京东云专业安全服务介绍

根据LogicMonitor发布的未来云服务趋势研究报告显示，到2020年，企业在各类云产品上的支出将高于其在一般IT服务成本六倍以上，与此同时，所有企业的工作量将有83%都在云上实现，各企业将继续加大数字经济业务优势投入，最终将更多的业务和数据都存放在云上。

power by  | 京东云安全能力与服务团队

安全问题，刻不容缓

云计算平台的开放与便利为企业和个人用户提供了更自由、更高效的组网部署和业务上线体验，但与此同时，企业所面临的安全风险也不容忽视，以下是2018年典型信息安全事件：

• 万豪近几年约5亿名预定该酒店的用户信息被泄露；

• 全球芯片头号代工厂台积电（TSMC）遭遇勒索病毒Wannacry入侵，预计约造成约合人民币17.6亿元损失。同时，股价受勒索病毒影响短时间内蒸发78亿；

• 2018年韩国平昌冬奥会开幕式期间主办方遭遇身分不明的黑客攻击，服务器被入侵，主办方关闭了官网服务器长达12小时，导致观众无法正常入场、媒体无法直播；

• 区块链高危漏洞频发，区块链平台EOS的一系列高危安全漏洞，可能引发成千上万的节点遭到攻击，对整个数字货币系统造成巨大冲击。

这样的安全问题每年都在不断增加。由于企业业务种类的不断增加、资产和数据体量日益庞大，早已成为黑客眼中的价值高地。从目前情况看，云计算业务逐渐成为每年网络攻击的重灾区。总的来说，安全产品不能解决所有的问题，除了利用安全产品在云上构建基础防御体系之外，通过对云上的资产或业务系统实施深度威胁识别与脆弱性管理，提升安全事件响应和处置效率也同样重要。

因此，将产品和服务相结合，建立主动风险发现和动态纵深防御的安全管理闭环对于云上业务与数据的安全来说已刻不容缓。

京东云专业安全服务介绍

云上业务系统的安全威胁主要分为两类：

来自互联网

具有不良预谋的个人或组织，以窃取敏感信息和恶意破坏业务系统正常运行为目的，利用企业安全管理体系漏洞、系统高危漏洞、业务逻辑漏洞进行恶意注入、口令猜测、目录遍历、数据窃取与删除、欺诈勒索等恶意操作。

来自内网

以非法占用网络资源、系统资源和数据资源为目的，利用云上业务系统或资产弱点进行内网渗透、权限提升、非法资源占用，实施诸如拒绝服务攻击、挖矿、发送垃圾短信、垃圾邮件、博彩广告等黑灰产活动。不论是来自外部的恶意攻击还是来自内部的恶意渗透，均会给云上业务系统带来威胁，极易导致云上业务中断、重要数据丢失、敏感信息泄漏，不但会使企业蒙受严重经济损失、降低企业的公信力，甚至还会影响企业的品牌形象与行业竞争力。

为了有效应对安全威胁，企业需要对云上业务系统进行全面的安全评估，因此安全服务是现阶段行之有效的方式。通过实施安全服务，能够测试和评价云上业务系统的安全性，及时发现安全漏洞并修复。安全风险评估技术，因能够预知被评估主体受攻击的可能性，并具体指出将要发生的行为和产生的后果而受到业界的重视。这一技术的应用可快速识别被评估对象的系统资源，分析资源被攻击的可能性，了解系统本身的脆弱性，评估潜在的安全风险。

京东云为保障企业的业务生产和运行安全，使企业用户有效应对安全威胁，目前针对企业级用户提供四款定制化专业安全服务：基线检测、漏洞扫描、渗透测试、应急响应。以京东云资深的安全技术专家团队和多年京东商城6.18、双十一、双十二等大型促销活动的安全保障经验为依托，为企业级用户线上的业务安全保驾护航。

01基线检测服务

基线检测服务在用户充分授权的情况下，对用户云上系统进行全面的安全基线检测，帮助用户了解云上业务系统整体的脆弱性状况，并依据检测结果与用户业务模式特点提供有针对性的安全处置建议，降低系统的整体风险等级。

用户云上系统的网络结构、系统软件、数据系统、应用系统的安全策略是安全配置检查的主要对象。安全策略的作用是为网络和应用系统提供必要的保护，其安全性也必然关系到网络和应用系统的安全性是否可用、可控和可信。通过安全配置检查可以发现这些系统是否存在安全问题，并为用户提供全面的脆弱性分析和修复建议，防止黑客利用脆弱性入侵系统，降低企业安全风险，提高业务运转效率。

基线检测服务遵从以下原则：

• 规范性原则，由专业的安全服务人员依照规范的操作流程进行，对操作过程和结果均有相应记录，并提供完整的服务报告；

• 可控性原则，安全配置检查服务中对被检查系统造成可能的影响需进行控制，通过调整自动化工具参数，避免出现被检查系统运行不稳定或影响生产运行的情况；

• 整体性原则，安全配置既要考虑全局策略与局部策略的关系，也需要考虑安全配置之间的相互作用关系；

• 最小影响原则，安全配置检查服务工作应尽可能小的影响被测系统和网络的正常运行，不能对现有系统、网络运行和业务运行产生显著影响。

基线检测的流程图如下：

收集用户系统信息，制定检测流程和交付实施方案，提交用户授权许可；

根据检测范围完成目标系统脆弱对象识别；

完成目标系统脆弱结构分析和脆弱性验证；

交付脆弱检测实施报告，提供脆弱修补方法，指导服务验收。

02漏洞扫描服务

漏洞扫描服务在用户充分授权的情况下，对用户指定的操作系统、数据库、Web应用等提供全面的漏洞扫描服务，由京东云安全专家对扫描结果进行解读，并提供专业的漏洞扫描报告和修复建议。

随着用户业务规模不断增大和攻击方式的复杂化，单纯采取被动防御的技术手段已显得力不从心，更多的用户开始关注风险的管理与度量，侧重在“事前”降低甚至规避风险。通过“探测”能够全面发现系统漏洞，同时帮助用户完成“漏洞管理”和“修复”。实现真正意义上的漏洞管理闭环，应对快速变化的漏洞形势。漏洞扫描是确定安全漏洞修复方案的最佳手段，参与漏洞扫描的安全专家具有丰富的漏洞分析和修补方面的经验，能够为用户提供更加详细、更具针对性的建议。通过漏洞扫描，能够直观体现用户系统的漏洞状况，针对发现安全漏洞提供有效修补方法，防止系统漏洞被黑客利用，最大限度降低用户信息系统安全运营成本。

漏洞扫描服务遵从以下原则：

• 保密性原则，安全服务团队会遵循保密性原则，确保用户相关信息的保密性和安全性。同时京东云安排了项目管理人员实时负责监督和纠正安全人员工作中可能出现的危害用户的行为；

• 科学性原则，漏洞扫描服务遵循科学性原则，安全服务团队会对整个项目进行科学性管理，全程质量和进度监控，确保高品质的服务交付；

• 规范性原则，安全服务团队会按照京东云的项目实施规范开展有关工作，从用户交流、项目会议、项目资料、输出报告、项目经理、工程师到技术支持均实现规范化管理；

• 专业性原则，从技术交流、方案研讨、实施交付到安全分析与建议，全程采用专业化、制度化管理，体现京东云安全服务团队的专业性。

漏洞扫描的流程图如下：

收集用户系统信息，制定检测流程和交付实施方案，提交用户授权许可；

根据检测范围完成目标系统检测信息收集和漏洞扫描；

完成信息系统漏洞日志分析和漏洞验证；

交付漏洞检测实施报告，提供漏洞修补方法，指导服务验收。

03渗透测试服务

渗透测试服务对现有系统不造成任何损害的前提下，以第三方视角对信息系统进行检查，通过模拟黑客入侵的技术手段对用户指定系统进行全面深入的健壮性测试，发现系统中潜在的弱点，减少云上业务系统的风险隐患，让用户了解系统中安全漏洞可被利用的情况，并针对风险隐患提供修补建议。另外，渗透测试的攻击路径及手段不同于常见的安全产品，所以它往往能暴露出一条甚至多条被忽视的威胁路径，从而暴露整个系统或网络的威胁所在。最重要的是，渗透测试最终的成功一般不是因为某一个系统的某个单一问题所直接引起的，而是由于一系列看似没有关联而且又不严重的缺陷组合而导致的，京东云安全服务团队凭借其丰富的经验和技能可以将这类缺陷进行串联并展示出来，因此，京东云渗透测试服务的针对性比一般的脆弱性评估更强、粒度也更细致。

渗透测试服务遵从以下原则：

• 保密性原则，是渗透测试服务中最重要的原则，它是鼓励用户实施渗透测试服务的心理基础，同时也是对用户隐私权的最大尊重。渗透测试的保密范围，包括实施过程的保密性和输出成果的保密性。对服务过程中获知的任何用户系统信息均属秘密信息，不得泄露给第三方单位或个人，不得利用这些信息进行任何侵害用户的行为，对服务的报告提交不得扩散给未经授权的第三方单位或个人；

• 规范性原则，实施必须由专业的安全服务人员依照规范的操作流程进行，对操作过程和结果要有相应的记录，提供完整的服务报告；

• 可控性原则，渗透测试服务中对被测试系统造成的可能的各种影响要能够全面控制，既要全面测试，又不能影响生产，服务的工具、方法和过程要在双方认可的范围之内，服务的过程中，避免出现被测试系统运行不稳定，影响生产运行的情况；

• 整体性原则，在渗透测试时，应当从整体出发，从分析整体内部各组成部分的关系以及整体与外部环境之间的关系入手，去揭示与掌握其整体性质；

• 最小影响原则，渗透测试服务工作应尽可能小的影响被测试系统和网络的正常运行，不能对现有系统、网络的运行和业务的正常运行产生显著影响。

渗透测试的流程图如下：

收集用户系统信息，制定渗透流程和交付实施方案，提交用户授权许可；

完成目标系统信息采集分析，根据结果提交风险规避方案；

目标漏洞利用，渗透权限提升和控制，交付渗透记录；

交付渗透测试实施报告，提供安全建议，指导服务验收。

04应急响应服务

应急响应服务是当用户遭遇网络攻击、木马病毒、数据窃取等黑客入侵事件时，京东云能够提供及时的事件止损、事件分析、系统加固和事件溯源的技术支撑，降低安全事件的影响范围并抑制损失。应急响应是一项需要充分准备并严密组织的工作，需要具备足够的事件响应处置经验和掌握必要法律知识的专业人士参与。基于京东云安全服务团队多年持续的安全趋势跟踪与技术研究，已形成紧急安全事件应急响应最佳实践，完全有能力为京东云用户提供各类重大、紧急安全事件的应急响应支持。

是京东云安全应急响应服务体系参考了下列标准规范：

• GB/T 24363-2009 信息安全应急响应计划规范

• GB/Z 20985-2007 信息安全事件管理指南

• GB/Z 20986-2007 信息安全事件分类分级指南

• YD/T 1799-2008 网络与信息安全应急处理服务资质评估方法

• GB/T 22080-2008 信息安全管理体系要求

• ISO/IEC 27001:2013

京东云凭借其在6.18、双十一、双十二等大型促销活动中丰富的应急响应经验和强大的事件分析处理能力，能够快速完成事件的响应、处置和追踪溯源，为事件分析、立案调查和取证提供详细、准确的数据参考。

应急响应的流程图如下：

安全事件初期阶段：在实施应急响应工作前，项目经理收到用户申请应急响应支持，由项目经理协调京东云安全服务团队和用户技术人员第一时间取得联系，了解事件发生情况。安全专家判断事件类型，是否需要启用应急响应服务；

应急响应实施阶段：在判断事件类型可能为安全事件，启用应急响应后，京东云安全服务团队进行信息收集工作，详细了解掌握事件发生的始终、现状、可能的影响，对事件进行详细分析，提供事件处理建议，并协助用户解决事件；

输出报告与汇报阶段：待事件处理结束后，京东云安全服务团队整理事件分析、事件处理的过程记录和相关资料，撰写应急响应服务记录报告并提交给用户。对于大型、复杂的应急响应过程还需进行整体的事件处理汇报工作。

京东云专业安全服务优势

专业化的安全服务团队

京东云拥有专业的漏洞研究团队，对漏洞的研究成果已经应用到了京东云安全产品当中。多年来京东云安全服务团队为京东商城6.18，双十一、双十二等大型促销活动提供了安全保障与支持服务。

深入的用户安全需求分析

京东云安全服务团队在安全服务开展前期，会从技术层面（网络层、系统层、应用层）与用户进行沟通，对用户资产信息进行采集、汇总、梳理、掌握，以便为工作的开展奠定良好基础。除了技术层面以外，京东云安全服务团队也会根据用户的安全/合规目标着重对于用户业务层面进行分析与梳理，正确理解用户的安全诉求与意图，将应急策略、处置办法充分贯彻、落实于实施工作中，将安全服务的目标与业务系统连续性运行保障紧密的结合起来。

规范化的安全服务流程

京东云安全服务流程大体分为准备、实施以及汇报验收三个基本阶段，在每个阶段都会生成阶段性文档，在服务完成后将由项目经理将各阶段的文档进行整理、汇总并提交给用户，同时向用户汇报应急响应工作的详情与细节。京东云安全服务流程特点在于将安全服务实施阶段及汇报验收阶段作为两个独立环节贯穿于整个过程当中，确保应急响应工作的全面规范化。

全方位的安全服务内容

京东云安全服务内容基本围绕技术层面（系统层、应用层、网络层）进行开展，从基线检查、漏洞扫描、渗透测试、应急响应等多个维度全面覆盖用户安全场景，并且针对用户业务不同层面的安全漏洞及威胁，提供了一系列测试方法及流程，并且结合不同的漏洞也提出相应的修补建议供用户参考。

快速的安全服务周期

京东云安全服务流程严谨，每个环节都有固定的项目阶段管理办法，严格按照规定开展工作，并由专门的项目管理人员对整体流程进行质量监控，安全服务团队经过长期的经验积累与技术沉淀，目前已具备成熟的服务运行体系，充分确保安全服务流程的高效运转。

经验与能力的持续提升

京东云定期会对安全服务团队开展安全技术培训，并召开技术课题研讨会和攻防技术对抗赛，确保团队的专业素质能够紧跟前沿安全趋势并随着攻防对抗技术演进而得到持续提升，充分保证京东云专业安全服务的品质。

欢迎点击“链接”了解更多精彩内容

·END·