揭秘京东安全:是时候重新思考安全本质了

(自媒体公众号:laohushuokeji或老胡说科技)

如今,电商行业已经逐步进入一个相对成熟的阶段,原来发展电子商务有所谓的“三座大山”,技术、物流、网民的消费习惯逐渐被铲除,促销也成为常态。本质上也是一个群雄逐鹿的红海时代,阿里、京东、苏宁、唯品会等各家厮杀不断。

但这些背后有一个不可忽视的事实则是:围绕在企业和用户身边的诸如黑客等威胁却在不断变化,大环境对电商玩家的技术要求越来越高,对产品安全的呼声也急迫。

曾记否,在数次促销大战中,电商网站一度瘫痪,更有数据泄露事件上演。特别是如今移动互联网时代,电商玩家都切入了互联网金融,直接对接用户的钱袋子。一旦发生安全事故就成为众多电商网站无法承受之痛,真正打好“安全”这张牌,无疑是挠到电商乃至互联网行业的内心最深处。

1、走技术范儿的京东吹来一缕“安全”新风

“网络信息人人共享,网络安全人人有责。网民和企业的网络安全意识和防护技能,关乎着每个人的切身利益。”这句话初一看似乎是大官话,但现实中的的确确是这样。

以电商玩家京东为例,现在人们只要在手机上简单点几下就可以买到阳澄湖的大闸蟹、新西兰的牛奶、法国的红酒。可以说,京东的技术和电商渠道重塑了人们的基础生活方式,但安全是这一切发生的基石,包括环环相扣的仓储、配送、大数据分析等一系列技术的支撑,所有的软硬件方面的支持和信息系统等。

如果说电商的前端运营、供应链、物流等是刀锋,那么技术安全就是刀把;一个是大树的华盖,一个是大树的根基。衡量技术对电商安全的影响主要有三个方面:可靠性,单位成本和是否适合未来的发展。

就在今年的9月19日——25日成为2016国家网络安全宣传周,其在湖北武汉开启,与之相关的重磅环节2016年网络安全技术高峰论坛也随之召开。这其中,包括国内知名院士专家,以及来自卡巴斯基、微软、京东、阿里巴巴、 360、思科、Checkpoint等安全企业领袖一起就网络安全探讨交流,并给出诸多干货。

“现在到了重新思考安全问题本质的时候了。”京东首席信息安全专家Tony Lee表示,“安全无边界,要构筑这个安全基石,需要把安全能力共享,与行业一起提升互联网安全。”

在笔者看来,这次走技术范儿的京东是给整个业界吹来了一缕“安全”新风,成为网络安全的推动者。因为,京东作为技术驱动的公司,它打破了做好自身安全建设的那一亩三分地,而是希望联合行业伙伴、政府一起打造行业标准,最终一起打造更安全的安全。

毕竟安全涉及到产业链的上下游,正变得无边界,网络安全不是封闭的不是孤立的,也不是某一家的问题,而是整个行业的痛处。所以需要立足开放环境,携手合作,各方协同守护,吸收先进技术,网络安全水平才会不断提高。其中,网络运营商应做好基本防护,政府监管部门应强化依法保障,相关的企业上下联手,打造安全网络生态圈,只有这样才能见效。

而且,网络安全是动态的而不是静态的,当前安全的范围也在不断的变化。比如,现在的京东有很多的能力可以通过云平台开放提供给上下游的企业,开放模式下,从地域、商业链和技术来层面,都变化很快。今天安全的业务,明天可能就变得不安全了。

此外,透过京东“携手行业一起打造更安全的安全”举措背后,也传递出一个信号:对于网络安全,企业玩家们开始从原来的被动到主动防御,由守到攻,来打击黑色产业链。

值得一提的是,现实中,包括京东、腾讯等各大公司对安全体系的打造,包括对威胁情报和安全响应的能力,已经做得非常成熟,但关键是需要把这些能力输出,分享出来。京东的长远目标就是希望在这个安全里面找出可靠的方法论,分享给互联网,让互联网的安全度更好。

透过京东的长远目标,我们能看到一场新的网络安全玩法正在拉开。

2、京东做更安全的“安全”的底气

不过,安全这件事非常繁琐,要的是动真格的,要拿出实打实的真功夫,不是喊喊口号就可以的。这一次京东能受邀参与2016网络安全技术高峰论坛演讲并亮出自己安全的新打法也是其自身安全能力提升的体现。

现实中,深处安全战斗前线,京东也是具备实力的,它已经摸索出一套行之有效的经验,这也是其要联合小伙伴一起做更安全的“安全”的底气。

首先,是人的力量。

公开资料显示,Tony Lee曾服务过百度、微软、赛门铁克等国内外知名企业的安全部门, 成功创业国内第一款云安全产品——安全宝。在过去的十几年,他见证了国内外互联网安全的大变迁,从对黑客的端、网络、高级攻击到业务,从系统、应用、云计算、移动以及IOT等,可以说他经历了一场场没有硝烟的安全战争。现在,作为京东信息安全部掌门人的他必将带领京东安全部门打好京东安全保卫战。

其次,京东具备了技术实力来支撑,并在安全领域有了诸多实战和经验。

据了解,京东已经打造了一套缜密的安全开发体系,并建立了系统的安全产品矩阵,涵盖菊花台、安全响应中心、风控分析平台等八大子产品。比如,京东利用多年的大数据积累和分析技术,建立了一套自己的风控安全体系,并在数据、账号安全等方面以最高的安全标准保护用户隐私。此外,京东还设立了合规部联合执法部门专门来共同打击网络黑产。

与此同时,京东也与行业伙伴在技术和联盟上展开合作,提升安全能力。例如,京东与英特尔共同推进先进技术在电商平台上的落地应用,在图像性能、数据库监控、身份认证、网络安全等方面提升京东的技术水准和用户体验;京东和腾讯展开安全方面的合作,就防诈骗等层面共享数据信息,联防联动为用户提供更安全的保障。

最后,就是安全意识的提高,这是站在更高层面的谋局。

如今尽管各大企业对网络安全已经高度重视,但想实现完全的网络安全化仍然存在很多困难,主要问题往往在于缺少管理审批、缺少培训和支持。

正如Tony Lee所言:“安全不应该是后加的内容,而是在产品构建的初期就嵌入其中,就像一架飞机的每一个零件都必须是安全可用的,产品的安全也是这样。以前很多技术工具、通讯协议等基础的组件都是有问题的,在构建它们时候并没有考虑安全的问题,所以安全的关键是人的安全意识。”

京东高度重视从产品开发环节就开启用户安全保障。京东的信息安全体系框架是在SDL+(Security Development Lifecycle Plus,安全开发周期+)下面进行安全产品的开发。京东的SDL+由培训、需求、设计、评估、发布、监控、响应、改进等一系列环节组成。京东非常重视培训,在人员入职阶段、上岗阶段、开发阶段、考核阶段都有不同培训。在产品的需求、设计、发布等环节,均会组织安全、技术、测试等人员进行讨论、检查、评估、监控等工作,在初期就将安全烙印深刻的刻在所有的流程细节中。在响应环节中,京东有完整的安全事件处理及应急响应流程规范。每一个业务都配备一个专门的安全官,控制漏洞处理时长、对安全事件进行记录、跟踪。

Tony Lee表示,安全意识的培养也应该从教育早期抓起。基于此,京东希望和武汉等地的高校一起设立课程,将安全意识注入到早期的计算机科学和技术教育中,让学生可以拥有黑客的安全视角,从人才储备的源头上就建立良好的安全风险和防范意识,让网络黑产无处遁形。

正是这些,让京东的网络安全化有底气,也更接地气,最终走得最远。

【结束语】

总之,服务、感知、专业是信息安全未来发展的三大方向。电商玩家在跑马圈地之后,需要在精细化运营和技术安全上进一步完善,只有这样,才能走得更加长远。

遥想几年前京东技术还稍显薄弱,到之后京东越来越重视技术,一步步加强对信息安全的重视和投入,并通过不断完善技术、规范制度逐步构筑起坚实的信息安全防御体系,乃至到眼下的以联合之力主动向安全进击。

可以说,这几年,京东是电商行业在技术安全上迈出步伐最大的引领者。这也是京东在苦炼基本功的体现。

从互联网安全层面来看,或许在不久的将来,零风险真的不再是自吹自擂的大话。唯有静待时间的沉淀和技术安全的不断完善。

--------------------------------------------

本文作转载请务必注明作者和自媒体(自媒体公众号:laohushuokeji或老胡说科技)你的关注和分享是我最大的动力。

免责声明:此文内容为第三方自媒体作者发布的观察或评论性文章,所有文字和图片版权归作者所有,且仅代表作者个人观点,与极客网无关。文章仅供读者参考,并请自行核实相关内容。投诉邮箱:editor@fromgeek.com。

极客网企业会员

免责声明:本网站内容主要来自原创、合作伙伴供稿和第三方自媒体作者投稿,凡在本网站出现的信息,均仅供参考。本网站将尽力确保所提供信息的准确性及可靠性,但不保证有关资料的准确性及可靠性,读者在使用前请进一步核实,并对任何自主决定的行为负责。本网站对有关资料所引致的错误、不确或遗漏,概不负任何法律责任。任何单位或个人认为本网站中的网页或链接内容可能涉嫌侵犯其知识产权或存在不实内容时,应及时向本网站提出书面权利通知或不实情况说明,并提供身份证明、权属证明及详细侵权或不实情况证明。本网站在收到上述法律文件后,将会依法尽快联系相关文章源头核实,沟通删除相关内容或断开相关链接。

2016-09-26
揭秘京东安全:是时候重新思考安全本质了
(自媒体公众号:laohushuokeji或老胡说科技)如今,电商行业已经逐步进入一个相对成熟的阶段,原来发展电子商务有所谓的“三座大山”,技术、

长按扫码 阅读全文