京东 618：六年历程步步为营，京东商城的安全保卫战

电商网站在为广大用户提供网购便利的同时，在安全方面也不可以掉以轻心。那么作为一家高流量的电商，京东是怎样做安全防护的？在 618 备战期间又需要特别注意哪些事项？京东安全的现状和未来是怎样的？为此，InfoQ 采访了京东安全方向第一人李学庆，采访内容如下。

此外， ArchSummit 全球架构师峰会深圳站将于 2016 年 7 月 7 日~8 日在深圳·华侨城洲际酒店召开，京东商城物流研发部首席架构师者文明策划了《低延迟系统架构设计》专题，将会为大家分享目前各大互联网企业在低延迟系统架构设计上都有哪些新思路，欢迎关注。

InfoQ： 电商安全有几个层面？（分类如数据安全、账号安全、业务诈骗安全）

李学庆：电商安全从大类可分为业务安全、应用安全、系统安全、网络安全、数据安全、办公安全。

• 业务安全：风控安全、帐号安全、支付安全、交易安全
• 应用安全：网站安全、组件安全、框架安全
• 系统安全：帐号安全、补丁管理、安全加固
• 网络安全：DDoS 攻击、DNS 攻击、链路劫持、DNS 劫持、异常行为流量感知
• 数据安全：数据存储、数据传输、数据控制
• 办公安全：准入（网络安全）、授权（帐号安全）、内网（系统安全）、设备（终端安全）、流程（安全治理）

InfoQ：电商网站需要注意哪些安全隐患？（后台被攻击？DDos，DNS 挟持等等）

李学庆：从电商角度来看，首先要确保外部业务不会出现重大安全漏洞，例如基础漏洞、管理后台、弱口令、逻辑漏洞、配置不当等等，对于外部的安全风险做到可控、可快速清除。展开来说，外部业务要建立一套完整的扫描机制，这个扫描机制不是我们传统的上一套扫描器就可以的，需要我们在基础扫描引擎上进行扩展，增加端口、后台监控、banner 监控、页面监控、水平权限监控、爆破探测、应用配置监控、重大漏洞监控等等，然后通过一定的依赖关系进行串联，形成一套完整的外部监控体系。

其次的安全隐患就是通过各渠道导致的数据泄漏问题，如果第一步做到足够坚固，那由于应用层在外部导致的泄漏风险基本可以降到最低，其他的风险源可以通过数据的走向梳理数据链，在关键节点做加固、监控、和审计。最后需要关注的是网络流量问题，也就是 DDOS 攻击。对于抗 D 来说京东通过不同层级分解的方案应对不同类型和量级的流量攻击，并初步具备流量的溯源能力。当然我们也在把 DDOS 的演练工作慢慢推向例行，把漏洞导致的 DOS 和模拟外部攻击的流量对上线的不同业务进行攻击测试，也就是后面我们会让系统上线就具备抗 D 的能力。

InfoQ：具体到京东的 618 时期尤其凸显的安全挑战？

李学庆： 对于今年 618 我们早在 4 月就开始启动，今年安全团队也将有近 50 人规模的安全保障，跨部门对接上百人，我们联合相关业务板块共同保障京东商城金融、一号店的 PC 端、移动端等所有平台的安全。信息安全部今年落地了 10 个方向的安全预案，对于重大的安全风险提前进行了安全演练。

InfoQ：能否比较详细地谈谈京东的“安全决策蜂窝模型”？

李学庆： 京东安全决策蜂窝模型是为了帮助管理者决策公司安全方向的模型。每个行业的安全方向都是不一样的，所以我们要有个能够参考的模型做标准。

• 战略：CXO 从年度的战略方向中需要分析出由于安全风险可能导致的问题，是否需要扩展新的安全技术投入和安全人才的储备。
• 趋势：从公司的发展方向联合公司相关业务部门共同定义出易出现安全隐患的范围，以及行业内对资产的最新技术和最新漏洞，需要提前从技术角度做好调整。
• 影响：针对出现的安全风险需要快速定义是否为核心业务，内外部分界，漏洞级别。多个纬度进行判断影响，从而确定决策。
• 特征：特征阶段可以通过历史风险数据去判断新风险属于重发还是频发，是属于严重还是属于不严重典型类。
• 业务：对现有业务进行清晰分级，辅助影响和特征
• 形象：出现安全风险后需要启动公关、内控、党委以及公共事务相关进行不同层面的决策
• 价值：所有安全风险价值进行直观的分析，用价值的形式进行展现。

InfoQ：能否回顾下京东这六年来走过的路。

李学庆： 到现在为止已经 6 年头，一步一个扎实的脚印，一步一个坑的踩了过来。

可以简单的把京东这六年概括为：

• 萌芽期（2011 年）：
  大环境下各家公司对于安全的理解和认识还是一个萌芽阶段，京东在 11 年以前已经在开发的每个环节增加安全的检查点，例如 code review。但整体来说属于初级，大风险能够覆盖。并在我刚去的 2 个月做了一次大型的安全培训，培训场次 60 余场，培训人次 2000 余人，当时最有趣的就是培训完了大家回去都去把电脑密码设置更加复杂，但等到第二天有人打电话过来：李老师，我睡了一晚上觉，电脑密码忘了。到现在，设置安全密码并定时更换已经成为日常工作中大家最基本的安全常识。
• 起步期（2012 年）:
  2012 年开始组建京东的安全部门，当时叫做安全管理部。当年做的最多的就是怎么让大家把安全因素放到开发中并形成流程，所以当年做的最多的就是规范研发体系的开发流程、开发规范、以及重大漏洞的设计方案。做的最成功的可能就是自己定义了一套应对 Struts2 漏洞的防御方案，并全部嵌入到了上线流程中。
• 成长期（2013 年）：
  2013 年最受行业关注的莫过于撞库问题，由于前两年行业中出现的各种数据泄漏，用户通常的习惯又是在多个网站注册相同的用户名和密码，所以导致很多电商网站出现诈骗、批量刷券的问题。我们通过努力，将撞库风险降到最低。并于在 2013 年推出了京东 JSRC，联手行业白帽子一起，帮助京东查缺补漏，直至现在 JSRC 为京东作出了很大的贡献。
• 发展期（2014 年）：
  通过 3 年的积累，我们对于基础的安全风险已经可以做到可控，14 年我们主要聚焦到怎么保障业务上的安全，很多业务上的安全风险通过不同检测方法、逻辑判断、智能的识别相对完整的做了体系化。
• 对标期（2015 年）：
  对于公司业务发展迅速、上线系统繁多，我们开始考虑到把现有的很多能力通过平台化的形式做好管理，提高效率。所以后边慢慢延伸出来不同纬度的安全管理平台。
• 扩张期（2016 年）：
  2016 年是一个京东安全团队一个扩张期，职责变得更大，随着京东业务体量的不断增长，安全团队的责任也越来越大，已从几十人的小团队到现在数百人的团队。
• 创新期（2017 年）：
  今年京东信息安全部聚焦的业务和技术范围更加广阔。我们开始针对移动痛点的自研解决方案，希望可以开放给行业；不断提升威胁感知能力；攻防团队慢慢升级为红蓝对抗；IoT 安全方向研究；公有云的安全赋能等等。

InfoQ：京东应急安全响应中心的工作职责和具体的工作内容包括？

李学庆：京东安全响应中心的工作职责是为京东与白帽子之间搭建一个以安全为中心的沟通桥梁。白帽子可以通过挖掘京东的漏洞、情报、扫描插件、0day 提交至京东安全响应中心（ http://security.jd.com ），京东安全团队会根据漏洞级别发放等同价值的积分，白帽子可以使用积分兑换想要的商品。

自京东安全响应中心开张以来在行业中是首家创办安全小课堂、开创系列诈骗宣传活动、首家启用白帽子为大促保驾护航、京东安全公益以及首家联合行业 SRC 共同倡议白帽子懂法、守法单位。

InfoQ：能否给我们讲讲现在京东的前沿安全趋势？

李学庆：对于传统安全厂商来说，京东做安全相关的产品具备的优势就是场景。我们也在从这个角度看是否可以做些更具有价值的落地产品。

脉象平台：脉象平台是基于京东的资产平台（大海）进行的升级改造。大海平台目前已具有京东重要资产信息，并可随时获取最新的资产数据。在前段时间的 struts2 漏洞大海系统起到了至关重要的作用，快速定位风险范围，对升级效果的快速检验。整体下来比行业修复漏洞至少快了 10 个小时。针对现有的漏洞定位已经解决的，但对于数据泄漏的溯源、定位还是个很难的问题，特别采用数据关系链的思路把数据泄漏问题进行溯源定位。

京东脉象平台分成三层：基础数据层、关系链层、查询接口层。

• 基础数据层包括京东的基础资产、资产的安全漏洞、资产的威胁情报；
• 关系链层把所有的资产做关联，从基础资产类、漏洞类、情报类、框架类、用户信息类、订单信息类，每一类都会把相关资产进行关联，并把路径展现清晰；
• 查询接口层通过不同维度既可以定位漏洞影响范围，同样输入泄漏的用户数据或订单数据；

脉象平台会把相关数据的使用部门、存储方式、存储服务器资产、是否出现过安全漏洞、对外服务器是否出现过入侵痕迹，使用人的基本信息（是否为新员工），之后从脉象中定位具体范围。

最后喊句口号：技术引领，正道成功！所有的付出都将成为个人生涯中的一个重要里程碑！

作者简介

李学庆，京东安全方向第一人，618、双 11 安全保障总舵手，安全领域中 SELC 发起者。2011 年加入京东商城，担任公司安全攻防、安全响应以及安全体系规划建设工作，京东安全响应中心建设及运营等。曾参与京东涉及的所有行业重大漏洞响应、京东相关的安全事件等。2016 年带领安全团队保障京东安全，间接避免京东损失高达 4.3 亿元。曾根据多年安全行业经验总结并分享“安全决策蜂窝模型”、“信息安全体系建设三部曲”、“安全行业人才培养计划”等内容。