在所有主要电子商务公司的营业额不断上升和全国性购物热潮的背后,电子商务平台也面临着巨大的安全挑战,例如漏洞攻击,劫持攻击,网络钓鱼攻击和在线欺诈。在这种高风险下,电子商务平台如何构建自己的安全系统?在本文中,51CTO记者带您进入京东,了解JD背后的安全相关事项。
大促的安全保障是一个复杂的超级工程
“伟大的安全是一个复杂的超级项目。在最近的GITC全球互联网技术大会上,京东信息安全部安全架构师井刚告诉记者:“在推广期间,有任何服务不可用且不安全的事件,影响非常大。目前,我们主要面临“三高”和“三多卖”的考验;三个高点是:高业务复杂性,高重要性和高风险影响;三个以上:更多线索,更多不确定因素和更多利益相关者。 ”的
据悉,京东商城将包括数十个主要流程和多个入口,如主页,购物车,订单中间件和库存中间件,从订货到交货。此外,还非常依赖用户,价格和评估等服务,以及预订,售前和北京豆等非强力依赖服务。在高流量的影响下,这些复杂且运行良好的系统可能变得极其脆弱。
刘刚坦言,京东有很多商业形式。面对挑战,京东的信息安全部门不仅要考虑网络和应用层面的威胁,还要考虑配电站和物流的各个节点。此外,以前的主要战争准备的环境和遇到的问题是不同的,并且存在许多不确定性。有许多第三方参与者,并且有超过100名安全人员直接参与该组内的保护。京东商城,京东财经,京东物流等数十个一级部门的各个部门和界面的间接参与非常难以管理。
风起云涌 大促之下的“暗战”
在这次安全攻防战的电子商务推广中,攻击者利用交通劫持,网络钓鱼攻击,碰撞库攻击,攻击等手段进行攻击。作为监护人,京东信息安全部门采取了“无人,不可预测,颗粒状”战略,利用安全技术和平台建立了防范安全体系。
自2011年发展以来,京东信息安全团队逐步扩大。从帐户安全到业务安全,从常见的Web漏洞保护到流量劫持的快速取证,从保护PC到移动,物联网安全和hellip; … JD.com拥有标准防御并建立了坚实的安全防御系统。
刘刚说,为了确保推广活动的安全,京东积极为战争做好准备。在推广前一个多月,京东进入“战斗”状态,对整个平台进行了测试,并邀请白帽和第三方安全厂商协助进行安全测试,以便及时检查泄漏情况;在此期间,将使用多个安全技术平台及时应对应对突发事件;在大型活动结束时,总结经验,提高平台的整体安全防御能力。
京东自研技术平台,为全民购物狂欢保驾护航
针对准备工作的具体细节,刘刚从以下三个方面对记者进行了详细解释:
首先,在技术支持方面,京东开发了以分布式高并发漏洞扫描,海上资产管理系统和脉冲全息平台为代表的安全防御技术平台。
分布式高并发漏洞扫描的最大特点是“快速”发现漏洞,它可以在3分钟内为单个PoC运行整个网络资产,并在45分钟内在整个网络上执行每日安全扫描。该系统可以支持Lua,python和许多其他语言。它可以准确地扫描漏洞,例如Strtus2漏洞,Spring Boot漏洞和心脏丢失。
海洋资产管理系统的特点是“全部”,可以进行全方位的扫描。该系统使用隐马尔可夫算法进行URL重复数据删除,智能多维关联和大规模基于数据的关联处理。它可以连续收集,动态更新和同步京东的所有资产信息,包括:IP,域名。 ,url和资产所属的部门,Intranet或外部网络应用程序,资产管理器和联系信息。
脉冲全息平台的特征在于“早期”,其可以提前感测安全威胁。平台解决的问题是如何尽快找到漏洞。安全事件发生后视觉影响的范围是什么?处理的进度如何?使用什么优先级来处理这些安全事件。
脉冲全息平台从多个内部和外部源获取智能。目前,有50多个渠道可以实时监控漏洞和不满。一旦有任何动态,专业分析团队将及时响应,分析和编写PoC。然后将其部署到漏洞扫描程序,在从海洋资产管理系统获取相关数据后可以快速扫描。最终,从漏洞的发现,到漏洞的处理,到恢复的安全性,提高安全应急,测试团队等的整体效率。
此外,在技术方面,JD还实施了SDL +安全开发控制,建立了基于JD.com数据墙的支持命令系统,对整站HTTPS进行了优化和优化,并通过DDoS攻击对攻击流量进行了集中监控。防御平台。
其次,在保障管理方面,京东一方面特别为促销提供了指导性发布,并总结了与京东不同层次相关的所有内容,如:规格,检测方法,联系方式,联系方式等。在安全发展方面。 。通过指导发布,让每个人都知道如何在每个级别进行强化。另一方面,核心核心资产和相关数据,分析现有风险,攻击路径和可能的利用方案,响应计划,检查方法和监控数据。最后,每个业务部门都进行全面检查。此外,JD.com结合了外部白帽和第三方的力量来规避促销前的安全风险,效果非常显着。
第三,在组织和动员中,在日常支持阶段,JD.com通过培训,信息安全月和安全训练营等各种活动增强了安全性。在准备阶段,严格按照项目管理的标准流程,考虑范围,时间,成本,利益相关者,沟通等方面,确保我们的整体流程顺利进行。例如,在准备开始之前,邀请每个业务部门的界面人员参与战斗开始的准备,并且每周准备工作是同步的。当我们接近大力推动时,我们将每天同步最新情况,以确保所有资源,技术能力和人员都到位。
