在这场2022京麒网络安全大会，我看到了京东安全的新格局

2022年即将翻篇，京东用一场2022京麒网络安全大会来告别这个寒冬。在这一年中，全球数据泄露事件激增，网络攻击事件层出不穷，基于地缘政治的网络战争也愈发尖锐。随着网络空间和物理空间加速融合和互相映射，网络安全风险不断延申，这对我们的安全实力、企业安全防护提出了更高要求。

网络安全实力像载舟之水，各项业务和架构如水面之舟，水面平稳则行舟无虞。在大众的传统印象中，京东似乎只是一家电商公司，但作为一家日活数亿的电商平台拥有者，京东集团拥有不容小觑的网络安全实力。平台海量的访问量和订单量背后，可能隐匿着DDoS攻击、僵尸网络、恶意黑产、病毒、木马等安全威胁，每年两个电商大促节点都是安全团队攻坚作战的“战场”。

除了电商，京东集团的“王牌”——物流系统和供应链系统，也离不开网络安全的全力支撑。到了年末，京东集团要联合行业生态伙伴一起，为过去一年经历的”安全大考“做个总结，交流一下当下热点安全问题的攻防经验，同时展望一下新年的安全格局。

12月29日至30日，京东集团联合多家生态社区伙伴共同举办2022京麒网络安全大会，大会主题“新格局、新理念、新安全”。作为年末安全圈的重磅会议，京麒网络安全大会邀请了来自京东、百度、华为、小米、腾讯、字节跳动、中能融合等企业安全高管和安全专家，奇安信、卫士通等安全行业龙头企业，信通院、清华大学、香港科技大学等学术派资深安全研究员，从产学研等不同视角共同探讨，在数字化转型和数字经济大发展的新格局、新理念下，网络安全能力如何突破和创新。

京麒网络安全大会持续举办的初衷是促进同业交流，提升网络安全水平，为用户提供值得信赖的安全产品技术和服务。所谓独行快，众行远。经过近几年的持续发力，京东集团联合生态合作伙伴一起共建安全体系，得到行业内的广泛认可。

中国信息通信研究院副院长魏亮在京麒网络安全大会上介绍，2021年，我国网络安全产业总体规模突破1900亿元，较2020年增长超过15%，平均增速高出全球约4.7%。过去一年，网络安全产业表现出的强大发展潜力，给行业带来了正向激励，新技术新场景驱动网络安全产品服务升级，技术理念持续向内外一体、智能协同、主动防御、全知预控等方向演进。

“安全无边界”在京东并不是一句空话，构筑安全基石，应用前沿技术、共享安全能力，京东安全无时无刻不在与行业一起提升。京东集团副总裁、京东云事业群总裁高礼强介绍，京东集团拥有强劲的数字底座——京东云，安全能力则是保卫底座坚实的后盾。在京东云上运行着四张大网，第一张是面对全球消费者的超级消费互联网，保证亿万消费者24小时不间断的购物体验。第二张是面向全球供应商的产业互联网，连接京东平台和几十万商家的信息交换。第三张是50多万京东员工构成的内部办公网络。第四张是覆盖关键基础设施的工业互联网。这四张网在京东云上面临异常复杂的安全挑战，京东平台的千亿订单、大促节点的安全运转都依赖于这四张网，也正是这四张网的平稳运行，让大家看到了京东安全的过人实力。

安全已经内化为京东的原生能力，京东安全向集团的每项业务输送安全能力。近三年，医疗健康行业逐渐成为APT组织的频繁攻击目标，再加上医疗数字化程度加快，医疗数据在全生命周期各阶段面临着越来越多的安全风险和挑战。京东集团副总裁、京东健康技术产品部总经理李欣在大会现场发布了《京东健康数据安全白皮书》，白皮书内包含京东健康的数据安全治理实践，这些实践来自亿万级规模的医疗数据交互和治理，实践出真知，京东健康期望能为健康医疗行业数据安全治理提供实践参考和借鉴。

多机房、多行业、多场景、多资产、多基础设施，是京东集团业务的特点。作为一个体量庞杂的大集团，京东的信息安全工作颇具挑战。据京东集团信息安全负责人耿志峰在大会介绍，京东有54万余名员工，业务线繁多复杂，上下游供应链商非常多，黑客紧盯，数据安全挑战大。

在这种情况下，耿志峰表示，京东信息安全探索具有自身供应链特色的治理模式，打造“京东零信任安全体系”，着眼于资产安全性，建立起涵盖资产数字化、资产身份化、多元化卡点、多元化策略中心和零信任驾驶舱等五个核心要素的零信任安全体系。

在安全技术大会上，京东集团信息安全部高级总监秦波也具体介绍了物流场景下京东的零信任实践经验。以往京东物流的资产存储在IDC、混合云等多种异构设施中，资产数据难以统一化管理。京东信息安全为物流业务打造了统一底座以适配更多资产，为资产颁发统一的身份标识，将所有资产接入零信任体系并进行后续安全运营。然后，京东信息安全根据资产关系梳理业务流程，在业务流程部署零信任卡点。例如在员工使用的PC设备中部署零信任客户端，在运单管理、人资、财务、支付等系统中部署应用卡点和账号卡点，对包含敏感数据或个人隐私数据的应用部署应用卡点，在访问敏感数据的环境中部署数据卡点。

接着，基于卡点采集的数据定义每个岗位可使用的功能和可访问的数据，基于业务场景制定访问控制模型。例如物流员工使用手持一体机可以访问业务系统，但使用个人设备时则无法访问。

最后，驾驶舱为不同业务场景提供差异化安全视图，帮助物流负责人和安全负责人合作进行有针对性的安全治理规划。

据介绍，这套零信任安全体系，经历了概念验证、落地实践、能力演进、能力成熟四个发展阶段，最终建立起完善的资产评估体系，掌握了所有资产安全的生命线。

“安全并不只是安全（团队）的事，在实际安全业务中我们发现，要做好安全，超过一半的工作与基础设施本身的安全性有关，在业务的设计之初就要考虑安全因素。”耿志峰在大会提到，安全能力要融入业务设计中，安全并不是给业务添障碍，相反，安全会给业务带来更便捷的体验。

“今年在对抗黑灰产过程中发现，黑灰产开始通过渗透方式进行攻击，通过渗透上下游企业以达到影响整个供应链的目的。”耿志峰介绍称，对抗黑灰产是京东信息安全的主要工作之一，羊毛党、垃圾注册、垃圾消息、机器行为等黑灰产行为会影响业务正常运转，形成安全威胁。

黑灰产攻击背后意味着高昂的防御成本，是对企业安全防御系统性能和稳定性的严峻考验。如何快速识别风险、如何对攻击行为进行精准定位，如何实施风险防御和捕猎，是双方攻防之战的关键。

由于平台的特殊性，京东每日遭受不少网络攻击，京东安全团队开始“换位思考”，如何从根本上对黑产进行对抗和反制，所谓不知攻焉知防。围绕反制黑产的目标，京东安全摸索出了自身的黑产反制框架——JFC-OPS，有效降低攻击流量。

安全的本质是对抗，京东安全在对抗中积累了很多攻防经验，这些经验既包括在真实案例中积累的反制经验，也包括京东内部的红蓝对抗经验。耿志峰提到京东内部红蓝对抗的一个经典案例：攻击方对防守方发起一个带有破绽的钓鱼攻击，防守方发现后便进行反制，但防守方反制时中了攻击方故意埋下的陷阱，反而留下了自己的关键信息，让攻击方拿到了更多权限取得了胜利。

在此次大会上，京东计划把无数次实战中总结的红蓝对抗经验对外分享，京麒网络安全大会安全训练营首次推出《大型企业红蓝对抗演练培训》。课程集合了一线互联网公司多个资深安全专家在蓝军体系化建设、攻防实战方面的思考和智慧，课程涉及溯源与反溯源、社工钓鱼实战攻防、免杀对抗、UAC绕过技巧、内网横向移动等多种类实战干货。

安全训练营是历届京麒网络安全大会的特色之一，它召集业内顶尖技术专家，为安全从业者和组织提供沉浸式技术课程。

京麒网络安全大会的成功举办，不但意味着京东集团安全能力在业界得到认可，它还代表着京东集团在网络安全领域的影响力和技术领先者、分享者的形象。时间的沉淀帮助京东安全筑起坚实的护城河，所谓行不由径，功不唐捐，做安全没有捷径，京东安全的每一份努力都通向安全的未来。