中国IDC圈12月28日报道,12月20-22日,第十一届中国IDC产业年度大典(IDCC2016)在北京国家会议中心隆重召开。本次大会由中国信息通信研究院、云计算发展与政策论坛、数据中心联盟指导,中国IDC产业年度大典组委会主办,中国IDC圈承办,并受到诸多媒体的大力支持。

中国IDC产业年度大典作为国内云计算和数据中心领域规模大、具影响力的标志性盛会,之前已成功举办过十届,在本届大会无论是规格还是规模都"更上一层楼",引来现场人员爆满,影响力全面覆盖数据中心、互联网、云计算、大数据等多个领域。

会上,京东商城安全管理部的李学庆 出席IDC服务大会并为当天的安全运维分论坛做《京东双十一大促背后的安全保障》主题演讲。

李学庆1

京东商城安全管理部 李学庆

以下是演讲实录:

如果在电商公司经历过都知道,大促期间会有很多的风险,这里边提到有漏洞层面的、劫持、钓鱼、攻击、欺诈,它会有很多的情况,现在我们会加大很多的内容进来,还包括很多部门,也会和大促期间有一个联动。

既然它现在有这么多风险,我们就需要考虑了,我们怎么做安全。可能很多人也是一直在考虑安全从哪个点出发。我是否应该从点出发,还是从整个面出发,包括现状跟预期有哪些差距需要考虑。我们当时针对这块,主要就是这三个点。第一个是风险,这相对来说比较简单粗暴直接,把京东针对大促期间存在的风险都会列出来,但是不会把京东所有的资产、内容拿出来,而是把重点的东西拿出来,后续我们就会做差距的比较,比较完之后我们就会针对比较的结果做解决的方案定出来,这样后边针对与整个大促期间会有一个很好的保障。

这是比较简单的一块,这里面分成两块。一个是备战,后面还有整体的情况。备战方面有几方面,引导发布、资产分析、隐患自查、响应演练、监控感知。引导发布,在大的公司会有一些感受,你在推一些内容会有很多的阻碍,包括一些关键点上做一些事情阻力很大,所以我们为了保证比较高效,而且让所有人都能够知道每个层面应该怎么去做加固,我们专门为双十一做了一个引导发布,这个引导发布把京东所有涉及到不同层面的东西拿出来。首先我们自己会检查,在这个基础上我会让各个业务部门自查,拿这个引导去框整体的内容。

第二个就是安全开发SDL,我们针对与整个生命周期,在大促期间很多上线的内容都停了,不会有很大的改变。第二如果有一些改变,包括所有都要遵循京东的SDL流程,包括开发阶段、测试阶段,或者到项目之后怎么检查都需要去做。我们在年中的时候启动一个项目叫金蚂蚁项目,这个项目专门针对与在测试阶段,我们把安全风险直接发现出来。现在针对于发整个的防范规范、检查机制都已经健全了,但是我们觉得,如果是把测试略过,直接到安全部门可能发现的安全风险还是比较厚实的,所以我们在慢慢把安全检查和意识慢慢前置。

其中还有一个问题是劫持处理流程,做互联网的都知道,稍微有一些利益的网站都会涉及到劫持,我们当时也针对这块做了很多内容,大家处理过劫持都深有感触,运营商会帮助一些,但是在时效性上面去做还是有一些阻碍的,所以我们在这里边做了很多东西,就是把除了我们跟运营商打好交道,我们把各个部门也联动起来,包括法务部门、检察部门都加进来。

还有安全指引,我们把京东的SDL整个流程当中的规范、检测方式,还有在这个过程当中去找,我们都写的非常清楚。后边针对与整个双十一期间,有很多人不会出现说出现安全问题不知道找谁,做完这个指引是非常清楚的。

指引做完之后我们也做资产分析,我们针对所有的东西都梳理了一遍,从里边去找到哪些资产是属于核心资产,哪些涉及到核心的数据,全部梳理出来。当时我们梳理出来,直接是安全部门的安全官全部检查一遍,把所有的风险在这里给筛掉了。还要说到统计类型和统计应用,当时有三个人花了两周的时间把整体的东西全部搞定了。我们不仅是针对系统所有的应用做分级,如果这个系统属于比较重要的系统,我们专门有一个资产监护系统,后边也会提到有一个我们专门做监控的系统叫作哮天犬。

隐患自查,我们自己去排查漏洞,把核心的资产全部拿过来,把整体全部检查一遍,把自己的资源进行检查,包括扫描引擎在这期间也一直在做检测。大家知道对于大的网站,自己的团队再大,还是会有风险,所以我们当时也借助了一些外部的力量,有两方面,我们借助乙方公司的一些力量,大家知道现在各个公司标配的JSRC、XSRC,所有的公司都在做,我们也有一个,京东安全响应中心。这个活动当时做的非常大,也是在10月初就开始做了,将近一个月的时间做这个事情,每周都有一些不同的活动,当时大的奖项是无人车。发现一个漏洞就是两万四,如果是在这个排行里边非常高,除了这个费用还会给无人车、苹果手机。这块效果还是很明显的,帮助我们发现了一些重要的风险。我们主要的目的,是让大家在双十一之前把所有的风险都发现出来。第二是在安全响应中心做完之后,在双十一期间如果大家没有发现比较重大的安全风险,可以把这个漏洞直接延长到双十二再提交。非常有效的,我们把安全风险在前面都规避掉了。这当时做的相对有些作用。

除了指引京东人员、自查,还有一些实操的东西就是演练,当时我们针对这三大块做了不同的演练,一个是重大漏洞,一个是信息泄露,第三个是DDOS,每一个都做了重大的演练。针对与DDOS,我会给大家简单说一说。如果京东遭受比较大的攻击我们会怎么处理,我们当时也分几家公司专门做了联动,包括测试流量,直接引过来了,首先我们先看了一下自己怎么防,自己防不住的,IDC有什么能力帮我们扛一部分,如果IDC扛不住运营商怎么在这个基础上帮我们联动抵制流量,当时用这种方法充分地把这个事情全部做了一遍。

演练完了之后还需要有一些监控,应该有一个主动发现的能力,每一个都是串下来的。入口当时有这几块,一个是哮天犬系统,还有威胁感知、外围风险。哮天犬系统是专门为整个双十一开发的监控系统,它能够把京东所有的资产,包括京东出现的重大安全风险都在大屏中显示出来。这套系统在京东会有一个整体的指挥部,这块还是做的相对还是比较有用的。而且在这期间比较有意思的是,因为整个屏幕设计还有整体的内容比较有意思,很多人会问哮天犬这个系统到底嗅到东西没有。

威胁感知,当时也揭露了一些外部威胁的接口,包括技术层面的,也会有些消息层面的,还会有舆情曾经的,我们都直接接进来。在这期间还是有很大的感知,能够感受到外部哪块有什么重大的问题。

外围的风险,我们把京东所有理念来出现过的重大安全风险全部放在监控当中去,这块全部都是短信提醒,如果在整个资产当中发现重大风险立即就去处理了。

备战的东西就这么多,这是按照我们这边的整体思路去做的。大家也可以看出来,在整个大的过程当中,我们也会有一个思路去贯穿整体的内容,可能从研发角度有一个方式,有自己这边有一个方式,我们自己怎么补充自己的能力,包括怎么借助外部的能力,也是有自己的方式,包括我们自己做演练,最后知道风险,整个贯穿下来。

备战完了就需要保障。保障这块就是在双十一当天比较重要的一些工作。这里边相对比较敏感的都已经打星了,这是我们在双十一保障当中处理了一些问题,包括钓鱼网站、劫持、反欺诈、数据审计。当时我们针对双十一备战状态也做了总结,这只是其中的一页,我们当时做完之后,从备战到保障,我们把整个当中发现的风险,包括我们及时发现的风险都做了折损。我们很多做安全岗位的同事会有一个想法,我给老板看的东西,今年发现多少问题,处理了多少问题,可能在这个层面,所有的漏洞都有价值,每个漏洞都是为公司挽回了多少钱。老板也非常重视,最后就说这个可以价值更高。通过这次双十一备战又换了一次方式,如果这个漏洞没有修复,被别人利用了,或者有些东西被别人在私底下做违法的事情,这个损失是多大。当时我们就用这种方式去折了一些损,最后发现应该是就整个双十一期间应该挽回回来将近几千万的损失。当把这个数据拿出来,老板还是比较认可的。

举例,比如劫持。我们会拿劫持这个点,一个域名拿出来,拿出来之后它被劫持一小时,我会拿它在一个月、两个月期间整个的流量是多少,它的整个订单,或者产生的价值是多少,做一个平均。做完之后,以小时或者以不同的单位直接去换算出来,再去折损。每个都是用不同的方式去考虑,做这套东西相对来说还是科学的。如果大家有更好的方式咱们也可以去探讨,其实有很多内容还是比较有意思的。以前有人说过安全的工作、内容不好量化、价值不好体现,我觉得大家可以从这些方面多考虑考虑。

我们这边当时做的一个是内部的,一个是外部的。内部做的东西就是说,把京东所有部门全部联动起来,针对双十一专门做了一个大纸,这个纸上面各个事情类型、事件类型,比如劫持属于重大漏洞,每一种问题都会跟主负责人是谁,漏洞处理是谁,对接法务是谁,对接检察是谁,每个都特别的清晰,手机号、邮箱都在上面。当时我们把这个东西放出来之后,基本上在双十一备战指挥室当中没有人去问这个找谁、那个找谁,定位非常准。当时效率非常高的就是,当天晚上有一个哥们自己去谈协调的合同,因为我们会有很多合作性的东西,自己通过接触人,当天晚上自己去定了三个合同,非常快地把这个问题都解决好了。在这期间有一个非常好的响应机制,还是非常有价值的。

针对外部,有几家公司对我们来说帮助还是很大的。我的一个看法就是说,在公司整个的安全能力,包括整个的体量没有到那么大规模的时候,可以考虑通过自己的力量,外家一些力量,联合整个行业的前沿技术,保障自己整体的安全,这样的话,才能够整体做得更好。

我不知道大家经历过没有,很多安全行业的人都经历过事件响应、事件处理。一个大的事件来了之后怎么共同处理,大家的目标应该是一致的,在这上面,如果是说能够达成一致,还是有些困难的。当时我提了这几个点,响应速度,所有能够看到信息的地方都要及时去看,有信息及时看,及时去响应,即使关注,响应的电话在整个列表当中,所有人都存好。安全事件及时汇报,只要是当天出现任何的安全风险,直接汇总到我这儿,再去看这个东西应该怎么下发,怎么去处理。基本上当时整个的过程当中没有太大的问题。最后是一方事件多方支持,这个就是让大家有一个感觉,如果出现一个安全风险之后,现在如果属于闲置状态,你的精力一定要帮助他一起去解决这个风险。当时这个做出来之后,大家在整体的协调、工作当中,还是非常默契的。

这张图就是我们设计的哮天犬监控系统,这个系统在做二期,二期做的东西,包括内容会更多一些。它相当于是资产集成系统监控的整套东西,我看行业里面很多人都在做这些东西,针对自己企业来说去做一个资产监控还是比较有利的,不同层面都可以加进来,所以我也是通过这种方式去把一些安全的风险,直接通过哮天犬系统展现出来。底下是针对与重大漏洞的监控,它会一直闪,如果在这期间有一个漏洞出现了,它立刻就会标红,而且我们立刻就会收到短信,就会及时去处理。这是整个哮天犬的监控。在它后边是有一个资产监控平台,这套平台后边能做到的一些内容,我们首先是把所有资产都放到里边,在上面设有一层扫描引擎,扫描引擎相对来说是比较智能化的,它会针对所有的资产,告诉它第一步检测什么,第一步检测出来之后,下一步出来什么特征再检测什么,所有的整体是按照这种规则去做的。而且再往上拔一高,我们针对与京东所有的扫描这块的内容,大家都可以拿去用,我们可以提供一个服务。比如说我们自己的一个例行检查可以加进来,刚才我提到的金蚂蚁项目,就是把基础安全测试下沉的也是在做这个事情,我们可以把扫描引擎直接给到这个层面,但是我们给的方式会有一个更好的方式。比如我们不影响它的功能检测,我们只是把重点的特征给它过一遍,没有重点风险就放过。我们是这么去做的。这是内部的。再往上还要做对外的SAS,这是针对京东公有云,包括跟京东有关系的公司我们也要开放,大家可以一起在用这套东西。包括京东集团。哮天犬这套系统是基于整个公司级别进行检测。

以前我也分享过一个议题,资产的定义可能包含现在整个基础的资产,可能还包含人员的资产。现在我们也在做一个事情,这个人从入职到转正,如果他在公司有离职,离职之后整个这个生命周期做一个安全的可视化的东西,这里边也涉及到这个人的资产。我们后续是针对与每一个人的工作权限都会在一个系统中记录下来,岗位换了,这人离职了,都会有一个审核。包括这人离职之后,会在一些重点地方进行检测。在整个哮天犬系统当中会把所有京东的资产展现出来。老板一看就能知道京东现在到底是什么样的风险,哪些人接受过安全教育,哪些人出现过安全风险,离职的人员哪里存在一些隐患,整体当中都会战线出来。这是哮天犬后续要做的事。

这是当时在备战时候的团队,每个人都具备自己的专长,出现问题之后立刻就能定位到。我在定位人才的时候一直在说,你会挖漏洞、审漏洞或者会解决,这种不是一个非常专业的安全员。我觉得一个专业的安全人员具备的不仅仅是发现漏洞,还会有非常好的解决方案,还要具备一些协调能力,包括整个部门的安全质量提升能力。我们这帮人基本上具备这样的素质,他会以结果导向的目标去做事。当时这个团队组建的时候,还是精心地挑选了一下。当时是凌晨三点,大家整个的劲头还在。我们的老大也过去了,针对我们这边的工作还是比较认可的。整体精神都在慢慢的传承,包括我们当时沉淀下来的很多内容、资料都一直在往下延续。这种精神对于每个人的成长,对于整个公司来说还是一笔财富。对于安全人员来说,他需要有一个点去验证他的能力,所以京东双十一、618、双十二,每年都有几次拉练的机会,还是很难得的。

关注中国IDC圈官方微信:idc-quan 我们将定期推送IDC产业最新资讯

查看心情排行你看到此篇文章的感受是:


  • 支持

  • 高兴

  • 震惊

  • 愤怒

  • 无聊

  • 无奈

  • 谎言

  • 枪稿

  • 不解

  • 标题党