李学庆:京东双十一推广背后的安全保障

本篇文章5432字，读完约14分钟

李学庆:京东双十一推广背后的安全保障 从电子商务公司的经验来看，如果我们都知道在推广期间会有很多风险，就会出现很多漏洞、劫持、钓鱼、攻击和欺诈的情况。现在我们会增加很多内容，包括很多部门，而且还会有一个与推广期的联系。 中国国际数据中心圈12月28日报道，第11届中国国际数据中心行业年会(IDCC2016)于12月20日至22日在北京国家会议中心隆重举行。在中国信息与通信研究院、发展与政策论坛和联盟的指导下，本次会议由中国国际数据中心行业年会组委会主办，中国国际数据中心圈主办，得到了众多媒体的大力支持。

作为中国云计算和数据中心领域最大、最具影响力的标志性事件，IDC中国行业年会已经成功举办了10次。本次会议的规格和规模都是“上一层楼”，吸引了全部现场人员，其影响力涵盖了数据中心、互联网、云计算等所有领域。

会上，京东商城安全管理部李学庆出席了IDC服务大会，并在当天的安全运维分论坛上发表了“京东双十一推广背后的安全防护”主题演讲。

京东商城安全管理部李学庆

以下是这次演讲的文字记录:

从电子商务公司的经验来看，如果我们都知道在推广期间会有很多风险，就会出现很多漏洞、劫持、钓鱼、攻击和欺诈的情况。现在我们会增加很多内容，包括很多部门，而且还会有一个与推广期的联系。

既然现在有这么多风险，我们需要考虑如何才能安全。也许许多人都在考虑从哪一点开始安全。我是应该从这个角度出发，还是从整个角度出发，包括目前的情况和期望之间的差距，都需要考虑。当时我们的目标是这个领域，主要是这三点。首先是风险，相对简单、粗糙和直接。它列出了京东在推广期间面临的所有风险，但它不会把京东的所有资产和内容都拿出来，而是把关键的东西拿出来。我们稍后将进行差距比较。经过比较后，我们会根据比较的结果制定出解决方案，这样对以后的整个推广期都有很好的保证。

这是一件相对简单的作品，分为两部分。一是为战争做准备，这是大局。有几个方面的战争准备，包括指导和释放，资产分析，隐患自查，反应演习和监测和感知。在大公司里，发布指南会有一些感觉，你在推广一些内容时会有很多障碍，包括在一些关键点做一些事情时会遇到很大的阻力。因此，为了确保相对较高的效率，让大家知道如何加强每一个层次，我们专门做了一个指导发布为12月11日。这份指导文件涵盖了JD.com不同层面的所有内容..首先，我们会检查自己。在此基础上，我将让所有业务部门检查自己，并使用本指南来构建整体内容。

第二是SDL的安全发展。在整个生命周期中，许多在线内容在推广期间已经停止，不会有重大变化。第二，如果有任何变化，包括JD.com将遵循的所有SDL过程，包括开发阶段、测试阶段或项目结束后如何检查。年中，我们启动了一个名为金蚂蚁项目的项目。该项目专门针对测试阶段直接发现的安全风险。目前，整个防范标准和检查机制已经很完善，但我们觉得如果不进行检查，可能直接向安全部门发现的安全风险还是比较大的，所以我们慢慢把安全检查和安全意识放在前面。

另一个问题是劫持过程。互联网用户都知道，稍有兴趣的网站就会卷入劫机事件。当时我们在这个问题上也做了很多工作。我们都深感劫机事件已经得到了处理，操作人员会提供帮助。然而，在时效性方面仍然存在一些障碍。因此，我们在这里做了很多事情，就是除了处理好与经营者的关系外，我们还把各个部门联系起来，包括法律部和检察部。

还有安全指南。在整个过程中，我们已经非常清楚地编写了京东SDL的规范和测试方法，并在过程中寻找它们。在那之后，许多人不会说存在安全问题，他们不知道在整个双11期间要找谁。很明显要完成这个指南。

指南完成后，我们还做了资产分析。我们梳理了一切，找出了哪些资产是核心资产，哪些涉及核心数据。当时，我们把它整理出来，安全部门的安全官员直接检查了所有的东西，并筛选出了这里的所有风险。谈到统计类型和应用，三个人花了两周时间完成了整个工作。我们不仅对系统的所有应用进行分级。如果系统是一个更重要的系统，我们有一个特殊的资产监控系统。稍后，我们还将提到有一个特殊的监控系统，称为小天沟。

对隐患的自我检查，我们会自己检查漏洞，把所有的核心资产带过来，检查整体，检查我们自己的资源，包括扫描引擎，它也一直在做测试。我们都知道，对于大型网站，即使我们的团队很大，仍然会有风险。因此，我们当时也使用了一些外力。有两个方面。我们动用了乙方公司的一些力量。众所周知，JSRC和XSRC是不同公司的标准，所有公司都在实施这两个标准。我们还有一个，京东安全响应中心。这一活动当时规模很大，始于10月初。这项工作将持续近一个月。每周都会有一些不同的活动。当时，最大的奖励是无人驾驶汽车。发现的一个漏洞是24000英镑。如果这个排名很高，它还会为无人驾驶汽车和苹果手机买单。这种影响仍然很明显，帮助我们发现了一些重要的风险。我们的主要目的是让每个人在12月11日之前找到所有的风险。第二，在安全响应中心完成后，如果在双11期间没有发现重大安全风险，该漏洞可以在提交前直接扩展到双12。非常有效。我们避免了前面所有的安全风险。这在当时相对有用。

除了指导360buy.com人事和自我检查，还有一些实践练习。那时，我们为三个大街区做了不同的练习。一个是重大漏洞，另一个是信息泄露，第三个是分布式拒绝服务，每个人都做了一个重大的练习。作为对分布式拒绝服务的回应，我会给你一个简短的演讲。如果JD.com遭受了相对较大的袭击，我们将如何应对？当时，我们还分了几家公司做联动，包括测试流量。我们直接介绍了它。首先，我们研究了如何预防它。如果我们不能阻止它，IDC有什么能力来帮助我们承担一部分呢？如果国际数据中心不能携带它，运营商如何在此基础上帮助我们抵抗交通流量？那时，我们用这种方法从头到尾都做了一遍。

演习之后，应该有一些监控，应该有一个主动发现的能力，每一个都是串联起来的。当时，入口处有几块。一个是哮喘犬系统，还有威胁感知和周边风险。小天沟系统是专为双十一开发的监控系统。它可以在大屏幕上显示京东的所有资产，包括京东的主要安全隐患。该系统将在京东设立总部。这个仍然相对有用。在这期间更有趣的是，因为整个屏幕设计和整个内容都更有趣，许多人会问小天狗系统是否有什么气味。

威胁感知也揭示了当时外部威胁的一些界面，包括技术层面、一些新闻层面和一些舆论层面。我们都将它们直接联系在一起。在此期间，人们仍然对外面发生的事情和正在发生的事情有着强烈的感觉。

对于外部风险，我们已经监控了京东概念中出现的所有主要安全风险。这都是短信提醒。如果在整个资产中发现重大风险，我们将立即处理。

有太多的事情需要准备，这是根据我们的整体思维来完成的。我们还可以看到，在整个过程中，我们也会有一个贯穿整个内容的想法。从研发的角度来看，我们可能有办法。我们可能有自己的方法。我们如何补充自己的能力，包括如何使用外部能力，我们也可能有自己的方式，包括自己做练习。最后，我们知道风险并贯穿整个过程。

为战争做好准备后，我们需要保护。保护这一地区是本月12日11日一些更重要的工作。这里相对敏感的网站已经开始拍摄明星，这就是为什么我们在“双11”保证中处理了一些问题，包括网络钓鱼网站、劫持、反欺诈和数据审计。当时，我们也对双十一的准备工作做了总结。这只是总结的一页。当时我们做好准备后，从准备到保证，我们降低了整个过程中发现的风险，包括及时发现的风险。我们在安全岗位上的许多同事都会有一个想法:我给老板看了什么，今年发现了多少问题，解决了多少问题。也许在这个层面上，所有的漏洞都是有价值的，每一个都是为公司节省了多少钱。老板也非常重视它，最后说它可能更值钱。通过这次双11准备，我们又改变了方式。如果这个漏洞没有被修复，被别人利用，或者被别人私下非法利用，损失是什么？当时，我们用这种方法减少了一些损失，最后发现应该是整个双11期才能够挽回近千万的损失。当这些数据被拿出来的时候，老板还是比较认可的。

例如，劫持。我们将采取劫持点，拿出一个域名，并在拿出后，它将被劫持一个小时。我将对一个月或两个月内的总流量、总订单或产生的价值进行平均。完成后，直接以小时或不同单位换算，然后减去损失。每一个都以不同的方式被考虑，制作这一套东西是相对科学的。如果每个人都有更好的方法，我们也可以讨论它。事实上，仍然有许多有趣的内容。以前有人说过，安全工作难以量化，其价值难以体现。我认为我们可以更多地考虑这些方面。

那时，我们在这里做的是内部和外部的。内部的工作是把京东的所有部门联系在一起，并为12月11日制作一张大纸。这张纸上的事情和事件的类型，比如劫机，属于重大漏洞。每一种问题都与谁负责、谁负责处理漏洞、谁负责对接、谁负责对接、谁负责对接以及谁负责对接有关。每张纸都特别清晰，上面有手机号码和电子邮件地址。当时，在我们把这个东西放出来之后，基本上没有人在双战备指挥室问这个人在找谁，那个人在找谁，定位非常准确。当时，效率非常高。那天晚上，一个朋友单独谈论了协调合同，因为我们会有很多合作的事情。通过与人接触，那天晚上他自己签了三份合同，很快就解决了问题。在此期间有一个非常好的响应机制，这仍然非常有价值。

对于外界来说，几家公司仍然对我们有很大的帮助。我的一个观点是，当公司的整体安全能力(包括整体规模)不是很大时，我们可以考虑将整个行业的尖端技术与我们自己的实力和其他国家的一些实力结合起来，以确保我们的整体安全。只有这样，我们才能做得更好。

我不知道是否每个人都经历过。安全行业的许多人都经历过事件响应和事件处理。一件大事来了之后如何一起处理，每个人的目标应该是一样的，在这方面，如果说能够达成一致，还是有一些困难的。当时，我提到了这些要点，响应速度，凡是能看到信息的地方都应该及时看到，有信息要及时看到，要及时响应，即使注意了，整个列表中的响应电话号码，大家都保存了。及时报告安全事件。只要那一天有任何安全风险，它们将被直接收集到我这里，然后我们将看到如何分配和处理这个东西。基本上，当时整个过程没有太多问题。最后但同样重要的是，一个事件得到了各方的支持。这是为了让每个人都有一种感觉，如果有安全风险，现在是空闲的，你的能量必须帮助他一起解决风险。当时，在此之后，大家在整体协调和工作上都有了非常默契的配合。

这张照片是我们设计的哮喘犬监控系统。这个系统正在做第二阶段和第二阶段，包括更多的内容。它相当于一套完整的资产集成系统监控。我想很多业内人士都在做这些事情。对于自己的企业来说，做一个资产监控更为有利。可以添加不同的级别。因此，我也用这种方式通过小天沟系统直接展示一些安全隐患。以下是对主要漏洞的监控。它会一直闪烁。如果在此期间出现漏洞，将立即标记为红色，我们将立即收到短消息并及时处理。这是对整个哮喘犬的监测。它的背后是一个资产监控平台。在这个平台后面可以做的是首先把所有的资产放在里面。上面有一层扫描引擎。扫描引擎相对来说比较智能。它会告诉所有的资产在第一步检测到什么，在第一步检测到之后的下一步检测到什么，并且所有的全部都是根据这个规则完成的。此外，如果我们更进一步，我们可以使用JD.com扫描的所有内容。我们可以提供服务。例如，可以添加我们自己的例行检查。我刚才提到的金色蚂蚁项目正在做同样的事情，尽管基本的安全测试正在下沉。我们可以把扫描引擎直接升级到这个级别，但是我们给它的方式会有更好的方式。例如，我们不影响它的功能测试，我们只是通过它的关键特性，让它去没有关键风险。我们就是这样做的。这是内部的。此外，我们还需要制造外部SAS。这是针对京东的公众云，包括与京东相关的公司。我们还需要打开它，每个人都可以一起使用这套东西。包括京东集团。小天狗系统是基于整个公司层面进行测试的。

我以前也分享过一个话题。资产的定义可以包括整个基金会的资产，也可以包括人员的资产。现在我们也在做一件事，这个人从入门到就业。如果他离开公司，他将在离开公司后的整个生命周期中进行安全的可视化，他的资产也在这里。我们的后续工作是记录系统中每个人的工作权限。当职位改变，该人员离职时，将进行审计。包括此人离职后，将在一些关键地方进行考试。京东的所有资产都将显示在整个哮喘狗系统中。老板一眼就能知道JD.com到底面临着什么样的风险，谁接受过安全教育，谁经历过安全风险，对于那些离开公司的人来说，哪里存在一些隐患。他们都会站在第一线。这是小田狗接下来要做的。

这是当时为战争做准备的队伍。每个人都有自己的专长，在问题发生后可以立即找到。当我寻找人才的时候，我总是说你会挖洞，检查洞或者解决它们。这不是一个非常专业的安全官员。我认为一个专业的安全人员不仅发现了漏洞，而且有很好的解决方案，还具有一定的协调能力，包括提高整个部门安全素质的能力。我们这些人基本上都有这样的品质，他会带着以结果为导向的目标做事。当时，当这个团队成立时，它是经过精心挑选的。已经是凌晨三点了，每个人都还在全力以赴。我们的老板也通过了，我们仍然相对认可我们在这里的工作。整体精神正在慢慢传承，包括我们当时沉淀下来的许多内容和材料。这种精神对每个人的成长和整个公司来说都是一笔财富。对于安保人员来说，他需要有一个切入点来验证自己的能力，所以京东每年有几次培训机会还是非常罕见的。