智解京东618——购物狂欢背后的安全暗战
采访者简介:Tony Lee,京东首席信息安全专家,负责京东的信息安全工作。 进入京东之前,是百度云安全部首席架构师。 此前,是国内第一家完全基于SaaS的云安全服务厂商安全宝的联合创始人兼CTO;还曾经服务于微软美国,主管开发过企业级和家庭用户的云计算产品,产品覆盖了数十亿个人用户和数百万企业用户。拥有多个美国和全球云计算专利,同时是IEEE国际行业执行理事。毕业于美国加州大学伯克利分校电子工程和计算机科学系,在加州大学洛杉矶分校计算机科学系获得硕士学位,主攻数据挖掘的研究。
在上月刚刚结束的京东618购物节期间,京东商城交出了累计下单1199亿 元,累计卖出商品7亿件的惊人成绩单,让人不得不叹服京东618在网络买家中越来越强大的影响力以及网民超高的热情和惊人的购买力。然而,在这个盛大的网络购物狂欢节背后,有多少黄牛、羊毛党、投机者、黑客在蠢蠢欲动、伺机而出,又有多少安全人员为此彻夜难眠,夜不成寐?京东618,不仅仅是一场网络购物的狂欢,也是一场对京东信息安全部真枪实弹的又一次“大考”。而在这次“大考”中,京东信息安全部也以“0”重大安全事故的成果交出了一份完美的“答卷”,为京东618购物节的圆满成功书写了浓墨重彩的一笔。
京东安全的核心:先进的组织架构 与业务结合的安全
然而,“冰冻三尺非一日之寒”,京东信息安全部在京东618购物节期间取得的成果,显然不是一日之功,而是与京东长期以来对安全的重视和先进的安全理念是分不开的。与许多企业的信息安全部大多是隶属于运维部门的子部门不同,京东信息安全部是京东集团的一级部门,该部门直接向CTO汇报,而这种组织架构,充分说明了安全对于京东的重要性,也充分表明了京东对于安全的高度重视。
京东首席安全专家Tony Lee认为,正是京东建立的这种先进的安全组织架构,使得京东在安全方面走在了电商企业的前列。Tony介绍说,京东信息安全部负责京东所有的安全问题,包括各个业务线的安全保障,安全技术体系的构建,安全流程的制定等,同时,京东信息安全部还有一个很重要的职责,就是要把整个公司的各个业务线的相关人员组织起来,一起把安全工作做好。他也强调,在当前,安全非常重要的一点就是与业务紧密结合。而在以前,因为安全理念的落后,安全防护和业务是完全脱节的,企业安全部门只关心网络和终端的防护,对业务一无所知,这种安全理念对于企业,特别是电商,互联网企业来说,是极其错误的,在电商、互联网企业中,安全必须不断的与业务紧密结合,这对于企业安全来说非常重要。
以京东为例,京东有许多APP和业务网站,这些APP和业务网站由京东集团的不同事业部设计开发,如果安全部门不了解各个不同事业部的业务和流程,那他们该如何保证这些对外服务和产品的安全?因此,这就要求安全部门在设计和开发产品服务伊始的时候,就要和业务部门的研发一起,从需求到设计,到测试再到产品和服务上线之后的运维,都要全程参与,这是非常关键的一点,因为,只有安全部门和业务部们紧密结合,步步为营,才能把产品做好,才能保证为用户提供的产品和服务本身是安全的,企业的安全风险才会大幅降低。
京东安全的挑战:信息保护是安全的核心 也是京东的社会责任
实际上,对于京东这样的电商企业来说,目前面临的安全挑战依然是攻防和对抗,与传统意义上安全的并没有什么本质上的不同,只不过由于电商行业业务的特点,京东面临的安全挑战更多的是和网络黑产的对抗。
从京东来讲,作为中国目前最大的电商之一,几乎半个互联网的用户信息都保存在京东,如此海量的信息,对于攻击者来说是一个很大的诱惑,如何保护好这些用户信息,对京东来说是一个很大的挑战,同时,也是一份巨大的社会责任。
因为用户相信京东,因此,才会放心的将他们的信息交给京东保存,而面对用户的信任,京东唯一能做的就是竭尽所能保护用户的数据信息,这既是京东对用户的承诺,也是京东必须要承担的社会责任。Tony介绍说,事实上,有大量网络攻击者觊觎京东海量用户数据,这从京东服务器遭受黑客漏洞扫描的频率就能得到验证,攻击者希望通过这样的扫描,能够找到京东业务的漏洞,从而达成窃取用户信息的目的。而针对业务漏洞带来的风险,京东通过一流的安全检查团队,针对每一项业务,进行详细的业务检查,以确保将业务漏洞带来的风险降至最低,同时,通过京东应急安全响应中心,京东也聚集了国内一大批优秀的白帽子和安全专家,通过他们的力量为京东安全保驾护航。
京东618的安全应对:技术导向为根本 预案演练为手段
而在618购物节期间,除了以盗取用户信息为目的攻击之外,京东面临的主要安全攻击,则是账号攻击、涮单和网络欺诈。
为此,在今年的618期间,京东对业务上的安全进行了非常严密的监控,在账号安全方面,基于数据关联、规则拦截、大数据分析三大关键技术,通过对用户登录、购物、客服、物流等的消费生命周期的严密监控,综合性地对用户进行风险画像,识别出比较明显的黑产用户。而对隐藏得比较深的黑产,通过IP、地址、支付关系聚集等不同维度的指标,识别这类黑产用户。目前,京东大概有2000个不同指标的维度,可以用来帮助京东较为精确的识别黑产用户。同时,京东也与众多互联网公司在黑产资源共享方面有紧密合作,共同构建业界反黑产生态。
据记者了解,而对于刷单行为,京东通过自研的反刷单系统,精准识别京东商城刷单相关的恶意行为。利用京东自建的大数据平台,京东反刷单系统从订单、商品、用户、物流等多个维度进行分析,分别计算每个维度下面的不同特征值。通过分析商品的历史价格和订单实际价格的差异、商品SKU销量异常、物流配送异常、评价异常、用户购买品类异常等上百个特性,结合贝叶斯学习、数据挖掘、神经网络等多种智能算法进行精准定位。
京东反刷单系统流程图
针对利用DNS劫持进行的网络欺诈,在今年的618购物节中,京东实现了全站的HTTPS加密,这使得京东商城从客户端到服务器之间的流量实现了全加密,从而大大减少了利用DNS劫持而进行的网络欺诈行为的发生。
而实际上,为了解决黑账号、刷单、网络欺诈等问题,京东精心打造了“天网”系统,“天网”全面覆盖了京东商城数十个业务节点,并有效支撑了京东集团旗下的京东到家及海外购风控相关业务,有效保证了用户利益和京东的业务流程。
“天网”作为京东风控的核心利器,主要分析维度包括:用户画像、用户社交关系网络、交易风险行为,其系统内部既包含了面向业务的交易订单风控系统、爆品抢购风控系统、商家反刷单系统,在其身后还有由规则识别引擎及用户风险信用信息库两大核心组件构成的风险信用中心系统,专注于打造用户风险画像的用户风险评分等级系统。可以说,“天网”系统对于今年京东618的圆满成功起到了关键的作用。
但仅仅拥有这些出色的技术和产品,对于保障京东618的顺利举行还是不够的,安全备战和演练也是不可或缺的重要一环,为此,今年京东618的安全备战和演练早在4月就开始启动,今年安全团队也组建了强大的安全保障,跨部门对接并联合相关业务板块共同保障京东商城金融、一号店的 PC 端、移动端等所有平台的安全。京东信息安全部今年共落地了十个方向的安全预案,对于重大的安全风险提前进行了多次安全演练,而粘贴在京东墙面上的随处可以见的这张图片,也从另一个侧面说明了京东对于演练的重视。
相对于去年的双十一,在今年的618购物节中,京东信息安全部做了更加细致的预案,对于整个安全的态势的感知,有了很大进步,在业务监控方面,通过自主研发的监控系统,对关键指标的监控进行了更加细颗粒度的监控,同时,对于DDoS攻击的防范,京东信息安全部也做了精心的准备,再加上京东应急响应中心的全力配合,这些都对今年京东618的圆满成功起到了关键的作用。
京东安全的未来:数据为先 智领未来
京东安全最关键的使命,就是使京东平台安全可信,这是京东非常重要的目标,要做到这一点,责任感要比技术更重要。而要营造这样一个可信赖的环境,需要很多技术方面的支持,他认为,数据分析,人工智能,智能家居将是京东未来非常重视的技术。同时,京东正在构建一个非常庞大的生态,这个生态的建立基于京东在物流、采购、仓储等方面所具备的其他竞争对手所没有的独特能力,而当京东的生态建立起来的时候,安全将是其中一个重要的能力,特别在京东云上面,他们需要可靠的安全防护。所以云安全也是未来京东安全发展的一个重要方向,此外,知识图谱、舆情分析、物联网安全也将是京东安全未来所重点关注的方面。
Tony表示,“伴随着未来京东构建的越来越庞大和复杂的生态,我们的目标是将安全工作突破线性的复杂度的关系,不论这个生态多复杂,我们也将通过适当的安全体系以及人工智能、大数据分析等技术,确保京东的安全防护向着简单、自动、智能、主动的方向发展,这是我们的目标,也是我们未来努力的方向。”