首页 公司动态

京东揭秘信息安全历程 管理和技术全程护航

京东集团信息安全部负责人李学庆日前应邀在WOT峰会上发表主题演讲,介绍了京东信息安全技术发展的进程,并着重分享了京东在产品技术层面和规章培训层面的经验。他认为京东已经打造了一套缜密的安全开发体系,并建立了系统的安全产品矩阵,信息安全已经完整贯彻在京东技术、运营等体系中,全面保护交易安全和用户利益。WOT峰会(World Of Tech 2016,企业安全技术峰会)是由51CTO主办的大型技术分享交流平台,吸引了1300多位安全行业专家和从业人士参与。

京东集团信息安全部负责人李学庆在WOT峰会上演讲

京东信息安全成长史:魔高一尺道高一丈

在主题为《京东安全体系建设之路》的演讲中,李学庆首先回顾了京东信息安全体系的发展历程。京东自2011年3月份开始投入信息安全系统建设;2011年5月进行首次全员安全培训,12月份建立应急团队;到2012年3月份开始进行安全流程的规划,同年5月京东正式成立安全部门。

2013年年初,针对于撞库攻击频繁的矛盾,京东上线账号安全管理、扫描平台和JSRC(JD Security Response Center,京东安全应急响应中心平台),对所有上线的系统进行例行检查保障安全;2014年,京东开始推动业务安全,完成了从供应链到物流链各个环节全方位覆盖;2015年,京东信息安全进一步平台化,所有对外产品统一平台输出。

“2016年,京东信息安全将迎来服务化的全新阶段,京东希望以统一的服务方式为各业务线提供帮助。”李学庆说。京东在信息安全领域的发展在中国互联网行业颇具代表性,不断加大的投入和平台化、统一服务方式有效保障了京东的信息安全。

 

安全开发 SDL+:从开发环节保障安全

尽管各大企业对网络安全已经高度重视,但想实现完全的网络安全化仍然存在很多困难,主要问题往往在于缺少管理审批、缺少培训和支持。作为网络安全管理的先行者,李学庆分享了京东在这一领域的实践经验。

京东的信息安全体系框架是在SDL+(Security Development Lifecycle Plus,安全开发周期+)下面进行安全产品的开发,“为何叫SDL+,是由于京东信息安全专门针对几个环节做了优化,包括评估监控、无线安全、敏感数据等方面。”

京东的SDL+由培训、需求、设计、评估、发布、监控、响应、改进等一系列环节组成。首先,京东高度重视培训,在人员入职阶段、上岗阶段、开发阶段、考核阶段都有不同培训。技术人员,都需要通过安全培训与考核,上岗后,京东还会对开发人员提供指引和规范,如参考文档、历史漏洞方案到代码级别的最佳实现。

在接下来的需求环节,安全人员会与技术人员、测试人员联合讨论风险;在设计环节,京东将沉淀下来的精华集成为京东高危安全漏洞防护规范,并要求项目通过开发自检、测试检查、安全检查等一系列评估;发布时,京东会在整个上线流程当中集成安全评估;发布后,京东则会针对线上所有的应用做严重问题的监控,涉及SVN、端口、后台、CVE漏洞、banner、弱口令、GitHub等方方面面。

在响应环节中,京东有完整的安全事件处理及应急响应流程规范,分为发现、分析验证、漏洞解决、漏洞升级、响应结束等不同阶段。京东的每一个业务都配备一个专门的安全官,控制漏洞处理时长、对安全事件进行记录、跟踪。

  京东产品安全矩阵:让恶意攻击无处遁形

在缜密的安全开发管理之外,京东更打造了完整的产品安全矩阵,涵盖菊花台、安全响应中心、风控分析平台等八大子产品。

菊花台于2012年开建,主要的职责是安全扫描、任务调度及数据分析,它分析出每一个部门、每一个漏洞出现的趋势。Sonic平台是与腾讯一起合作,把涉嫌诈骗的QQ号、网站、手机号推给业务线加以防范,避免用户遭到骚扰和诈骗。风控分析平台执行京东基于大数据的风控检查,防范撞库、恶意注册、诈骗等行为。Jupiter平台针对高危漏洞进行跟踪改进和质量提升,将包括技术开发、测试、安全部门的规范记录下来并提供复用。雾之旗平台则着重于监控,有防篡改、差异检查功能。李学庆介绍,现在京东全站的检查,基本上一个人就可以做到。

除了以上子平台,京东还有数据库监控平台、白盒审计平台、数据密钥平台、数据涉密平台、主机监控平台等作为辅助。例如京东信息安全部会针对每次大促进行DDOS演练,后续会将DDOS防范常态化,把外部的风险直接回收到京东来控制。而白盒审计平台会建立白帽群,专门做了安全小课堂,定期邀请业内人员、专家讨论交流。

展望信心安全未来:服务、感知、专业

谈到京东信息安全部的未来,李学庆表示,服务、感知、专业是发展的三大方向。

针对服务,京东后续要做的不仅仅是提供报告,而是给每个业务部门开放API 网关、验证码、函数、SaaS 立体监控服务,真正保证京东所有安全保证是统一化的。感知,是要针对危险情报、大数据、溯源、行为感知完整响应,对京东的安全插件、应用、框架,与合作伙伴的安全风险全部进行监控和分析。专业,首先体现在人才培养,李学庆介绍说,京东要从不同的渠道培养人才,包括会到高校中定向培养京东安全人员,让这些人才不仅会挖漏洞,还要懂得如何解决漏洞,怎么去部门协调,培养出具有综合能力的京东安全人才。

通过京东的分享不难看到京东对信息安全的重视和投入,通过不断完善技术、规范制度逐步构筑起坚实的信息安全防御体系。京东的实践不仅保障了京东交易数据、用户数据的安全,也通过积极的分享和合作与行业伙伴一起努力打造更加安全的互联网环境。

官方微博/微信

每日头条、业界资讯、热点资讯、八卦爆料,全天跟踪微博播报。各种爆料、内幕、花边、资讯一网打尽。百万互联网粉丝互动参与,TechWeb官方微博期待您的关注。

↑扫描二维码

想在手机上看科技资讯和科技八卦吗?

想第一时间看独家爆料和深度报道吗?

请关注TechWeb官方微信公众帐号:

1.用手机扫左侧二维码;

2.在添加朋友里,搜索关注TechWeb。

手机游戏更多