京東618 六年歷程步步為營,京東商城的安全保衛戰

2021-09-17 06:09:08 字數 2646 閱讀 9707

電商**在為廣大使用者提供網購便利的同時,在安全方面也不可以掉以輕心。那麼作為一家高流量的電商,京東是怎樣做安全防護的?在618備戰期間又需要特別注意哪些事項?京東安全的現狀和未來是怎樣的?為此,infoq採訪了京東安全方向第一人李學慶,採訪內容如下。

\\ 此外,archsummit全球架構師峰會深圳站將於2023年7月7日~8日在深圳·華僑城洲際酒店召開,京東**物流研發部首席架構師者文明策劃了《低延遲系統架構設計》專題,將會為大家分享目前各大網際網路企業在低延遲系統架構設計上都有哪些新思路,歡迎關注。

\\infoq: 電商安全有幾個層面?(分類如資料安全、賬號安全、業務詐騙安全)

\\

\

李學慶:電商安全從大類可分為業務安全、應用安全、系統安全、網路安全、資料安全、辦公安全。

\\

\\

\\

\

李學慶:從電商角度來看,首先要確保外部業務不會出現重大安全漏洞,例如基礎漏洞、管理後台、弱口令、邏輯漏洞、配置不當等等,對於外部的安全風險做到可控、可快速清除。展開來說,外部業務要建立一套完整的掃瞄機制,這個掃瞄機制不是我們傳統的上一套掃瞄器就可以的,需要我們在基礎掃瞄引擎上進行擴充套件,增加埠、後台監控、banner監控、頁面監控、水平許可權監控、爆破探測、應用配置監控、重大漏洞監控等等,然後通過一定的依賴關係進行串聯,形成一套完整的外部監控體系。

\\ 其次的安全隱患就是通過各渠道導致的資料洩漏問題,如果第一步做到足夠堅固,那由於應用層在外部導致的洩漏風險基本可以降到最低,其他的風險源可以通過資料的走向梳理資料鏈,在關鍵節點做加固、監控、和審計。最後需要關注的是網路流量問題,也就是ddos攻擊。對於抗d來說京東通過不同層級分解的方案應對不同型別和量級的流量攻擊,並初步具備流量的溯源能力。當然我們也在把ddos的演練工作慢慢推向例行,把漏洞導致的dos和模擬外部攻擊的流量對上線的不同業務進行攻擊測試,也就是後面我們會讓系統上線就具備抗d的能力。

\

\\

infoq:具體到京東的618時期尤其凸顯的安全挑戰?

\\

\

李學慶:對於今年618我們早在4月就開始啟動,今年安全團隊也將有近50人規模的安全保障,跨部門對接上百人,我們聯合相關業務板塊共同保障京東**金融、一號店的pc端、移動端等所有平台的安全。資訊保安部今年落地了10個方向的安全預案,對於重大的安全風險提前進行了安全演練。

\

\\

infoq:能否比較詳細地談談京東的「安全決策蜂窩模型」?

\\

\
\\

infoq:能否回顧下京東這六年來走過的路。

\\

\

李學慶:到現在為止已經6年頭,一步乙個紮實的腳印,一步乙個坑的踩了過來。

\\ 可以簡單的把京東這六年概括為:

\\

\\

infoq:京東應急安全響應中心的工作職責和具體的工作內容包括?

\\

\

李學慶:京東安全響應中心的工作職責是為京東與白帽子之間搭建乙個以安全為中心的溝通橋梁。白帽子可以通過挖掘京東的漏洞、情報、掃瞄外掛程式、0day提交至京東安全響應中心(京東安全團隊會根據漏洞級別發放等同價值的積分,白帽子可以使用積分兌換想要的商品。

\\ 自京東安全響應中心開張以來在行業中是首家創辦安全小課堂、開創系列詐騙宣傳活動、首家啟用白帽子為大促保駕護航、京東安全公益以及首家聯合行業src共同倡議白帽子懂法、守法單位。

\

\\

infoq:能否給我們講講現在京東的前沿安全趨勢?

\\

\

脈象平台:脈象平台是基於京東的資產平台(大海)進行的公升級改造。大海平台目前已具有京東重要資產資訊,並可隨時獲取最新的資產資料。在前段時間的struts2漏洞大海系統起到了至關重要的作用,快速定位風險範圍,對公升級效果的快速檢驗。整體下來比行業修復漏洞至少快了10個小時。針對現有的漏洞定位已經解決的,但對於資料洩漏的溯源、定位還是個很難的問題,特別採用資料關係鏈的思路把資料洩漏問題進行溯源定位。

\\京東脈象平台分成三層:基礎資料層、關係鏈層、查詢介面層。

\\

脈象平台會把相關資料的使用部門、儲存方式、儲存伺服器資產、是否出現過安全漏洞、對外伺服器是否出現過入侵痕跡,使用人的基本資訊(是否為新員工),之後從脈象中定位具體範圍。

\\ 最後喊句口號:技術引領,正道成功!所有的付出都將成為個人生涯中的乙個重要里程碑!

\

\\\\

李學慶,京東安全方向第一人,618、雙11安全保障總舵手,安全領域中selc發起者。2023年加入京東**,擔任公司安全攻防、安全響應以及安全體系規劃建設工作,京東安全響應中心建設及運營等。曾參與京東涉及的所有行業重大漏洞響應、京東相關的安全事件等。2023年帶領安全團隊保障京東安全,間接避免京東損失高達4.3億元。曾根據多年安全行業經驗總結並分享「安全決策蜂窩模型」、「資訊保安體系建設三部曲」、「安全行業人才培養計畫」等內容。

京東618 六年歷程步步為營,京東商城的安全保衛戰

電商 在為廣大使用者提供網購便利的同時,在安全方面也不可以掉以輕心。那麼作為一家高流量的電商,京東是怎樣做安全防護的?在618備戰期間又需要特別注意哪些事項?京東安全的現狀和未來是怎樣的?為此,infoq採訪了京東安全方向第一人李學慶,採訪內容如下。此外,archsummit全球架構師峰會深圳站將於...

京東618 六年歷程步步為營,京東商城的安全保衛戰

電商 在為廣大使用者提供網購便利的同時,在安全方面也不可以掉以輕心。那麼作為一家高流量的電商,京東是怎樣做安全防護的?在618備戰期間又需要特別注意哪些事項?京東安全的現狀和未來是怎樣的?為此,infoq採訪了京東安全方向第一人李學慶,採訪內容如下。此外,archsummit全球架構師峰會深圳站將於...

京東618 六年歷程步步為營,京東商城的安全保衛戰

電商 在為廣大使用者提供網購便利的同時,在安全方面也不可以掉以輕心。那麼作為一家高流量的電商,京東是怎樣做安全防護的?在618備戰期間又需要特別注意哪些事項?京東安全的現狀和未來是怎樣的?為此,infoq採訪了京東安全方向第一人李學慶,採訪內容如下。此外,archsummit全球架構師峰會深圳站將於...