7月13日，2022北京网络安全大会线上开幕，中国工程院院士、中央网信办冬奥会网络安全专家研判组组长方滨兴，在开幕式&冬奥零事故峰会中发表“‘盾立方’网络安全防御体系中的探查维度——‘四蜜’探查结构”主题演讲。他表示，在北京冬奥的防护实践中，以蜜点、蜜罐、蜜网、蜜洞形成的“四蜜”探查结构，助力发现威胁来源、跟踪威胁行为，有效地应对APT等未知攻击类型。

　　方滨兴表示，常规的网络攻击具有系统渗透和系统压制两个维度，由此产生了三种攻击形态：控制攻击、试探攻击与破坏性攻击。与之相对应，常规的网络安全防御模式分为自卫模式与护卫模式两类，前者依靠自身强化安全以自卫，后者以外部协助防御来护卫。

　　他指出，在现代信息战中，相比较完全的自卫模式，通过外置系统保护的护卫模式是更有效的根本模式。作为外置安全技术的“盾立方”，通过设伏探查技术设置相应陷阱发现异常，通过关联分析技术确认攻击嫌疑源头，通过管控阻断技术部署拦截点阻断异常ip进入，进而形成了三维构造对外部威胁进行护卫。

　　方滨兴分享道，“盾立方”的设伏探查主要靠“四蜜”实现，分为：蜜点、蜜罐、蜜网、蜜洞。“四蜜”结构有效地构建了核心更加强大的防护模式，有效应对APT等未知攻击类型，在北京冬奥网络防护中提供了强有力支撑。

　　“蜜点”是一组人为设置的网络访问点，部署在被保护系统的周边，内部承载着防御者精心设置的“哨兵”进程，外部形态是被保护对象的仿真系统。当攻击者实施渗透侦查活动时，将会无感记录其探测行为。

　　“蜜网”是一个前置于被保护系统的应用网关(WAF)。被保护系统无条件只接受来自蜜网或者其他白名单中的访问请求，并对白名单用户的访问过程进行记录和审计。对外，被保护系统的域名所解析的地址都指向蜜网，外部访问需要通过蜜网来进行。

　　“蜜罐”是被访问系统的前置机，相当于被访问系统的部分功能。对于牵引到蜜罐中的可疑目标对象，既能够真实地提供初期的服务，还能够观察和分析其行为活动，若最终判定为良性用户，则通过流量牵引到真实系统环境中。

　　“蜜洞”部署于靠近攻击者侧的真实网络中。当检测到疑似攻击或非合规访问时，蜜洞系统释放溯源认证工具决定是否放行这一访问，认证放行的前提是访问者需要提供证明其来源和途径的信息，即身份认证凭据。蜜洞部署提升了自动化攻击的成本代价，一方面让访问者知晓面临被溯源风险，从而形成威慑;另一方面，可以搜集关联情报。

　　方滨兴总结“四蜜”为具有一体化探查能力的结构，解决了想知道有什么问题、哪块有问题的需求，通过冬奥网络安全防护实践，成为了“盾立方”中设伏探查的重要技术。

　　据冬奥网络安全赞助商奇安信统计数据显示，在冬奥会开始到冬残奥会闭幕式结束期间，共检测日志数量累积超1850亿，日均检测日志超37亿，累计发现修复漏洞约5800个，发现恶意样本54个，排查风险主机150台，累积监测到各类网络攻击超3.8亿次，跟踪、研判、处置涉奥舆情和威胁事件105件，最终创造了冬奥历史上首个网络安全“零事故”的世界纪录。

　　此前，北京网络安全大会已连续成功举办三届，代表了中国网络安全的高水平和前沿声音。2022年北京网络安全大会采用“四地双会场 动态召开”的创新模式，在北京、长沙、重庆和深圳四地，举办线上线下超融合的网络安全大会。