電商網(wǎng)站在為廣大用戶提供網(wǎng)購便利的同時，在安全方面也不可以掉以輕心。那么作為一家高流量的電商，京東是怎樣做安全防護的？在618備戰(zhàn)期間又需要特別注意哪些事項？京東安全的現(xiàn)狀和未來是怎樣的？為此，InfoQ采訪了京東安全方向第一人李學(xué)慶，采訪內(nèi)容如下。

\\

此外，ArchSummit全球架構(gòu)師峰會深圳站將于2016年7月7日~8日在深圳·華僑城洲際酒店召開，京東商城物流研發(fā)部首席架構(gòu)師者文明策劃了《低延遲系統(tǒng)架構(gòu)設(shè)計》專題，將會為大家分享目前各大互聯(lián)網(wǎng)企業(yè)在低延遲系統(tǒng)架構(gòu)設(shè)計上都有哪些新思路，歡迎關(guān)注。

\\

InfoQ： 電商安全有幾個層面？（分類如數(shù)據(jù)安全、賬號安全、業(yè)務(wù)詐騙安全）

\\\

李學(xué)慶：電商安全從大類可分為業(yè)務(wù)安全、應(yīng)用安全、系統(tǒng)安全、網(wǎng)絡(luò)安全、數(shù)據(jù)安全、辦公安全。

\\

• 業(yè)務(wù)安全：風控安全、帳號安全、支付安全、交易安全\\t
• 應(yīng)用安全：網(wǎng)站安全、組件安全、框架安全\\t
• 系統(tǒng)安全：帳號安全、補丁管理、安全加固\\t
• 網(wǎng)絡(luò)安全：DDoS攻擊、DNS攻擊、鏈路劫持、DNS劫持、異常行為流量感知\\t
• 數(shù)據(jù)安全：數(shù)據(jù)存儲、數(shù)據(jù)傳輸、數(shù)據(jù)控制\\t
• 辦公安全：準入（網(wǎng)絡(luò)安全）、授權(quán)（帳號安全）、內(nèi)網(wǎng)（系統(tǒng)安全）、設(shè)備（終端安全）、流程（安全治理）\

\\

InfoQ：電商網(wǎng)站需要注意哪些安全隱患？（后臺被攻擊？DDos，DNS挾持等等）

\\\

李學(xué)慶：從電商角度來看，首先要確保外部業(yè)務(wù)不會出現(xiàn)重大安全漏洞，例如基礎(chǔ)漏洞、管理后臺、弱口令、邏輯漏洞、配置不當?shù)鹊?#xff0c;對于外部的安全風險做到可控、可快速清除。展開來說，外部業(yè)務(wù)要建立一套完整的掃描機制，這個掃描機制不是我們傳統(tǒng)的上一套掃描器就可以的，需要我們在基礎(chǔ)掃描引擎上進行擴展，增加端口、后臺監(jiān)控、banner監(jiān)控、頁面監(jiān)控、水平權(quán)限監(jiān)控、爆破探測、應(yīng)用配置監(jiān)控、重大漏洞監(jiān)控等等，然后通過一定的依賴關(guān)系進行串聯(lián)，形成一套完整的外部監(jiān)控體系。

\\

其次的安全隱患就是通過各渠道導(dǎo)致的數(shù)據(jù)泄漏問題，如果第一步做到足夠堅固，那由于應(yīng)用層在外部導(dǎo)致的泄漏風險基本可以降到最低，其他的風險源可以通過數(shù)據(jù)的走向梳理數(shù)據(jù)鏈，在關(guān)鍵節(jié)點做加固、監(jiān)控、和審計。最后需要關(guān)注的是網(wǎng)絡(luò)流量問題，也就是DDOS攻擊。對于抗D來說京東通過不同層級分解的方案應(yīng)對不同類型和量級的流量攻擊，并初步具備流量的溯源能力。當然我們也在把DDOS的演練工作慢慢推向例行，把漏洞導(dǎo)致的DOS和模擬外部攻擊的流量對上線的不同業(yè)務(wù)進行攻擊測試，也就是后面我們會讓系統(tǒng)上線就具備抗D的能力。

\\\

InfoQ：具體到京東的618時期尤其凸顯的安全挑戰(zhàn)？

\\\

李學(xué)慶： 對于今年618我們早在4月就開始啟動，今年安全團隊也將有近50人規(guī)模的安全保障，跨部門對接上百人，我們聯(lián)合相關(guān)業(yè)務(wù)板塊共同保障京東商城金融、一號店的PC端、移動端等所有平臺的安全。信息安全部今年落地了10個方向的安全預(yù)案，對于重大的安全風險提前進行了安全演練。

\\\

InfoQ：能否比較詳細地談?wù)劸〇|的“安全決策蜂窩模型”？

\\\

李學(xué)慶： 京東安全決策蜂窩模型是為了幫助管理者決策公司安全方向的模型。每個行業(yè)的安全方向都是不一樣的，所以我們要有個能夠參考的模型做標準。

\\

• 戰(zhàn)略：CXO從年度的戰(zhàn)略方向中需要分析出由于安全風險可能導(dǎo)致的問題，是否需要擴展新的安全技術(shù)投入和安全人才的儲備。\\t
• 趨勢：從公司的發(fā)展方向聯(lián)合公司相關(guān)業(yè)務(wù)部門共同定義出易出現(xiàn)安全隱患的范圍，以及行業(yè)內(nèi)對資產(chǎn)的最新技術(shù)和最新漏洞，需要提前從技術(shù)角度做好調(diào)整。\\t
• 影響：針對出現(xiàn)的安全風險需要快速定義是否為核心業(yè)務(wù)，內(nèi)外部分界，漏洞級別。多個緯度進行判斷影響，從而確定決策。\\t
• 特征：特征階段可以通過歷史風險數(shù)據(jù)去判斷新風險屬于重發(fā)還是頻發(fā)，是屬于嚴重還是屬于不嚴重典型類。\\t
• 業(yè)務(wù)：對現(xiàn)有業(yè)務(wù)進行清晰分級，輔助影響和特征\\t
• 形象：出現(xiàn)安全風險后需要啟動公關(guān)、內(nèi)控、黨委以及公共事務(wù)相關(guān)進行不同層面的決策\\t
• 價值：所有安全風險價值進行直觀的分析，用價值的形式進行展現(xiàn)。\

\\

InfoQ：能否回顧下京東這六年來走過的路。

\\\

李學(xué)慶： 到現(xiàn)在為止已經(jīng)6年頭，一步一個扎實的腳印，一步一個坑的踩了過來。

\\

可以簡單的把京東這六年概括為：

\\

• 萌芽期（2011年）：
  \\t大環(huán)境下各家公司對于安全的理解和認識還是一個萌芽階段，京東在11年以前已經(jīng)在開發(fā)的每個環(huán)節(jié)增加安全的檢查點，例如code review。但整體來說屬于初級，大風險能夠覆蓋。并在我剛?cè)サ?個月做了一次大型的安全培訓(xùn)，培訓(xùn)場次60余場，培訓(xùn)人次2000余人，當時最有趣的就是培訓(xùn)完了大家回去都去把電腦密碼設(shè)置更加復(fù)雜，但等到第二天有人打電話過來：李老師，我睡了一晚上覺，電腦密碼忘了。到現(xiàn)在，設(shè)置安全密碼并定時更換已經(jīng)成為日常工作中大家最基本的安全常識。\\t
• 起步期（2012年）:
  \\t2012年開始組建京東的安全部門，當時叫做安全管理部。當年做的最多的就是怎么讓大家把安全因素放到開發(fā)中并形成流程，所以當年做的最多的就是規(guī)范研發(fā)體系的開發(fā)流程、開發(fā)規(guī)范、以及重大漏洞的設(shè)計方案。做的最成功的可能就是自己定義了一套應(yīng)對Struts2漏洞的防御方案，并全部嵌入到了上線流程中。\\t
• 成長期（2013年）：
  \\t2013年最受行業(yè)關(guān)注的莫過于撞庫問題，由于前兩年行業(yè)中出現(xiàn)的各種數(shù)據(jù)泄漏，用戶通常的習(xí)慣又是在多個網(wǎng)站注冊相同的用戶名和密碼，所以導(dǎo)致很多電商網(wǎng)站出現(xiàn)詐騙、批量刷券的問題。我們通過努力，將撞庫風險降到最低。并于在2013年推出了京東JSRC，聯(lián)手行業(yè)白帽子一起，幫助京東查缺補漏，直至現(xiàn)在JSRC為京東作出了很大的貢獻。\\t
• 發(fā)展期（2014年）：
  \\t通過3年的積累，我們對于基礎(chǔ)的安全風險已經(jīng)可以做到可控，14年我們主要聚焦到怎么保障業(yè)務(wù)上的安全，很多業(yè)務(wù)上的安全風險通過不同檢測方法、邏輯判斷、智能的識別相對完整的做了體系化。\\t
• 對標期（2015年）：
  \\t對于公司業(yè)務(wù)發(fā)展迅速、上線系統(tǒng)繁多，我們開始考慮到把現(xiàn)有的很多能力通過平臺化的形式做好管理，提高效率。所以后邊慢慢延伸出來不同緯度的安全管理平臺。\\t
• 擴張期（2016年）：
  \\t2016年是一個京東安全團隊一個擴張期，職責變得更大，隨著京東業(yè)務(wù)體量的不斷增長，安全團隊的責任也越來越大，已從幾十人的小團隊到現(xiàn)在數(shù)百人的團隊。\\t
• 創(chuàng)新期（2017年）：
  \\t今年京東信息安全部聚焦的業(yè)務(wù)和技術(shù)范圍更加廣闊。我們開始針對移動痛點的自研解決方案，希望可以開放給行業(yè)；不斷提升威脅感知能力；攻防團隊慢慢升級為紅藍對抗；IoT安全方向研究；公有云的安全賦能等等。\

\\

InfoQ：京東應(yīng)急安全響應(yīng)中心的工作職責和具體的工作內(nèi)容包括？

\\\

李學(xué)慶：京東安全響應(yīng)中心的工作職責是為京東與白帽子之間搭建一個以安全為中心的溝通橋梁。白帽子可以通過挖掘京東的漏洞、情報、掃描插件、0day提交至京東安全響應(yīng)中心（http://security.jd.com），京東安全團隊會根據(jù)漏洞級別發(fā)放等同價值的積分，白帽子可以使用積分兌換想要的商品。

\\

自京東安全響應(yīng)中心開張以來在行業(yè)中是首家創(chuàng)辦安全小課堂、開創(chuàng)系列詐騙宣傳活動、首家啟用白帽子為大促保駕護航、京東安全公益以及首家聯(lián)合行業(yè)SRC共同倡議白帽子懂法、守法單位。

\\\

InfoQ：能否給我們講講現(xiàn)在京東的前沿安全趨勢？

\\\

李學(xué)慶：對于傳統(tǒng)安全廠商來說，京東做安全相關(guān)的產(chǎn)品具備的優(yōu)勢就是場景。我們也在從這個角度看是否可以做些更具有價值的落地產(chǎn)品。

\\

脈象平臺：脈象平臺是基于京東的資產(chǎn)平臺（大海）進行的升級改造。大海平臺目前已具有京東重要資產(chǎn)信息，并可隨時獲取最新的資產(chǎn)數(shù)據(jù)。在前段時間的struts2漏洞大海系統(tǒng)起到了至關(guān)重要的作用，快速定位風險范圍，對升級效果的快速檢驗。整體下來比行業(yè)修復(fù)漏洞至少快了10個小時。針對現(xiàn)有的漏洞定位已經(jīng)解決的，但對于數(shù)據(jù)泄漏的溯源、定位還是個很難的問題，特別采用數(shù)據(jù)關(guān)系鏈的思路把數(shù)據(jù)泄漏問題進行溯源定位。

\\

京東脈象平臺分成三層：基礎(chǔ)數(shù)據(jù)層、關(guān)系鏈層、查詢接口層。

\\

• 基礎(chǔ)數(shù)據(jù)層包括京東的基礎(chǔ)資產(chǎn)、資產(chǎn)的安全漏洞、資產(chǎn)的威脅情報；\\t
• 關(guān)系鏈層把所有的資產(chǎn)做關(guān)聯(lián)，從基礎(chǔ)資產(chǎn)類、漏洞類、情報類、框架類、用戶信息類、訂單信息類，每一類都會把相關(guān)資產(chǎn)進行關(guān)聯(lián)，并把路徑展現(xiàn)清晰；\\t
• 查詢接口層通過不同維度既可以定位漏洞影響范圍，同樣輸入泄漏的用戶數(shù)據(jù)或訂單數(shù)據(jù)；\

脈象平臺會把相關(guān)數(shù)據(jù)的使用部門、存儲方式、存儲服務(wù)器資產(chǎn)、是否出現(xiàn)過安全漏洞、對外服務(wù)器是否出現(xiàn)過入侵痕跡，使用人的基本信息（是否為新員工），之后從脈象中定位具體范圍。

\\

最后喊句口號：技術(shù)引領(lǐng)，正道成功！所有的付出都將成為個人生涯中的一個重要里程碑！

\\\

作者簡介

\\

李學(xué)慶，京東安全方向第一人，618、雙11安全保障總舵手，安全領(lǐng)域中SELC發(fā)起者。2011年加入京東商城，擔任公司安全攻防、安全響應(yīng)以及安全體系規(guī)劃建設(shè)工作，京東安全響應(yīng)中心建設(shè)及運營等。曾參與京東涉及的所有行業(yè)重大漏洞響應(yīng)、京東相關(guān)的安全事件等。2016年帶領(lǐng)安全團隊保障京東安全，間接避免京東損失高達4.3億元。曾根據(jù)多年安全行業(yè)經(jīng)驗總結(jié)并分享“安全決策蜂窩模型”、“信息安全體系建設(shè)三部曲”、“安全行業(yè)人才培養(yǎng)計劃”等內(nèi)容。

總結(jié)

以上是生活随笔為你收集整理的京东618：六年历程步步为营，京东商城的安全保卫战的全部內(nèi)容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網(wǎng)站內(nèi)容還不錯，歡迎將生活随笔推薦給好友。