【51CTO.com原創(chuàng)稿件】在各大電商逐年上漲的營業(yè)額和全民購物狂歡的背后，電商平臺也面臨巨大的安全挑戰(zhàn)，比如：漏洞利用、劫持攻擊、釣魚攻擊、網(wǎng)絡(luò)欺詐等。這重重風(fēng)險之下，電商平臺究竟是如何構(gòu)建自己的安全保障體系的?本文中，51CTO記者帶你走進京東一探究竟，深入了解京東大促背后關(guān)于安全的那些事兒。

大促的安全保障是一個復(fù)雜的超級工程

“大促的安全保障是一個復(fù)雜的超級工程。”在近日舉行的GITC全球互聯(lián)網(wǎng)技術(shù)大會上，京東信息安全部安全架構(gòu)師劉剛向記者表示：“大促期間，出現(xiàn)了任何服務(wù)不可用、不安全的事件，影響都非常大。目前，我們主要面臨‘三高’和‘三多’的考驗。三高是：業(yè)務(wù)復(fù)雜度高、重要性高、風(fēng)險影響高;三多是：頭緒多、不確定因素多、干系人多。”

據(jù)悉，京東商城從下單到準備出庫就包括首頁、購物車、訂單中間件、庫存中間件等幾十個主流程和多個入口。另外，還有用戶、價格、評價等強依賴服務(wù)，預(yù)約、預(yù)售、京豆等非強依賴服務(wù)。這些復(fù)雜并且運轉(zhuǎn)良好的系統(tǒng)，在大流量的沖擊下，可能變得極其脆弱。

劉剛坦言，京東的業(yè)務(wù)形態(tài)很多。面對挑戰(zhàn)，京東信息安全部門不單單要考慮網(wǎng)絡(luò)、應(yīng)用層面的威脅，還要考慮配送站、物流的各個節(jié)點等。而且，歷次大促備戰(zhàn)所處的環(huán)境、遇到的問題各不相同，不確定因素也多。第三參與人員多，集團內(nèi)部直接參與保障的安全人員有100多人，間接參與的各部門接口人橫跨京東商城、京東金融、京東物流的幾十個一級部門，管理的難度很大。

風(fēng)起云涌 大促之下的“暗戰(zhàn)”

在電商大促這場安全攻防大戰(zhàn)中，攻擊方采用流量劫持、釣魚攻擊、撞庫攻擊、漏洞利用等多種手段大舉進攻。作為守衛(wèi)方，京東信息安全部采用“兵馬未動，糧草先行”之策提早布局，利用安全技術(shù)和平臺構(gòu)建安全保障體系嚴防死守。

自2011年發(fā)展至今，京東信息安全團隊也在逐步擴大。從賬號安全到業(yè)務(wù)安全，從常見的Web漏洞防護到流量劫持的快速取證，從保證PC端安全到移動端、IoT的安全防護……京東已經(jīng)具備了標準的防御力，構(gòu)建了堅實的安全防御體系。

劉剛表示，為了確保大促活動期間的安全，京東積極備戰(zhàn)。大促活動前一個多月，京東就進入了“戰(zhàn)斗”狀態(tài)，對整個平臺進行測試，并邀請白帽子與第三方安全廠商幫助進行安全測試，做到及時的查漏補缺;在大促期間，利用多個安全技術(shù)平臺及時響應(yīng)，處理突發(fā)事件;在大促活動結(jié)束，總結(jié)經(jīng)驗，提升平臺整體安全防御能力。

京東自研技術(shù)平臺，為全民購物狂歡保駕護航

針對備戰(zhàn)的具體細節(jié)，劉剛從以下三個方面為記者進行了詳細的解讀：

首先，在技術(shù)支撐上，京東自研開發(fā)了以分布式高并發(fā)漏洞掃描、大海資產(chǎn)管理系統(tǒng)、脈象全息化平臺為代表的安全防御技術(shù)平臺。

分布式高并發(fā)漏洞掃描最大的特點就是發(fā)現(xiàn)漏洞“快”，對單個PoC只需3分鐘就可把全網(wǎng)資產(chǎn)跑一遍，45分鐘可對全網(wǎng)進行一次日常的安全掃描，系統(tǒng)可以支持lua、python等多種語言?？梢詼蚀_掃描Strtus2漏洞、Spring Boot漏洞、心臟滴血等漏洞。

大海資產(chǎn)管理系統(tǒng)的特點是“全”，可實現(xiàn)全量的掃描范圍。該系統(tǒng)采用了隱式馬爾可夫算法的URL去重、智能多維度關(guān)聯(lián)、基于海量數(shù)據(jù)的關(guān)聯(lián)處理等多種技術(shù)，可以不斷采集、動態(tài)更新和同步京東的所有資產(chǎn)信息，包括：IP、域名、url，以及資產(chǎn)所屬的部門，內(nèi)網(wǎng)還是外網(wǎng)應(yīng)用、資產(chǎn)的管理者、聯(lián)系方式等。

脈象全息化平臺的特點則是“早”，可以提前感知安全威脅。該平臺解決的問題是，如何盡早的發(fā)現(xiàn)漏洞?爆發(fā)安全事件后直觀影響范圍是什么?處理的進度是什么?用什么優(yōu)先級來處理這些安全事件等。

脈象全息化平臺通過從內(nèi)外部的多個情報源獲取情報，目前已有50多個渠道對漏洞和輿情進行實時監(jiān)控，一旦有任何動態(tài)，專業(yè)的分析團隊將會及時響應(yīng)，分析并編寫PoC，然后部署到漏洞掃描器，從大海資產(chǎn)管理系統(tǒng)獲取相關(guān)數(shù)據(jù)后就可以快速進行掃描。最終實現(xiàn)從發(fā)現(xiàn)漏洞、到處理漏洞、到安全復(fù)盤一氣呵成，提升安全應(yīng)急、測試團隊等整體工作效率。

此外，在技術(shù)上，京東還實現(xiàn)了SDL+安全開發(fā)控制，基于京東大促數(shù)據(jù)墻建立了保障指揮系統(tǒng)，對全站HTTPS進行推廣和優(yōu)化，并通過DDoS攻防平臺進行攻擊流量的集中監(jiān)控。

其次，在保障管理上，一方面，京東專門為大促做了一個引導(dǎo)發(fā)布，把京東所有涉及到不同層面的內(nèi)容匯總，比如：安全開發(fā)中的的規(guī)范、檢測方式、聯(lián)系人、聯(lián)系方式等。通過引導(dǎo)發(fā)布，讓所有人清楚每個層面應(yīng)該怎么做加固。另一方面，對核心資產(chǎn)和涉及的數(shù)據(jù)進行了梳理，分析存在的風(fēng)險、攻擊路徑和可能的利用場景、應(yīng)對方案、檢查手段、監(jiān)控的數(shù)據(jù)等。最后，各個業(yè)務(wù)部門進行全面的檢查。此外，京東還結(jié)合外部白帽子和第三方的力量，在大促之前規(guī)避安全風(fēng)險，作用非常顯著。

再次，在組織和動員上，在日常保障階段，京東通過各種培訓(xùn)、信息安全月、安全訓(xùn)練營等活動，提高大家對安全的興奮度。在備戰(zhàn)階段，嚴格依據(jù)項目管理的標準流程，從范圍、時間、成本、干系人、溝通等各個維度進行考慮，保證我們整體過程是順暢的。比如，備戰(zhàn)開始前，邀請各個業(yè)務(wù)部門的接口人參加備戰(zhàn)啟動會，每周同步備戰(zhàn)進展。臨近大促時，每天同步一次最新情況，保證所有的資源、技術(shù)能力、人員到位。

【51CTO原創(chuàng)稿件，合作站點轉(zhuǎn)載請注明原文作者和出處為51CTO.com】