不变运行。。。

    最终NGSOC在冬奥会和冬残奥会期间7*24H小时持续不变运行，，，做到了运营平台零变乱。。。

    最后是安全性

    NGSOC作为冬奥安全运营中心主题安全监测平台，，，保险自身的安全至关重要。。。NGSOC冬奥研发项目组结合AB钱包多位架构师、攻防专家和研发人员，，，重点梳理了以下几项工作：

    第一是进行源代码审计，，，从本原上找到所有可能被利用的攻击缝隙，，，进行彻底修复上线
；；

    第二是参与冬奥会众测专项，，，将冬奥项目1:1环境搬到线上，，，接受渗入测试人员的攻击测试，，，对所有发现的攻击脆弱点进行修复和验证
；；

    第三是冬奥现网露出面梳理，，，对NGSOC的所有接见蹊径、账号和权限进行统一治理，，，权限做到最小化，，，将授权的接见蹊径梳理出清单并统一治理，，，其余非授权的接见蹊径全数设置关闭阻断战术。。。

    第四是新增NGSOC自身安全性检测，，，安全从来不是绝对的，，，一旦NGSOC被攻击，，，若何可能急剧而正确地产生预警，，，以便最短功夫内染指处置就极度重要。。。除了通用的终端安全检测、网络攻击检测和APT检测等攻击检测伎俩，，，还引入了NGSOC网络白名单机制，，，非白名单的入站和出站均告警和阻截，，，最大限度预防NGSOC被攻击或攻下。。。此外，，，还给NGSOC平台增长了300多条自身安全加固和检测规定，，，让NGSOC平台在冬奥会和冬残奥会期间实现零变乱。。。

    技术的难题能够靠人力解决，，，但项目进行过程中遇到的难题不仅仅只是技术难题，，，好比从2020年2月起头发展HA项目研提议头，，，由于各方面原因，，，研发人员并不是至死不变的，，，每一次人员的更迭都必要亏损大量功夫去培训和交代。。。

    老尹还提到，，，除了NGSOC外，，，冬奥项目在2020年险些都在进行安全产品能力提升和交付部署阶段，，，直到2021年重心起头转向运营。。。冬奥安全运营中心项目整体做下来也是了了一个夙愿，，，从参与AB钱包起头一向在接触和参加安全运营有关的工作，，，内心也一向有一个指标和等待，，，就是通过尺度化把常态化安全运营真正做起来，，，事实也证了然做起来很有必要。。。

    冬奥项目经历了一个从极繁设计-不休简化-不休优化-全数尺度化的过程。。。浚Ｋ伎嫉饺嫘缘耐，，，又要两全效能，，，过于繁琐的设计会大大降低效能。。。