1、未雨绸缪 有备无患”6.18”大促安全保障的那些事00提纲l 大促活动中的难点主要安全风险l 大促安全保障的管理l 大促安全保障的组织和动员l 大促安全保障的技术支撑l Q&A01大促活动中的难点n 2017年“11.11”大促交易额突破1271亿元人民币n 京东3C文旅“疯狂两小时”，手机销售额41秒破亿，电脑办公销售额48秒破亿n 业务系统重要性高n 风险影响高n 系统复杂度高n 安全防护的头绪多n 不确定因素多n 干系人多主流程上海品茶购物车下单状态机订单库存POP调用方PC移动端轻松购微信企销强依赖服务非强依赖服务用户价格OFW台帐预售余额延保发票02大促活动中的主要安全风险n 京东的业务

2、线安全性已经具备了标准的防御力n 京东信息安全团队也经历了一个从小到大，由弱到强的过程2011年2012年2013年2014年2015年2016年某技术论坛数据泄露防撞库、帐号安全开源框架安全组建SRC流程梳理聚焦业务安全诈骗多样性安全能力平台化威胁情报数据保护安全逐渐起步在研发各环节加安全安全意识培训n人员安全意识n苦练内功，增强安全防护和感知n建立SRC品牌，发动内外部力量n联合多个企业和行业主管部门n安全漏洞偶有出现n流量劫持取证难n钓鱼攻击检测快，但处置难n数据流转的链条长，欺诈形式花样翻新03大促安全保障的管理n 分阶段的安全保障n 精心组织、防护到位、保障有力管理保障组织动员技术保

3、障从项目管理角度保障过程顺畅从防范-感知-管控的自适应安全模式从人的角度确保相关保障动作到位重点保障日常保障备战阶段资产梳理风险自查应急演练全民保障引导发布04大促安全保障的组织和动员n横跨各集团和业务体系n业务、安全、法务、合规等多个业务部门联动n应急响应体系环环相扣n严格的修复时间要求n安全官与业务接口人对接n覆盖从入职到晋升的各阶段n从高管到仓储培训n形式多、内容好、重考核n支持高并发、多任务的开发语言n扫描引擎静态编译，无需任何依赖n高性能单PoC3分钟扫描全脚本45分钟扫描n准确率高危漏洞100%准确常见Web漏洞95%准确率05技术支撑-分布式高并发漏洞扫描06技术支撑 大海一般多

4、维度的资产汇聚n基于机器学习技术的海量URL去重n最全资产信息n多维度的关联IP/域名与管理者组件版本与应用系统数据调用关系消息队列扫描监控主动探测JSON接口文件接口被动接收解析引擎过滤引擎归并引擎关联引擎API引擎清洗引擎持久化数据采集数据处理n 将日常安全保障所需的资产进行集中汇聚n 数据来源多、数据覆盖面广、信息量全07技术支撑 脉象全息化平台0day监控n50+渠道（漏洞和舆情）实时监控n10人的专业分析团队自动化处理n多种通知/推送渠道n威胁情报与全网快速扫描实时结合全息化展示n基于时间轴的影响范围、处理进度可视n基于漏洞、应用指纹和组件的可视n基于应用、位置和人的可视08技术支撑

5、-SDL+安全开发控制需求设计验证发布培训实施漏洞识别漏洞验证漏洞修复漏洞复核在线监控根因分析持续跟踪课件更新响应n 从安全的最初就具备安全的属性，覆盖意识到上线的全过程制度保障技术保障管理保障保障宣贯业务部门自我漏洞发现能力显著提升上线前发现的高危严重漏洞09技术支撑 持续监控和感知n对接业界最新威胁情报n7*24小时不间断监控n覆盖影响最大的信息安全漏洞n自研检测平台：业务部门自行操作，傻瓜式一键点击操作操作，快速反馈报告和扫描结果n集中指挥：基于京东大促数据墙的保障指挥系统敏感信息泄露移动应用联防联控GithubSVN泄露任意文件读取 移动发布渠道应用排名搜索钓鱼劫持处置诈骗.自研检测平

6、台大促数据保障指挥系统10技术支撑-全站HTTPS的推广和优化n所有流量由JFE统一接入n关键节点预发系统HTTP/HTTPS双支持硬件加速nSSL证书改造n性能优化11技术支撑-DDoS攻防平台n覆盖应用层、特殊控制报文和畸形包的攻击平台n支持自定义的Lua脚本和shell脚本n强大的资源调度和编排能力n分级攻击清洗系统JDTP-Detec全流量镜像基于攻击历史、IP信誉的数据分发、处理流量规模、成分、行为、攻击指纹的分析n攻击流量的集中监控12技术支撑 千万用户的注册和登录n根据调用方的业务重要程度、调用量、访问的用户信息字段等进行动态规划n根据敏感程度、调用频度、隔离等维度提供服务的精细化和差异化n登录、注册建立多层次的安全规则策略n多个业务操作的风控模型n 用户基础服务中间件是核心，对所有WEB应用提供单一的参数校验和装配13技术支撑-天网恢恢疏而不漏n从注册登录、营销到抢购的业务场景n风险信用服务（RCS）n风控数据支撑系统包括数据层、算法引擎、分析引擎、决策引擎和应用层等基于用户购买流程的风控指标基于用户社交网络的风控指标n风险监控：应用和服务实时和离线的监控及报表服务京东卫士天网200162017业务代码、订单层面的简单风控开发天网接入商城上百个业务大数据、智能风控Q&A谢谢