助力“互聯網+”行動：解讀京東的網絡安全
——基于“互聯網+”行動計劃下的京東集團信息安全戰略與布局

□ 崔傳楨

?

助力“互聯網+”行動：解讀京東的網絡安全
——基于“互聯網+”行動計劃下的京東集團信息安全戰略與布局

□ 崔傳楨

2015 年，中共十八屆五中全會提出了創新、協調、綠色、開放、共享的發展理念。“十三五”時期，中國將大力實施網絡強國戰略、國家大數據戰略、“互聯網+”行動計劃。

習近平主席在烏鎮第二屆世界互聯網大會上指出：中國正處在信息化快速發展的歷史進程之中。中國高度重視互聯網發展，自21 年前接入國際互聯網以來，我們按照積極利用、科學發展、依法管理、確保安全的思路，加強信息基礎設施建設，發展網絡經濟，推進信息惠民。在第二屆世界互聯網大會上，習近平主席特地參觀了京東集團的展臺，京東集團CEO 劉強東先生向習主席詳細匯報了京東未來自動化物流技術研發情況。習主席聽取匯報后，親切地與劉強東握手表示贊許。

京東技術顧問專家認為：對于電商來說用戶數據是最寶貴的財產，如果發生數據泄露，對于電商公司來說將是災難性的。做好信息安全的重要性最核心的是保障數據安全，因此信息網絡安全在京東看來也是極具戰略價值的。

在數據存儲環節，京東的數據庫也使用了更加安全的加密算法進行處理。京東安全管理專家認為即使這個數據由于某種可能暴露在外面，黑客也無法從這些加密的數據中破解出用戶名和密碼。京東在重視構建未來安全壁壘的同時，也在積極推動專業行業伙伴和安全廠商的聯合，取長補短、互利合作，更好地加強京東的安全體系建設。

為進一步了解京東的信息網絡安全管理，本刊走進京東集團，近距離探究京東集團的網絡安全戰略。

中國實施網絡強國、大 數據與“互聯網+”戰略，京東積極響應

2015年，中共十八屆五中全會提出了創新、協調、綠色、開放、共享的發展理念。“十三五”時期，中國將大力實施網絡強國戰略、國家大數據戰略、“互聯網+”行動計劃，發展積極向上的網絡文化，拓展網絡經濟空間，促進互聯網和經濟社會融合發展。

習近平主席在烏鎮第二屆世界互聯網大會上指出：中國正處在信息化快速發展的歷史進程之中。中國高度重視互聯網發展，自21年前接入國際互聯網以來，我們按照積極利用、科學發展、依法管理、確保安全的思路，加強信息基礎設施建設，發展網絡經濟，推進信息惠民。同時，我們依法開展網絡空間治理，網絡空間日漸清朗。目前，中國有6.7億網民、413萬多家網站，網絡深度融入經濟社會發展、融入人民生活。我們的目標就是要讓互聯網發展成果惠及13億多中國人民，更好造福各國人民[1]。

習近平主席在第二屆世界互聯網大會上還特別提出：保障網絡安全，促進有序發展。安全和發展是一體之兩翼、驅動之雙輪。安全是發展的保障，發展是安全的目的[1]。

以劉強東先生領銜的京東集團，作為電商品牌企業，給國人購物提供了極大便利，獲得了社會的認可，近年高速增長，2015年一躍成為世界互聯網市值10強企業。在第二屆世界互聯網大會上，習近平主席特地參觀了京東集團的展臺，京東也接受了國家最高領導人對公司創新實力和未來發展規劃的檢閱。劉強東向習主席詳細匯報了京東未來自動化物流技術研發情況。京東自主研發整個自動化物流系統架構，完全使用通過機器人、自動化立體倉庫等技術，大幅提高存儲密度與生產效率，有效降低人工的勞動負荷。在京東的未來物流中心內，將大量應用機械手臂機器人、料箱堆垛機、立體倉庫、“貨到人”設備等全球領先技術，實現高密度存儲，分揀和訂單的自動揀選、合流，大幅提升作業效率和準確度。習主席聽取匯報后，親切地與劉強東握手表示贊許[2]。

2015年12月16日，第二屆世界互聯網大會期間，習近平主席參觀京東展臺，與劉強東握手贊許。

京東(JD.com)是中國領先的自營式電商企業和品牌互聯網企業，為消費者提供愉悅的在線購物體驗。通過內容豐富、人性化的網站(www.jd.com)和移動客戶端，京東以富有競爭力的價格，提供具有豐富品類及卓越品質的商品和服務，并且以快速可靠的方式送達消費者。京東擁有全國電商行業中最大的倉儲設施：截至2015年9月30日，京東在全國范圍內擁有七大物流中心，在46座城市運營了196個大型倉庫，擁有4760個配送站和自提點，覆蓋全國范圍內的2266個區縣[3]。

京東近年保持了高速的成長，并圍繞電商核心進行了全面拓展，積極響應和推動“互聯網+”戰略。京東集團CEO 劉強東多次表示，京東“互聯網+”戰略就是要做4件事：“互聯網+”社區服務、“互聯網+”農業、“互聯網+”金融、“互聯網+”國際貿易。

“互聯網+”社區服務：京東發現一些零售企業發展和生存遇到了瓶頸。京東投巨資在中國建立了強大的物流體系，而線下零售店的庫房商品遍布在每個城市街道，會出現大量重復的庫存配貨，這是社會資源巨大的浪費。所以京東做了京東到家，把線下店的庫存利用起來，通過京東的電商、物流體系服務用戶。

“互聯網+”金融：京東發現中小供貨商從銀行貸款很難，都是處于缺資金的狀態，所以京東做了供應鏈金融，合作伙伴通過京東商城網站從申請貸款到收到資金只需要3分鐘。同時，京東也為消費者提供了白條服務，讓他們可以更便捷地享受生活。

“互聯網+”農業：京東做“互聯網+”農村電商，是腳踏實地做事情。京東目前已經招募了超過10萬名鄉村推廣員，負責給村民送貨，發放貸款，做售后服務，幫助村民下訂單。京東農村電商戰略中，工業品下鄉是最重要的一步。京東利用全供應鏈的物流系統，直接跟農業部指定的種子基地等農資、工業品機構合作，把商品直接送到農民的田間地頭，當中不需要經過其他環節。京東致力于樹立品質消費的概念，為食品安全付出成本，希望最終解決食品安全問題。所以大量農民從京東商城買種子，京東通過大數據分析哪些地區的種子比較安全，可以幫助一些地區農民的農產品向品牌化發展，同時推動該地區逐漸建立農產品的區域品牌，讓高質量農產品擁有更好的價格。這樣進入正循環，消費者愿意為食品安全付出成本，愿意多花錢買有品質的產品，農民收益多了，有能力也愿意種安全的食品。此外，京東還通過農村金融等方式，基于合作伙伴、電商平臺等沉淀的大數據信息，了解農民的信用水平，并給予相應的授信額度，從而控制風險，真正幫助農民解決燃眉之急。

“互聯網+”國際貿易：自從國家出臺支持鼓勵跨境電商的政策，明確稅收規矩之后，京東就快速借助國家政策東風進入這個領域。初期還只是通過國外的商家在京東平臺上銷售，隨著時間推移會加大自營產品，保證消費者良好的體驗、快速出貨，最主要的是可以解決跨境電商的售后服務問題。

重視信息安全戰略，科學架構網絡安全系統

隨著京東的高速成長，活躍用戶數已經達到1.269億(2015年3季度數據)，每天都會產生海量的交易數據。這些數據不是屬于京東的，是屬于用戶的。對于用戶，對于整個社會而言，京東保障這些數據信息的安全具有非常重要的意義。在京東內部，也已經把安全提升到了非常高的地位，數據安全、交易安全已經成為技術研發體系、運營體系工作中率先要保證的內容。

京東集團技術顧問專家認為：對于電商來說，用戶數據是最寶貴的財產，如果發生數據泄露對于電商公司來說，將是災難性的。數據具有戰略價值，保護用戶隱私以及數據安全，是京東的重要責任。做好信息安全的重要性最核心的是保障數據安全，因此信息網絡安全在京東看來，也是極具戰略價值的。

京東的網絡安全團隊核心任務包括：保障用戶的隱私敏感信息以及保障交易支付數據安全；對于可能發生的數據安全進行風險控制。后者包括：異常流量以及攻擊行為等風險控制，比如京東的防DDOS 攻擊系統，可以監控和防止由于DDOS 攻擊導致的無法服務的問題；以及防黑客攻擊系統，當出現外部攻擊行為，可以及時檢測并響應保障系統和數據安全。

在戰略層面，京東的網絡安全措施包括以下方面：對于用戶數據進行了嚴格的加密。對于數據存儲權限進行嚴格顯示，不管程序還是人員都進行了嚴格的培訓和管理，建立安全防范意識；對于數據管理方面，建立了規范化的按數據應用范圍分類的管理體系，對于數據的存取和傳輸也進行了嚴格的規定；在安全防范方面，為了防止數據泄露，有專門團隊負責安全漏洞的捕捉和數據分析，找出潛在的威脅。針對互聯網各種欺詐行為進行定位，用大數據的方式進行數據分析找出潛在的威脅，建立了一整套的安全管理系統，進行監督控制；在規章制度上，進行嚴格的規定，凡是上崗的接觸數據的人員，都要經過嚴格的考試，合格才能上崗；實現信息的HTTPs 加密傳輸，保證傳輸數據是機密的。

京東的安全部門最初是從運維部門萌芽，慢慢成長為單獨的部門，而且規模越來越大，級別也越來越高，目前已經設立了獨立的一級部門。另外，在云安全方面，特別成立了云安全部門，充分體現了京東對于網絡安全的重視。隨著京東業務快速增長以及體系更健全，安全管理等級也逐漸提升，京東對網絡安全的重視已經提升到戰略高度。京東在傳統行業的基礎上，對安全組織進行了三大優化：扁平化、業務化以及專業化。

1)扁平化：安全組織設立兩層管理架構——安全委員會(決策機構)和安全工作組(執行機構)，在保證有效性的同時，減少不必要的溝通和協調成本。

2)業務化：京東從一個垂直化的網站迅速成長為一個全品類商品的電商網站，并拓展出京東金融、云平臺、京東到家(O2O)、京東智能等豐富的業務，這個信號告訴京東，如果還沿用傳統的安全責任劃分，會導致安全人員喪失對業務把控的準確性和專業性。在京東這種綜合性較強且業務復雜的電商網站中，安全工作需要在不同業務中進行劃線分類，京東根據業務類型、部門職能、歸屬區域等維度進行整體歸類劃分，形成一個個業務線。確定好業務線后，任命每個安全人員為各業務線中的最高執行安全官，把每個業務的安全把控下沉到安全官手中，由安全官負責該業務中的所有安全質量把控，其中包括該業務線中需求設計的安全審核、安全開發、安全測試以及針對研發人員的安全意識提升等。京東目前根據業務劃分為七大業務線，每個業務線按照200:1的原則配比安全官。該業務線的應急響應、上線、安全評估、培訓等全部由該業務安全官統一主導和執行。

3)專業化：京東對不同業務領域設立研究方向，例如：移動安全、智能家居安全、JAVA 安全、云安全等，針對研究成果進行分享和學習。對于應急響應定制嚴格細致的處理流程，通過對不同來源、不同級別漏洞設立不同的匯報和處理通道，進行及時處理解決。

安全定位——安全決策蜂窩模型：京東根據多年的安全實踐經驗總結出一套“安全決策蜂窩模型”(見圖1)，其中包括：戰略、趨勢、影響、特征、業務、形象、價值。七大決策手段幫助安全部門準確把控安全方向和風險。

圖1 安全決策蜂窩模型

戰 略

京東安全部門首先需要了解公司的發展方向，了解公司今年的發展戰略有哪幾項。解析完公司戰略后，作為安全部門需要對現有戰略的安全風險進行把控討論，確定每一條戰略中團隊可能要碰到的風險以及技術實力的評估，針對人力資源的不足，需要立刻制定出專業人才需求方案并進行招聘，最終保證每個戰略開始推動時，后面都有專業的安全團隊進行安全保障護航。

趨 勢

有句話說得好，一個人干不過一個團隊，一個團隊干不過一個系統，一個系統干不過一個趨勢。針對趨勢的變動，團隊能做的就是積極擁抱變化，擁抱趨勢給予團隊帶來的技術革新。對于安全來說趨勢的大潮轉向需要安全部門能夠快速地轉換和學習。不能對趨勢的轉向不作為，不作為最終結果就是滅頂之災。安全部門需要確定安全趨勢的方向，例如移動安全、智能家居安全等，通過公司現有業務和公司戰略相結合判定目前或未來是否會涉及到相對應的安全風險，針對可能遇到的風險進行評估和制定應對方案。

影 響

一個漏洞的發現或接報不是簡單處理就可以的，單純的處理解決可能引起大麻煩。單個漏洞后面可能隱藏著更加可怕的安全風險。在應急流程和自主發現漏洞的處理流程完備的情況下，安全團隊還需要考慮出現漏洞的業務位置、來源和漏洞級別，也就是說是否影響到核心業務的正常運行，是否為外部接報漏洞，漏洞嚴重級別是否為高風險。團隊可以通過平臺進行評估和監控，京東通過多個維度搭建了一套專屬漏洞風險分析的平臺——“菊花臺”，可以有效發現目前風險點和需要緊急處理的安全事宜，圖2、圖3即是平臺對漏洞的情況統計示意圖。

特 征

每個安全人員都會遇到重復漏洞，并且其出現總是層出不窮，重復漏洞發生率在某個時期明顯飆升不降。安全人員不能盲目地修復漏洞，需要針對漏洞特征進行具體分析是否為重發漏洞、頻發漏洞、典型漏洞還是嚴重漏洞，針對重發漏洞需要給予研發人員相應的解決方案，避免下次的復發；頻發漏洞需要去調研漏洞頻發原因。從以往經驗來看，基本是由于新員工沒有意識、程序員開發習慣、對該漏洞預防未定義導致。這就需要各部門安全官針對業務線的安全意識的普及進行推廣落實，增加安全開發規范。并針對每次的頻發漏洞基線數據進行監控；針對典型漏洞就需要分析是否其他業務也存在同樣的問題，典型漏洞需要安全人員針對全網的業務進行排查和監控。避免出現大批量的風險。嚴重漏洞首先判定是否為典型漏洞，如果不是，則根據應急響應中嚴重漏洞流程進行及時處理。

圖2 平臺漏洞情況統計示意圖1

業 務

對于京東這樣業務復雜的互聯網公司，安全團隊需要針對復雜的業務進行分類劃分，這種劃分和此前提到的業務類型劃分有區別，它是針對業務的內容決定業務的系統級別，可針對系統從0級到3級系統的分類(可根據各公司特點進行更多級別劃分)，根據不同級別的系統安全響應流程不同；對現有0級系統業務進行7×24小時監控，并加入通用漏洞監控，有問題短信通知。對生產環境新業務上線，安全部門要保證第一時間知曉。

形 象

公司規模不同，外界給予的關注程度也不一樣，這就導致安全問題更不是想象的那樣簡單地修復漏洞就可以。需要考慮對媒體的風險應急控制和對外部接報漏洞的合理化處理方案，最終保證公司的整體形象。

價 值

漏洞的嚴重級別能夠體現漏洞的緊急程度，漏洞所處的業務能夠確定漏洞的風險范圍。兩個維度只能牽強地評估安全工作的成果。安全團隊可以用價值的思路去思考每一個漏洞，如何通過內部檢測和外部控制挽回公司的損失，也就是對每個漏洞合理標價進行量化體現。京東針對不同來源漏洞以及不同級別漏洞進行了嚴格的計算，得出每個來源的漏洞價值，從而更加有力地把安全部門的工作成果進行體現。

夯實基礎IT 系統安全，建立大數據風控體系

完善的安全流程規范

京東擁有健全的安全體系流程。結合公司的業務特征，京東建立了安全評估流程、應急響應流程、生產環境評估流程等業務流程規范，保證了龐大的安全體系良好運轉。在此基礎上，還建立了安全開發規范、安全測試手冊、安全知識庫的積累等，做到開發對應開發手冊、安全對應安全測試手冊、漏洞對應漏洞最佳實踐。

IT 軟件加固

為保證數據安全，京東在軟件開發以及開源軟件的選取上有非常嚴格把控。

隨著移動端崛起，移動安全也日漸備受關注，例如，在APP下載時,容易被反編譯，京東對于典型的攻擊方式進行了研究，特別針對APP，進行了軟件加固，保障數據安全。除此之外，對于程序開發人員的安全開發進行定期培訓，從根本上增強安全意識，避免漏洞產生。

搭建掃描平臺

搭建強大的掃描平臺并接入到上線流程中，掃描范圍涵蓋上線項目評估、外網域名保證7×24小時掃描、獨立重點項目評估以及外網IP 應用層評估等。在流程中針對不同風險的漏洞采取不同的集成方式，例如針對struts2，spring 嚴重漏洞以及SVN 泄漏問題可以直接在上線部署中進行檢查，如果沒有匹配到安全策略則不允許上線，需要聯系安全人員；對于基礎的項目上線可以直接進入掃描引擎進行掃描；對于重點項目需要單獨進行手工檢測，保證上線后的安全。

外網異常監控

外網暴露的任何信息都可能為黑客創造入侵的有利條件。因此京東做到可以針對外網的IPbanner、異常端口進行7×24小時檢查。當然，對于業務龐大的互聯網公司不能對多個業務逐項進行檢查，京東可以利用程序對有準確特征的監控進行報警，對于常見的風險控制可以利用差異比對的方式進行監控，也就是確定一個白名單，如果某個業務出現與白名單中不符的特征及時進行報警，安全人員可快速進入排查。

圖3 平臺漏洞情況統計示意圖2

異常流量的測試和防御

對于異常流量的攻擊檢測是必不可少的，京東針對公司的現實條件，搭建了對應的DDOS 攻擊流量實驗室，保證京東在重大促銷前能夠預演高流量攻擊風險。例如在618、雙11等電商大促前期，京東成功地完成了抵御CC 攻擊、SYN 攻擊、TCP 攻擊等測試，保障了大促期間海量用戶訪問的安全和流暢。這個體系更成熟后，可把部門DDOS 測試平臺下沉到每次上線前的檢查，也就是上線前必須要經過的環節。

統一登錄方案

京東建立了統一的登錄解決方案，最大程度保障賬戶安全。用戶登錄是相關業務的業務邏輯中最重要的一部分，同時往往是最容易受到攻擊的節點；如果登錄接口存在安全風險，將直接導致業務所使用賬號系統遭到撞庫、掃號、暴力破解密碼等，如果事件一旦發生不僅會對業務用戶造成極高的安全風險，也將對業務的安全造成極大的威脅。登錄基本可以定義三大類：對外網站登錄、對外移動端登錄和內部ERP 系統登錄方案。每種登錄要定義IP限制、驗證碼限制、登錄頻率限制和綁定限制等。

CNNIC 最新的中國互聯網絡發展狀況統計報告顯示，截至2014年12 月，我國網絡購物用戶規模已經達到3.61億，網民使用網絡購物的比例也從48.9%提升至55.7%。網購市場的繁榮，也催生了網絡黑色產業鏈的發展。根據騰訊網絡黑色產業鏈年度報告統計，網絡黑產已經從過去的黑客攻擊模式轉化成為犯罪分子的斂財工具和商業競爭手段，呈現出明顯的集團化、產業化趨勢。

大數據保障用戶賬戶安全

京東商城已經建立了一套風險控制體系來處理上述問題，其中充分利用了大數據技術的威力。該風控體系，會根據用戶行為特征進行實時分析，存在風險的用戶會進行不同程度的風險控制，直接規避存在潛在威脅用戶的風險。讓網友在舒適的購物體驗下，擁有安全的購物環境是京東的職責所在。

作為一家技術性驅動的公司，京東自成立伊始就投入巨資開發完善可靠、能夠不斷升級、以電商應用服務為核心的自有技術平臺。經過多年的發展，京東已經對網購風險建立了系統性的防護。對于任何一位用戶來說，無論是企業用戶還是個人用戶，無論是鉆石、金牌或者是新注冊用戶，在注冊京東商城的那一刻起，關鍵個人信息都會在傳輸、存儲和頁面展現等關鍵過程進行安全保護。用戶在注冊、登錄等行為時會通過加密通道傳輸個人數據，防止被攔截和竊取; 用戶關鍵信息在數據庫中會以安全的加密方式進行存儲; 另外在京東商城的頁面里，也會進行一些模糊化的處理，比如打碼等手段。即使個別用戶能被一些惡意的攻擊者登錄進去，相關的具體隱私信息也不會被泄露。

用大數據抵御撞庫攻擊

所謂“撞庫攻擊”就是不法分子利用很多用戶在不同網站使用同樣用戶名密碼的習慣，利用被攻破或泄露的其他網站用戶數據庫，生成對應的字典表，嘗試批量登錄其他網站后，得到一系列可以登錄的用戶數據。

撞庫攻擊獲取的有效用戶數據可能被詐騙分子利用，登錄其賬戶后獲取用戶聯系方式、訂單等信息，冒充客服等工作人員實施網絡詐騙。

京東努力從源頭上抵御撞庫攻擊，降低用戶數據的風險。其中關鍵之處就是京東的大數據積累和分析技術。因為京東收集了用戶從登錄、瀏覽、選購、下單、付款到配送甚至售后服務的完整數據，因此可以針對典型用戶的行為歸納出多種模型。現在撞庫攻擊更多地是用一些外部泄露的數據去進行線上比對，這種行為特征在技術上是比較好識別的。京東的風控系統可以實時識別這些特征行為，并進行相應的防護。而針對有可能被撞庫成功的用戶，京東會利用大數據技術對其進行實時分析。一方面尋根溯源，從賬戶訪問的蛛絲馬跡發現黑客的行為，并將其加入相應的特征庫，阻擋他們后續作案；另一方面，與后端的用戶和其他系統進行聯動，對風險賬號提升安全級別，規避這些賬號的風險。

京東會為用戶提供密碼保護、郵箱驗證、手機驗證、支付密碼、數字證書等多級保護措施。目前可能還有一些用戶沒有采用手機綁定、數字證書等賬戶安全升級措施，或在其他網站有過相同注冊信息，京東會主動提醒用戶啟用安全保護功能。此外京東提醒用戶開啟安全軟件防止電腦木馬植入、謹防釣魚網站、規避弱密碼的使用。

京東對于商家的監管也是極其嚴格的。商家入駐簽約時，合同中明確約定消費者權益保障服務條款，商家須作出履行“消費者個人信息保護”義務的承諾。此外，京東還制定了多項有針對性的規則對商家行為進行進一步約束。 對于違規行為，京東會按照平臺規則對商家進行嚴厲處罰。

積極布局，保障用戶和交易數據安全

除了基于大數據的用戶行為監測和風控體系，在數據安全層面，京東對于用戶數據保護，建立了規范化的按數據應用范圍分類的管理體系；包括用戶數據的傳輸、存儲、展現這3個環節，京東也在采用更加縝密的技術措施，以保證用戶數據的安全性。

把敏感信息裝進保險箱

在涉及用戶密碼的數據傳輸環節，京東已經全程采用HTTPS 協議進行加密，可以規避黑客使用數據嗅探類程序獲取用戶名及密碼等敏感信息。在數據存儲環節，京東的數據庫也使用了更加安全的加密算法進行處理。京東安全專家表示，即使這個數據由于某種可能暴露在外面，黑客也無法從這些加密的數據中破解出用戶名和密碼。在信息展現環節，對于用戶的敏感信息，如手機號、郵箱、訂單號等內容，京東已經對其進行了模糊化的處理，關鍵部分都進行了打碼處理。不法分子即使通過撞庫進入這些用戶的后臺，相關的具體隱私信息也不會被泄露。

另外，為了提升用戶對網絡詐騙的警惕性，在訂單等頁面，京東也在醒目的位置提醒用戶，“京東平臺及銷售商不會以訂單異常、系統升級等為由，要求用戶點擊任何鏈接進行退款操作”，相應的短信提醒也會發給用戶。京東用戶和商家交流的即時通信工具“咚咚”中，也加入了防釣魚、防木馬等機制，全面為用戶打造安全屏障。

把網絡詐騙擋在門外

2014年初電商網站大量遭到類似退單、商品異常等詐騙事件的困擾。針對此類詐騙行為，京東嘗試與行業內專做反欺詐公司進行深度合作，用現有的風險IP庫、詐騙手機號庫、釣魚網站庫等進行彌補現有平臺的數據空缺。京東認為除了以技術的角度去分析問題，還需要通過整體的流程審核并借助公安的執法權限共同打擊詐騙行為。詐騙分子的特征庫可以共同維護和使用，類似騰訊舉辦的“雷霆行動”，把所有詐騙的信息及時同步到各通信平臺、IM 通信工具、瀏覽器等，針對確定詐騙行為用戶的信息和各公司聯動進行禁封或標記。

京東還在各種渠道和應用環節提醒廣大用戶：在網購時，一定要提高網絡安全意識，養成良好網絡消費習慣，以保護自己的合法權益不受侵犯。

保證移動安全

隨著用戶越來越傾向于在移動端下單，例如在2015年雙11，用戶在移動端的下單量已經超過整體下單量的70%，因此，針對移動端的網絡安全工作也成為京東安全團隊的重中之重。

移動端的交易存在客戶端與CS 模式類似，區別于PC 端的BS 模式。客戶端存在靜態安全問題，有被逆向反編譯的風險，因此需要在APP 端進行安全加固。這就要求數據在客戶端與服務端傳輸過程中進行數據加密，傳遞到移動端的賬戶信息、交易數據等信息都會進行模糊化處理，防止信息泄露。

同時，京東專門引入了資深移動安全專家，對于典型的攻擊方式進行研究，進一步加強京東的移動安全能力。其中包括：應用檢測，從自身出發，檢測APP 存在的風險；應用加固，給移動應用增添一層可靠的保護層；渠道檢測，堅持在應用市場發布，讓盜版無處可藏；風險評估，發現潛在的安全隱患，評估信息系統的風險等級；滲透測試，模擬黑客攻擊，對于業務系統進行漏洞的挖掘；應急響應，安全事件快速響應，最大化地減小用戶的損失。

為云平臺打造安全屏障

隨著云計算的發展，京東云平臺也開始對外提供公有云、私有云和混合云服務，而且體量及數據量越來越大，云安全責任也逐漸增加，如何更好地保護用戶和商家的數據是擺在安全團隊面前的嚴峻課題，因此京東成立了云安全部門，針對于在公有云上的安全進行有效的部署，針對性地防范并給在公有云上的商家以及用戶提供工具輸出，保護其有安全的使用環境。其中包括：提高DDOS 等攻擊防護能力，提供符合安全標準的環境；提供安全咨詢；提供安全產品。

同時，隨著萬物互聯時代的到來，京東不僅成為中國最重要的智能產品市場渠道，同時建立了京東智能，通過微聯平臺等方式，為智能產品提供統一控制、數據集中等服務。數據獲取、互聯網連接等能力讓智能硬件也成為黑客的關注對象。京東對智能產品以及智能云平臺的安全傾注了大量的精力，通過積累的技術和經驗為這些產品和數據提供保護，讓未來用戶的智能生活得到安全保障。

建立安全應急響應平臺

除了在集團內部加強安全措施外，京東也已經對外建立了安全應急響應中心平臺。安全應急響應中心是基于安全中心的方式，是安全流程分析和處理中心，處理安全事件和問題。

京東認為，做信息安全最難的事情是自我意識或者甄別到本身存在的安全風險，然后針對性進行處理。安全應急中心需要收集各種信息，比如：服務器系統信息、業務信息、外部信息，來進行信息預判。特別是針對外部信息，京東已與白帽子建立合作，這個平臺對外直接響應白帽子(發現計算機系統或網絡系統中的安全漏洞，并提交給相關廠商的技術高手)提交的漏洞。對于烏云等第三方漏洞提交平臺，京東也特別關注并制定了更高的響應級別。對于內外部收集到的信息，安全響應中心會進行監控分析以及流程性的處理，進而保障數據以及信息安全。

京東非常希望與白帽子長期合作，會不斷提高漏洞的獎勵來回饋白帽子的貢獻，并定期舉辦安全沙龍和會議來探討交流安全風險的解決之道。同時，京東也希望能夠與更多的安全眾測平臺展開合作，以提升京東平臺的安全等級。

安全中心作為安全指揮中心，每天會承接海量的數據，因此京東利用大數據分析的方法，可以進行數據預判和分析，分析出可能的安全隱患，這是大數據安全問題的關鍵點，也是京東一直在踐行并努力解決的問題。

打造安全壁壘，籌劃建立合作聯盟

因為互聯網承載了人們越來越多的信息，也吸引了黑色產業鏈不斷深入的關注。安全領域黑白雙方的戰斗一直處于此消彼長的狀態中，因此，網絡安全不能是被動防御，更應該著眼未來，領先一步構建安全壁壘。

建立安全攻防研究院

通過安全應急響應中心等手段，京東可以聯合白帽子和行業的力量一起進行安全防范。但是一味地被動防范，對于像京東這樣擁有復雜業務以及巨大線上交易量的公司來講，是遠遠不夠的。為了進一步提升京東安全防控的技術，京東成立了安全攻防研究院，目的在于提升京東抵御網絡入侵、網絡欺詐的抵御能力。

京東攻防研究院主要從以下幾個方面來展開：研究當今世界流行的網絡侵入技術，找出破解根源，加強京東對于網站安全的防護；吸收和培養網絡安全優秀人才，提升JD的技術儲備；通過研究攻防技術，提升攻防，加強安全意識；與世界安全方面優秀業界人才進行交流，從而進一步提升京東的防御能力。

加強引入安全專業人才

在京東的“倒三角”管理理論中，最核心的就是團隊，團隊是框架，人是基礎。因此在網絡安全領域，京東也將繼續加大人員投入，不遺余力地吸納國內外資深能力專業技術管理人員，加入到京東。

京東同時也在積極推動和專業行業伙伴及安全廠商進行聯合，取長補短、互利合作，更好地加強京東的安全體系建設。2014年12月京東公布了和英特爾的合作，后與騰訊也就安全方面建立合作，特別針對網絡詐騙，雙方會共享一些相關數據信息，聯防聯動為用戶提供更全面的安全保障。

除此之外，京東也在積極尋找志同道合的企業伙伴建立安全合作聯盟。數據是安全分析的基礎，安全的建立需要數據的感知和交互，攻擊行為具有普遍性，有時是大家都會遇到的問題。當遇到這種問題時，由于公司與公司之間有數據隔膜，每個公司只能看到自己的案例，站在行業的角度，對于安全以及大數據的發展具有阻隔或瓶頸作用。

京東希望能夠聯合業內的有志同道合的企業，通過大數據的方法實現安全的數據共享，解決這種數據孤立的問題。另外，產業聯盟也可以就安全技術和安全問題進行共同研究，共同為安全行業發展作貢獻。

京東認為，在網絡安全方面，無論任何行業的擁有健康價值的企業，都擁有共同的目標和利益，即建立健康生態產業鏈以及安全健康的互聯網市場環境，讓用戶安全用網、放心生活。京東致力于為此貢獻出自己的一份力量。同時安全的市場環境建立，離不開國家的支持，京東也希望在國家的政策支持下，在行業內形成互惠互利的聯盟體系，讓更多擁有共同利益的企業，共同去面對的行業威脅，共同保障安全行業發展。

總 結

隨著京東業務快速增長及體系健全，安全管理等級也逐漸提升，京東對網絡安全的重視已經提升到戰略高度。京東在傳統行業基礎上對安全組織進行三大優化：扁平化、業務化以及專業化。并且構建了安全系統組織體系；夯實IT基礎系統、用大數據來保護用戶的利益，建立大數據風控體系；并且設立安全攻防研究院；籌劃產業聯盟，以積極的姿態應對信息安全的挑戰，這樣的效果遠比被動防守好得多。當然，京東安全問題還存在不少，生態系統還需進一步加強和建設，特別是在國家網絡強國戰略形勢之下。

鳴謝：京東集團首席技術顧問翁志先生、公關部技術傳播副總監劉暉先生等對本文提供支持。

[1] 新華網. 習近平在第二屆世界互聯網大會開幕式上的講話[OL]. [2015-12-16 ].http://news.xinhuanet.com

[2] 經濟觀察網. 劉強東出席世界互聯網大會向習主席介紹京東未來智能物流技術[OL].[2015-12-17].http://www.eeo.com.cn

[3] 京東官網[OL].[2015-11-11].http://www.jd.com/

崔傳楨

《信息安全研究》執行主編，主要研究方向為國家戰略、公司戰略、企業社會責任

cctz@vip.sina.com

Promoting “Internet+”Action: Explanation to Cyber Security of JD

Cui Chuanzhen

中國企業信息安全報道系列