TY/T 1009.1-2024 体育赛事信息化 网络安全规范 第1部分：通用网络安全架构

　　中华人民共和国体育行业标准

TY/T1009.1—2024

体育赛事信息化 网络安全规范

第1部分:通用网络安全架构

Sportseventsinformatization—Cybersecurityspecification—

Part1:Generalcybersecurityarchitecture

2024-11-15发布2025-06-01实施

国家体育总局发布

目 次

前言………………………………………………………………………………………………………… Ⅲ

引言………………………………………………………………………………………………………… Ⅳ

1 范围……………………………………………………………………………………………………… 1

2 规范性引用文件………………………………………………………………………………………… 1

3 术语和定义……………………………………………………………………………………………… 1

4 总体要求………………………………………………………………………………………………… 1

5 网络安全架构…………………………………………………………………………………………… 1

5.1 总体架构…………………………………………………………………………………………… 1

5.2 赛事层级…………………………………………………………………………………………… 2

5.3 赛事阶段…………………………………………………………………………………………… 2

6 赛前筹备阶段…………………………………………………………………………………………… 2

6.1 统筹决策…………………………………………………………………………………………… 2

6.2 网络安全规划……………………………………………………………………………………… 2

6.3 监督检查…………………………………………………………………………………………… 2

6.4 网络安全建设……………………………………………………………………………………… 3

6.5 网络安全评估……………………………………………………………………………………… 3

7 赛时运行阶段…………………………………………………………………………………………… 3

7.1 统筹调度…………………………………………………………………………………………… 3

7.2 应急指挥…………………………………………………………………………………………… 3

7.3 网络安全管理体系………………………………………………………………………………… 3

7.4 网络安全技术体系………………………………………………………………………………… 4

7.5 网络安全运行体系………………………………………………………………………………… 4

8 赛后总结阶段…………………………………………………………………………………………… 4

8.1 项目总结…………………………………………………………………………………………… 4

8.2 项目验收…………………………………………………………………………………………… 4

8.3 项目审计…………………………………………………………………………………………… 5

8.4 数据处理…………………………………………………………………………………………… 5

8.5 设备处置…………………………………………………………………………………………… 5

前 言

本文件按照GB/T1.1—2020《标准化工作导则 第1部分:标准化文件的结构和起草规则》的规定

起草。

本 文件是TY/T1009《体育赛事信息化 网络安全规范》的第1部分。TY/T1009已经发布了以

下部分:

———第1部分:通用网络安全架构。

请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别专利的责任。

本文件由国家体育总局体育信息中心提出。

本文件由国家体育总局归口。

本文件起草单位:国家体育总局体育信息中心、国家信息中心、中体数科(北京)体育发展有限公司、

北京国信恒达智慧城市科技发展有限公司、杭州安恒信息技术股份有限公司、奇安信科技集团股份有限

公司、北京天融信网络安全技术有限公司、北京神州绿盟科技有限公司、武汉经济技术开发区黄金口产

业园建设投资有限公司、东方智体(北京)有限责任公司、中国标准化研究院。

本文件主要起草人:李玮、阳琳赟、刘硕、刘秀超、李子惟、单志广、肖鑫、戴彧、邹铭津、袁明坤、

田丽丹、黄亮、田梓毅、金永平、蓝俊、温跃宇、张月恒、李翀、高昂、吴楠、韩旭、刘梦露。

引 言

信息技术作为现代科学技术的重要组成部分,对各个领域的发展产生着深刻影响。体育赛事随着

全民健身运动的兴起快速发展,在体育赛事组织举办的过程中,引入现代化技术特别是信息技术能够有

效减少工作负担、提高工作质量,同时减少体育赛事数据统计工作的人为因素、增强体育赛事统计工作

的准确性和公正性。当前我国体育赛事信息传播工作对信息技术的需求是长远且巨大的,我国近年来

举办的一系列大型运动会都彰显着计算机信息技术的重要作用,为保障体育赛事信息化的网络安全,亟

须构建一套网络安全规范。

TY/T1009《体育赛事信息化 网络安全规范》拟由3个部分构成。

———第1部分:通用网络安全架构。此部分是体育赛事信息化网络安全的基础和核心,旨在设计一

个全面、灵活的网络安全架构,以适应体育赛事各个阶段的安全需求。

———第2部分:网络安全管理。此部分是体育赛事信息化网络安全的重要环节,通过制定和实施一

套系统化、标准化的网络安全管理流程和方法,帮助赛事组织者建立并维护一套高效的网络安

全管理机制,从而持续提升网络安全防护能力,为体育赛事的平稳进行提供坚实的保障。

———第3部分:网络安全技术。此部分是确保体育赛事信息化网络安全的核心要素,聚焦于应用先

进的网络安全技术,确保体育赛事数据的安全传输和存储,有效防范和抵御各类网络威胁,为

赛事的顺利进行提供强大的技术支持。

本文件依据信息安全技术的国家标准和国际标准,结合体育赛事信息化的特殊性,规划设计了一个

适用于体育赛事的网络安全架构。该架构针对赛前筹备、赛时运行及赛后总结等各阶段做出特殊设

计,旨在为体育赛事提供一个安全、平稳、可靠的运行环境,并为赛事组织者提供全面而灵活的网络安全

架构参考,进而实现对体育赛事网络安全保障的统一规范化管理。

1 范围

本文件给出了体育赛事通用网络安全架构,规定了体育赛事网络安全总体要求和体育赛事运行过

程中的网络安全工作要求。

本文件适用于指导体育赛事通用网络安全架构的规划、建设和运行。

2 规范性引用文件

下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中,注日期的引用文

件,仅该日期对应的版本适用于本文件;不注日期的引用文件,其最新版本(包括所有的修改单)适用于

本文件。

GB/T22239 信息安全技术 网络安全等级保护基本要求

GB/T22240 信息安全技术 网络安全等级保护定级指南

GB/T25069 信息安全技术 术语

GB/T35273 信息安全技术 个人信息安全规范

GB/T41479 信息安全技术 网络数据处理安全要求

TY/T1008 体育赛事信息化 故障处理导则

3 术语和定义

GB/T25069界定的术语和定义适用于本文件。

4 总体要求

4.1 应以保障体育赛事安全运行为首要目标,充分考虑体育赛事信息系统低延时、高并发等需求,保证

体育赛事期间信息系统平稳、有效、安全运行。

4.2 应与信息化建设和保障体系“同步规划、同步建设、同步运行”。

4.3 应采用先进、成熟的信息系统,适用、安全的信息设备。

4.4 应根据网络等级保护实行网络评估。

5 网络安全架构

5.1 总体架构

体育赛事通用网络安全架构图包括赛事指挥管理层、网络安全保障层、业务保障对象层,依据体育

赛事组织运行特征分为赛前筹备阶段、赛时运行阶段、赛后总结阶段,如图1所示。

1

TY/T1009.1—2024

图1 体育赛事网络安全架构图

5.2 赛事层级

5.2.1 赛事指挥管理层由体育赛事组委会/执委会成员组成,负责体育赛事筹办、举办、收尾等全周期

的网络安全统筹、规划、决策、指挥、监督、审核、评价等。

5.2.2 网络安全保障层由体育赛事网络安全保障人员、管理制度和网络技术组成,网络安全保障人员

依据网络安全规划,负责具体开展体育赛事网络安全建设、评估、运行、退出等。

5.2.3 业务保障对象层由体育赛事网络安全保障工作的保护对象组成,包括体育赛事的相关业务和信

息技术/运营技术(IT/OT)资源。

5.3 赛事阶段

赛事阶段分为赛前筹备阶段、赛时运行阶段和赛后总结阶段。

———赛前筹备阶段宜从成立体育赛事筹委会开始,至正式开赛前1周结束。

———赛时运行阶段宜从正式开赛前1周开始,至正式比赛结束或颁奖仪式结束。

———赛后总结阶段宜从正式比赛结束或颁奖仪式结束开始,至收尾工作全部完成结束。

6 赛前筹备阶段

6.1 统筹决策

应统筹体育赛事网络安全资源分配,决策体育赛事网络安全重要事项。

6.2 网络安全规划

应组织制定网络安全规划及应急预案,并对其合理性和正确性进行论证和审定。

6.3 监督检查

应对体育赛事网络安全建设和评估进行监督检查。

2

TY/T1009.1—2024

6.4 网络安全建设

6.4.1 网络安全管理体系

应由体育赛事组委会/执委会设立体育赛事安全管理机构,明确各岗位职责,配备与体育赛事匹配

的安全管理人员。体育赛事安全管理机构应负责制定体育赛事网络安全策略和安全管理制度,依据网

络安全规划组织网络安全建设和网络安全运维。

应依据体育赛事特征,加强业务安全管理,防范信息化服务方、网络安全服务方以及其他第三方提

供的硬件、软件、运维人员等带来的安全风险。

6.4.2 网络安全技术体系

应依据网络安全相关法律法规和标准的规定,遵循国家、行业主管部门的相关要求,依据体育赛事

特征,围绕赛事网络等开展体育赛事安全物理环境、安全通信网络、安全区域边界、安全计算环境、数据

安全、安全管理中心等网络安全技术体系建设,开展赛事信息等数据的全生命周期安全防护。

6.4.3 网络安全运行体系

应遵循国家、行业主管部门的相关要求,并依据体育赛事特征,建设包括体育赛事的资产管理、配置

管理、脆弱性管理、设备运维、网络安全监测、事件处置、应急响应、威胁情报等网络安全运行体系。

6.5 网络安全评估

应遵循国家、行业主管部门的相关要求,并依据体育赛事特征,进行等级保护、风险评估、应用安全

性评估,组织开展攻防演练、应急演练等。

7 赛时运行阶段

7.1 统筹调度

应针对赛时网络安全保障过程中的各类事项进行人员、物资等及时协调与配备,确保各类事件能够

得到及时响应。

7.2 应急指挥

当发生重大及以上网络安全突发事件时,体育赛事组委会/执委会应成立应急指挥部,负责突发事

件的指挥协调工作。

7.3 网络安全管理体系

7.3.1 安全人员管理

应对人员录用、人员离岗、安全意识教育和培训、外部人员访问等方面进行管理。

7.3.2 安全运维管理

应对保护对象从环境管理、资产管理、介质管理、设备维护管理、漏洞和风险管理、恶意代码防范等

方面进行管理。

3

TY/T1009.1—2024

7.4 网络安全技术体系

赛时运行阶段网络安全技术体系主要包括安全管理中心等,安全管理中心对保护对象从系统管理、

审计管理、安全管理、集中管控等方面进行管理。

7.5 网络安全运行体系

7.5.1 安全值守保障

应配备专职人员对赛事网络、赛事系统、场馆物联网等业务保障对象实行7×24小时网络安全

值守。

7.5.2 场馆安全检查

应每天对机房、赛事网络、赛事系统、外接设备、终端等进行至少2次安全检查,及时发现和消除潜

在的安全风险。

7.5.3 网络安全监测

7.5.3.1 应对赛时运行期间的系统运行状态和网络安全态势进行实时监测分析。系统运行状态监测包

括但不限于赛事系统运行状态、赛事网络、业务应用状态、物理环境;网络安全态势监测包括但不限于网

络攻击、异常行为、安全事件、主机安全。

7.5.3.2 网络安全监测的数据采集对象包括但不限于网络流量、资产信息、威胁情报、脆弱性信息、安全

设备告警、安全日志、操作日志。应对赛时运行期间的系统的钓鱼网站进行监测,防范假冒网站。

7.5.4 事件处置

应对监测发现的系统运行异常和网络安全告警,及时采取适当的处置措施。

7.5.5 应急响应

应研判突发事件的影响对象和范围,确定突发事件的级别,及时启动相应应急预案,进行突发事件

处置。

7.5.6 威胁情报研判

应对接收到的威胁情报进行研判,分析影响对象和范围,及时采取相应的响应措施。

8 赛后总结阶段

8.1 项目总结

体育赛事结束后,应对体育赛事网络安全整体工作情况进行书面总结并形成总结报告,报告应包括

安全事件数量、事件描述、原因和影响分析、处置方式等相关内容,总结经验教训,提出整改建议。

8.2 项目验收

应在体育赛事结束后,进行网络安全项目验收,核实项目交付成果是否符合预期,形成验收报告并

与相关方进行确认。

4

TY/T1009.1—2024

8.3 项目审计

应按照国家主管部门相关要求,进行体育赛事网络安全项目审计。

8.4 数据处理

应在体育赛事结束后应停止对相关赛事数据进行修改,并采取安全措施保障归档数据的机密性、完

整性和可用性。设备处置前,应对体育赛事期间收集、处理和存储的数据进行安全清除和销毁。

8.5 设备处置

应按照6.2对设备进行处置。