京東雲專業安全服務介紹

時間 2019-11-24

原文原文鏈接

根據LogicMonitor發佈的將來雲服務趨勢研究報告顯示，到2020年，企業在各種雲產品上的支出將高於其在通常IT服務成本六倍以上，與此同時，全部企業的工做量將有83%都在雲上實現，各企業將繼續加大數字經濟業務優點投入，最終將更多的業務和數據都存放在雲上。數據庫

power by | 京東雲安全能力與服務團隊安全

安全問題，刻不容緩服務器

雲計算平臺的開放與便利爲企業和我的用戶提供了更自由、更高效的組網部署和業務上線體驗，但與此同時，企業所面臨的安全風險也不容忽視，如下是2018年典型信息安全事件：網絡

萬豪近幾年約5億名預約該酒店的用戶信息被泄露；工具
全球芯片頭號代工廠臺積電（TSMC）遭遇勒索病毒Wannacry入侵，預計約形成約合人民幣17.6億元損失。同時，股價受勒索病毒影響短期內蒸發78億；區塊鏈
2018年韓國平昌冬奧會開幕式期間主辦方遭遇身分不明的黑客攻擊，服務器被入侵，主辦方關閉了官網服務器長達12小時，致使觀衆沒法正常入場、媒體沒法直播；測試
區塊鏈高危漏洞頻發，區塊鏈平臺EOS的一系列高危安全漏洞，可能引起成千上萬的節點遭到攻擊，對整個數字貨幣系統形成巨大沖擊。雲計算

這樣的安全問題每一年都在不斷增長。因爲企業業務種類的不斷增長、資產和數據體量日益龐大，早已成爲黑客眼中的價值高地。從目前狀況看，雲計算業務逐漸成爲每一年網絡攻擊的重災區。總的來講，安全產品不能解決全部的問題，除了利用安全產品在雲上構建基礎防護體系以外，經過對雲上的資產或業務系統實施深度威脅識別與脆弱性管理，提高安全事件響應和處置效率也一樣重要。操作系統

所以，將產品和服務相結合，創建主動風險發現和動態縱深防護的安全管理閉環對於雲上業務與數據的安全來講已刻不容緩。3d

京東雲專業安全服務介紹

雲上業務系統的安全威脅主要分爲兩類：

來自互聯網

具備不良預謀的我的或組織，以竊取敏感信息和惡意破壞業務系統正常運行爲目的，利用企業安全管理體系漏洞、系統高危漏洞、業務邏輯漏洞進行惡意注入、口令猜想、目錄遍歷、數據竊取與刪除、欺詐勒索等惡意操做。

來自內網

以非法佔用網絡資源、系統資源和數據資源爲目的，利用雲上業務系統或資產弱點進行內網滲透、權限提高、非法資源佔用，實施諸如拒絕服務攻擊、挖礦、發送垃圾短信、垃圾郵件、博彩廣告等黑灰產活動。不管是來自外部的惡意攻擊仍是來自內部的惡意滲透，均會給雲上業務系統帶來威脅，極易致使雲上業務中斷、重要數據丟失、敏感信息泄漏，不但會使企業蒙受嚴重經濟損失、下降企業的公信力，甚至還會影響企業的品牌形象與行業競爭力。

爲了有效應對安全威脅，企業須要對雲上業務系統進行全面的安全評估，所以安全服務是現階段行之有效的方式。經過實施安全服務，可以測試和評價雲上業務系統的安全性，及時發現安全漏洞並修復。安全風險評估技術，因可以預知被評估主體受攻擊的可能性，並具體指出將要發生的行爲和產生的後果而受到業界的重視。這一技術的應用可快速識別被評估對象的系統資源，分析資源被攻擊的可能性，瞭解系統自己的脆弱性，評估潛在的安全風險。

京東云爲保障企業的業務生產和運行安全，使企業用戶有效應對安全威脅，目前針對企業級用戶提供四款定製化專業安全服務：基線檢測、漏洞掃描、滲透測試、應急響應。以京東雲資深的安全技術專家團隊和多年京東商城6.1八、雙11、雙十二等大型促銷活動的安全保障經驗爲依託，爲企業級用戶線上的業務安全保駕護航。

01基線檢測服務

基線檢測服務在用戶充分受權的狀況下，對用戶雲上系統進行全面的安全基線檢測，幫助用戶瞭解雲上業務系統總體的脆弱性情況，並依據檢測結果與用戶業務模式特色提供有針對性的安全處置建議，下降系統的總體風險等級。

用戶雲上系統的網絡結構、系統軟件、數據系統、應用系統的安全策略是安全配置檢查的主要對象。安全策略的做用是爲網絡和應用系統提供必要的保護，其安全性也必然關係到網絡和應用系統的安全性是否可用、可控和可信。經過安全配置檢查能夠發現這些系統是否存在安全問題，併爲用戶提供全面的脆弱性分析和修復建議，防止黑客利用脆弱性入侵系統，下降企業安全風險，提升業務運轉效率。

基線檢測服務聽從如下原則：

規範性原則，由專業的安全服務人員依照規範的操做流程進行，對操做過程和結果均有相應記錄，並提供完整的服務報告；
可控性原則，安全配置檢查服務中對被檢查系統形成可能的影響需進行控制，經過調整自動化工具參數，避免出現被檢查系統運行不穩定或影響生產運行的狀況；
總體性原則，安全配置既要考慮全局策略與局部策略的關係，也須要考慮安全配置之間的相互做用關係；
最小影響原則，安全配置檢查服務工做應儘量小的影響被測系統和網絡的正常運行，不能對現有系統、網絡運行和業務運行產生顯著影響。

基線檢測的流程圖以下：

收集用戶系統信息，制定檢測流程和交付實施方案，提交用戶受權許可；

根據檢測範圍完成目標系統脆弱對象識別；

完成目標系統脆弱結構分析和脆弱性驗證；

交付脆弱檢測實施報告，提供脆弱修補方法，指導服務驗收。

02漏洞掃描服務

漏洞掃描服務在用戶充分受權的狀況下，對用戶指定的操做系統、數據庫、Web應用等提供全面的漏洞掃描服務，由京東雲安全專家對掃描結果進行解讀，並提供專業的漏洞掃描報告和修復建議。

隨着用戶業務規模不斷增大和攻擊方式的複雜化，單純採起被動防護的技術手段已顯得力不從心，更多的用戶開始關注風險的管理與度量，側重在「事前」下降甚至規避風險。經過「探測」可以全面發現系統漏洞，同時幫助用戶完成「漏洞管理」和「修復」。實現真正意義上的漏洞管理閉環，應對快速變化的漏洞形勢。漏洞掃描是肯定安全漏洞修復方案的最佳手段，參與漏洞掃描的安全專傢俱備豐富的漏洞分析和修補方面的經驗，可以爲用戶提供更加詳細、更具針對性的建議。經過漏洞掃描，可以直觀體現用戶系統的漏洞情況，針對發現安全漏洞提供有效修補方法，防止系統漏洞被黑客利用，最大限度下降用戶信息系統安全運營成本。

漏洞掃描服務聽從如下原則：

保密性原則，安全服務團隊會遵循保密性原則，確保用戶相關信息的保密性和安全性。同時京東雲安排了項目管理人員實時負責監督和糾正安全人員工做中可能出現的危害用戶的行爲；
科學性原則，漏洞掃描服務遵循科學性原則，安全服務團隊會對整個項目進行科學性管理，全程質量和進度監控，確保高品質的服務交付；
規範性原則，安全服務團隊會按照京東雲的項目實施規範開展有關工做，從用戶交流、項目會議、項目資料、輸出報告、項目經理、工程師到技術支持均實現規範化管理；
專業性原則，從技術交流、方案研討、實施交付到安全分析與建議，全程採用專業化、制度化管理，體現京東雲安全服務團隊的專業性。

漏洞掃描的流程圖以下：

收集用戶系統信息，制定檢測流程和交付實施方案，提交用戶受權許可；

根據檢測範圍完成目標系統檢測信息收集和漏洞掃描；

完成信息系統漏洞日誌分析和漏洞驗證；

交付漏洞檢測實施報告，提供漏洞修補方法，指導服務驗收。

03滲透測試服務

滲透測試服務對現有系統不形成任何損害的前提下，以第三方視角對信息系統進行檢查，經過模擬黑客入侵的技術手段對用戶指定系統進行全面深刻的健壯性測試，發現系統中潛在的弱點，減小云上業務系統的風險隱患，讓用戶瞭解系統中安全漏洞可被利用的狀況，並針對風險隱患提供修補建議。另外，滲透測試的攻擊路徑及手段不一樣於常見的安全產品，因此它每每能暴露出一條甚至多條被忽視的威脅路徑，從而暴露整個系統或網絡的威脅所在。最重要的是，滲透測試最終的成功通常不是由於某一個系統的某個單一問題所直接引發的，而是因爲一系列看似沒有關聯並且又不嚴重的缺陷組合而致使的，京東雲安全服務團隊憑藉其豐富的經驗和技能能夠將這類缺陷進行串聯並展現出來，所以，京東雲滲透測試服務的針對性比通常的脆弱性評估更強、粒度也更細緻。

滲透測試服務聽從如下原則：

保密性原則，是滲透測試服務中最重要的原則，它是鼓勵用戶實施滲透測試服務的心理基礎，同時也是對用戶隱私權的最大尊重。滲透測試的保密範圍，包括實施過程的保密性和輸出成果的保密性。對服務過程當中獲知的任何用戶系統信息均屬祕密信息，不得泄露給第三方單位或我的，不得利用這些信息進行任何侵害用戶的行爲，對服務的報告提交不得擴散給未經受權的第三方單位或我的；
規範性原則，實施必須由專業的安全服務人員依照規範的操做流程進行，對操做過程和結果要有相應的記錄，提供完整的服務報告；
可控性原則，滲透測試服務中對被測試系統形成的可能的各類影響要可以全面控制，既要全面測試，又不能影響生產，服務的工具、方法和過程要在雙方承認的範圍以內，服務的過程當中，避免出現被測試系統運行不穩定，影響生產運行的狀況；
總體性原則，在滲透測試時，應當從總體出發，從分析總體內部各組成部分的關係以及總體與外部環境之間的關係入手，去揭示與掌握其總體性質；
最小影響原則，滲透測試服務工做應儘量小的影響被測試系統和網絡的正常運行，不能對現有系統、網絡的運行和業務的正常運行產生顯著影響。

滲透測試的流程圖以下：

收集用戶系統信息，制定滲透流程和交付實施方案，提交用戶受權許可；

完成目標系統信息採集分析，根據結果提交風險規避方案；

目標漏洞利用，滲透權限提高和控制，交付滲透記錄；

交付滲透測試實施報告，提供安全建議，指導服務驗收。

04應急響應服務

應急響應服務是當用戶遭遇網絡攻擊、木馬病毒、數據竊取等黑客入侵事件時，京東雲可以提供及時的事件止損、事件分析、系統加固和事件溯源的技術支撐，下降安全事件的影響範圍並抑制損失。應急響應是一項須要充分準備並嚴密組織的工做，須要具有足夠的事件響應處置經驗和掌握必要法律知識的專業人士參與。基於京東雲安全服務團隊多年持續的安全趨勢跟蹤與技術研究，已造成緊急安全事件應急響應最佳實踐，徹底有能力爲京東雲用戶提供各種重大、緊急安全事件的應急響應支持。

是京東雲安全應急響應服務體系參考了下列標準規範：

GB/T 24363-2009 信息安全應急響應計劃規範
GB/Z 20985-2007 信息安全事件管理指南
GB/Z 20986-2007 信息安全事件分類分級指南
YD/T 1799-2008 網絡與信息安全應急處理服務資質評估方法
GB/T 22080-2008 信息安全管理體系要求
ISO/IEC 27001:2013

京東雲憑藉其在6.1八、雙11、雙十二等大型促銷活動中豐富的應急響應經驗和強大的事件分析處理能力，可以快速完成事件的響應、處置和追蹤溯源，爲事件分析、立案調查和取證提供詳細、準確的數據參考。

應急響應的流程圖以下：

安全事件初期階段：在實施應急響應工做前，項目經理收到用戶申請應急響應支持，由項目經理協調京東雲安全服務團隊和用戶技術人員第一時間取得聯繫，瞭解事件發生狀況。安全專家判斷事件類型，是否須要啓用應急響應服務；

應急響應實施階段：在判斷事件類型可能爲安全事件，啓用應急響應後，京東雲安全服務團隊進行信息收集工做，詳細瞭解掌握事件發生的始終、現狀、可能的影響，對事件進行詳細分析，提供事件處理建議，並協助用戶解決事件；

輸出報告與彙報階段：待事件處理結束後，京東雲安全服務團隊整理事件分析、事件處理的過程記錄和相關資料，撰寫應急響應服務記錄報告並提交給用戶。對於大型、複雜的應急響應過程還需進行總體的事件處理彙報工做。

京東雲專業安全服務優點

專業化的安全服務團隊

京東雲擁有專業的漏洞研究團隊，對漏洞的研究成果已經應用到了京東雲安全產品當中。多年來京東雲安全服務團隊爲京東商城6.18，雙11、雙十二等大型促銷活動提供了安全保障與支持服務。

深刻的用戶安全需求分析

京東雲安全服務團隊在安全服務開展前期，會從技術層面（網絡層、系統層、應用層）與用戶進行溝通，對用戶資產信息進行採集、彙總、梳理、掌握，以便爲工做的開展奠基良好基礎。除了技術層面之外，京東雲安全服務團隊也會根據用戶的安全/合規目標着重對於用戶業務層面進行分析與梳理，正確理解用戶的安全訴求與意圖，將應急策略、處置辦法充分貫徹、落實於實施工做中，將安全服務的目標與業務系統連續性運行保障緊密的結合起來。

規範化的安全服務流程

京東雲安全服務流程大致分爲準備、實施以及彙報驗收三個基本階段，在每一個階段都會生成階段性文檔，在服務完成後將由項目經理將各階段的文檔進行整理、彙總並提交給用戶，同時向用戶彙報應急響應工做的詳情與細節。京東雲安全服務流程特色在於將安全服務實施階段及彙報驗收階段做爲兩個獨立環節貫穿於整個過程中，確保應急響應工做的全面規範化。

全方位的安全服務內容

京東雲安全服務內容基本圍繞技術層面（系統層、應用層、網絡層）進行開展，從基線檢查、漏洞掃描、滲透測試、應急響應等多個維度全面覆蓋用戶安全場景，而且針對用戶業務不一樣層面的安全漏洞及威脅，提供了一系列測試方法及流程，而且結合不一樣的漏洞也提出相應的修補建議供用戶參考。

快速的安全服務週期

京東雲安全服務流程嚴謹，每一個環節都有固定的項目階段管理辦法，嚴格按照規定開展工做，並由專門的項目管理人員對總體流程進行質量監控，安全服務團隊通過長期的經驗積累與技術沉澱，目前已具有成熟的服務運行體系，充分確保安全服務流程的高效運轉。

經驗與能力的持續提高

京東雲按期會對安全服務團隊開展安全技術培訓，並召開技術課題研討會和攻防技術對抗賽，確保團隊的專業素質可以緊跟前沿安全趨勢並隨着攻防對抗技術演進而獲得持續提高，充分保證京東雲專業安全服務的品質。

歡迎點擊「連接」瞭解更多精彩內容

·END·