重大活動網絡攻擊面前，京東智聯雲的攻防之道

不管是6.18年中大促，仍是11.11活動大促，京東都會吸引到大批「剁手黨」的關注。可問題是，「黑手黨」的關注也很多，活動的開啓每每意味着網絡攻擊同步開啓，爲了保障活動的順利進行，京東智聯雲構建起來多層次、全方位的保障體系。那麼這套體系可以發揮怎樣的力量呢？ 京東智聯云云產品研發部安全專家朱延勇在CSDN直播活動《 「重大活動」網絡安全保障中的攻守實踐》中便進行了詳細的講述 。

對任一平臺而言，每一年都少不了具備必定影響力的經濟、體育、文化活動，好比電商平臺的6.18和11.11；好比線上的服貿會、進博會等；再好比重要人物、活動的直播，像春晚、元宵節晚會等。

對這些活動分析後，不難發現其四大特色：

• 第一，須要提早籌建臨時機構進行舉辦；
• 第二，重大活動受到多方監管；
• 第三，活動涉及的信息系統每每極其複雜；
• 第四，社會關注度高，面向普遍的用戶羣體。

正是由於這些特色的存在，使得活動中的業務穩定性和安全性有了更高的要求。

由於在活動中臨時組織的加入使得溝通成本增長，產生和累積各類不穩定因素；多方監管確實能夠提高安全性，但執行層面上每每存在標準不統一的狀況，會讓安全保障工做面臨複雜的硬性要求；系統複雜，會對安保設計提出更多挑戰，須要在有限的資源基礎上協調和溝通具備不一樣安全能力的子系統，保障總體業務的穩定性、安全性；關注度高不只意味着普通人蔘與的更多，還意味着對攻擊者的吸引力更強。

不過在重大活動面前倒也沒必要人人自危，其不利因素雖多，但攻擊形式卻沒有太大區別。惟一的差別點只在於特定攻擊類型所佔比例的增高，好比今年618活動中，京東智聯雲攔截到的外部攻擊主要仍是CC攻擊、DDoS攻擊這些能影響到業務連續性和頁面穩定性的攻擊形式。

攻擊形式雖然不出意外，可麻煩的是這些攻擊一直以來少有萬無一失的解決方案，再加上重大活動面前，業務繁雜、流量巨大、攻擊複雜，這就對安全團隊的業務能力造成了更加嚴峻的考驗。

京東智聯雲的作法是構建多層次全方位的安全保障體系。立足於等保監管、結合安全保障工做的重點和流程，將在「重大活動」中構建安全保障的過程分爲：「 五大層次」、「四個階段」、「三大原則」和「兩大重點」 。具體地，「五大層次」是基於等級保護的要求劃分物理層、網絡層、系統層、應用層、數據層五大防護層次視角；「四個階段」是以時間維度將重大安全保障活動工做按照不一樣階段的工做內容和重點劃分爲研發部署階段、安保建設階段、安保演練階段、安全保障階段四個階段；「三大原則」是指安全保障體系構建過程當中三個基本原則——同步規劃、同步建設、同步運營；「兩大重點」則是指安全保障建設與落地過程當中要關注的兩大核心內容。

京東智聯雲基於項目介入時間、工做重點、工做目標等因素考慮將保障工做的四個階段分爲：研發部署階段、安保建設階段、安保演練階段和安全保障階段。首要原則是：在有限的預算下，識別工做重點，合理分配防禦力量，避免貪大求多，分散防禦力量，致使總體防禦效果大打折扣。

研發部署階段

研發部署階段的建設是基礎。 這一階段主要基於三大原則開展工做，同步開啓項目研發和安全建設工做，將安全的考量、機制和相關制度深度融合到項目的立項、設計、開發、測試、運維監控全流程中。制定必要的組織和流程、提出具體的安全要求、提供可操做的安全指導、協助構建基礎安全環境，爲安全保障工做的順利推動夯實基礎。具體地，基於總體安保目標的基礎上組建涵蓋研發部門負責人、運維負責人、安全架構師、合規工程師等人員的基本安保工做組；基於等保規範、參考公司安全要求、面向攻防實戰制定具體的總體安全規章制度，並對其作全員的宣貫；面向編碼運維實踐提供一些可讀性高、可操做性高的安全編碼規範與實施手冊；基於基礎網絡、應用安全、數據安全、安全監控覆蓋等視角與層次對研發部署過程進行評審與把控；提供按期更新、充分審計、符合業務方使用需求的安全鏡像、安全組件、安全SDK等基礎環境。

現實中受限於預算等因素的限制，這一階段工做的形式可能存在差別，好比「安全諮詢」、「專家服務」等形式，但相應工做內容應儘量覆蓋。

安保建設階段

安保建設階段是整個安全保障體系的設計和初始落地實施階段，是安保體系的核心和基礎。 該階段也是一般意義上外部安保團隊介入執行安保工做的主要時間節點。本階段主要有三方面內容組成：業務資產和人員梳理、保障技術方案設計、攻擊面收斂和加固。

資產和人員梳理是安保體系建設的數據基礎。 本階段能夠經過外部掃描、內部掃描、內部走訪等各類手段對系統資產進行測繪，對組織人員進行盤點。同時，須要將相關要素彼此關聯，爲安保方案設計及運維人員提供全局的防禦視圖及資料庫。

如上圖所示，是以系統視角對系統所屬的資源、人員、應用和安全配置進行梳理和關聯。

信息梳理完畢後即可以基於此進行保障技術方案設計， 主要包含安全配置方案和應急處置預案。安全防禦配置須要以「全面防禦、縱深防護」爲原則，對總體安全架構進行設計、對安全產品進行選型、對安全產品的規則配置進行優化。具體可能涉及：安全產品的防護位置、安全產品的部署層次、安全產品的防禦規格、安全產品規則的寬鬆度、審計產品的覆蓋範圍等方面內容。應急預案設計主要是把將來運維工做以及可能面臨的風險預案化，以期事件發生時能以較高的響應速度和精準度進行應對處置。預案的設計應該作到全面和標準化，應該覆蓋安全保障工做中的全部內容以及參與工做的全部人員，以標準定義、標準流程、標準操做以及標準輸出的形式對預案細節進行固化並在後續演練過程當中改進和優化。預案的設定能夠是多視角多維度的，好比：面向業務系統、面向防護層次、面向重點威脅形式等。

攻擊面的收斂和加固是安全保障工做的重中之重， 直接關係着系統總體的安全性。該階段須要對內外部潛在的威脅進行識別，對可能的脆弱性進行加固，協同、閉環地進行攻擊面收斂和安全加固。攻擊面收斂主要以合規和攻擊視角展開，基於全面的資源和人員數據，利用「攻防不對稱」中的優點，實現最小化暴露和最大化收斂。經過安全自查、基線合規檢查、安全專項治理、週期性巡查、尋求外部監管等方式進行。同時，該階段工做要注意轉換攻守思惟方式，避免單一視角看待問題，避免因單一攻擊或防守視角產生安全盲點及安全妥協。同時該階段工做一樣須要儘量地標準化，避免有限的安全保障人力被流程性、事務性的非必要工做過多浪費。

保障演練階段

經過完備的安保體系建設和詳細預案制定，基本能夠知足安全保障的工做需求。可是，以上工做每每是之內部視角爲主，基於有限的假設，依賴於安全人員的過往經驗來制定，可能在實際運行過程當中存在諸如安全策略與業務不匹配、工做流程不流暢和特殊安全風險被默許忽視等問題，爲後續保障執行階段埋下隱患。

爲了確保萬無一失，京東智聯雲在安全保障工做中經過演練活動，對安全方案及預案進行驗證。 檢驗安全監測、應急值守、應急處置等工做的順暢度和協調度，確保安保建設階段的工做能按照設計目的實現防禦效果。演練針對不一樣的人員和系統，從不一樣的層次，面向不一樣的事件發展階段，以不一樣的形式開展，如針對特定業務事件的聯動處置（安全風控加固演練等）；針對安全措施失效的處置（防禦設備掉線、防禦規則繞過等）；針對單項問題的預演（DDoS攻擊事件、Web漏洞攻擊事件、0day漏洞事件等）；模擬真實攻擊場景的紅藍對抗；賞金式安全衆測等。若有條件能夠主動引導監管方觀摩或參與演練過程，儘量將各種風險在演練階段暴露，避免後期發現安全問題或風險，難以短期內加固及修復。

保障演練便是對系統安全保障體系的實際運行效果進行檢驗，也是對安全保障體系人員進行訓練。

保障演練階段一樣須要將安全措施以標準化、可執行、簡單明瞭的形式進行落地，讓運維人員面對事件能夠按照防守預案手冊快速且便捷地完成防禦處置工做。

安全保障階段

前三個階段完成後針對安全保障體系建設的工做就基本完成，可是體系的落地實施須要保障運維團隊來支撐。尤爲是在活動期間： 人工和自動化相結合安全監測與報警、7×24小時安保職守、AI與專家協同的分析研判和安全事件的主動應急響應處置，都是必不可少的工做 。

如上圖所示，京東智聯雲在安全保障體系階段經過態勢感知等安全產品提供涵蓋數據資源層、威脅檢測層、關聯分析層、威脅展現層的多層次安全監測和態勢預測。安全運維團隊能夠直觀地獲知安全事件和安全態勢，從而推進事件處置。

標準化一樣要在安全保障階段進行嚴格執行，以威脅封禁操做爲例，京東智聯雲把威脅封禁工做流實現了標準化、制度化，以便於保障工做在由不一樣班次不一樣部門進行執行時能協調有序。其整體流程如上所示，在發現威脅後由分析人員進行威脅分析，理清攻擊目標、攻擊方法和形式，輸出事件初始報告；而後由其餘人員進行二次確認，分析攻擊來源以及是否爲系統誤判，輸出事件確認報告。在確認攻擊後須要對高危險動做進行封禁操做，封禁IP對全部關聯繫統人進行通報，同時要告知止損策略，輸出事件處置報告；對於低頻攻擊則會加入觀測列表，觀測活動特色並進一步處置分析，造成處置記錄。同時，在安全保障階段，須要例行化彙總輸出安全態勢，爲上層提供決策材料、積極響應監管部門要求。

近期，中國國際服務貿易交易會在線上成功舉辦，京東智聯雲在其中扮演了重要角色。

依託於京東智聯雲原生安全產品的支持，構建了全面縱深的安全保障體系。

基於京東智聯雲原生DevSecOps功能，輕鬆實現項目管理、代碼研發、產品研發部署流水線、線上運維管理與系統監控全生命週期的安全防禦，爲項目打下了堅實的安全基礎。

基於京東智聯雲原生安全基礎設施，好比抗DDoS系統、VPC網絡隔離、應用安全網關、雲WAF、主機安全、分佈式掃描系統等，爲系統提供堅實的安全防禦基礎。 值得一提的是，京東智聯雲的多個安全產品同時提供多雲部署能力，幫助客戶在複雜環境中，構建安全基礎。

在應用層面，京東智聯雲提供了雲原生的全鏈加密手段，包括KMS開發用SDK、 SSL數字證書、後端數據落地的存儲加密等，造成全方位的數據安全保障。

同時，京東智聯雲還提供雲原生的應用安全、身份認證及安全服務，知足安全保障過程當中如應用安全、帳號身份認證管理與審計、安全諮詢服務、安全培訓、漏洞掃描、代碼審計、應急響應服務等多樣的安全需求。

在活動面前，一支強大的雲原生安全運營團隊，對於安全產品的管理和運維有着重要幫助。 在活動期間，京東智聯雲基於雲原生安全產品和久經考驗的專業安全運營團隊 ，提供雲原生統一安全運營，綜合利用基礎數據層的全量資產信息採集、威脅感知層的情報感知、機器學習的異常檢測、安全沙箱的威脅分析、實時針對性攻擊分析、離線攻擊聚合分析、自動化編排研判等手段，提供統一風險管理、統一事件展現和系統防禦處置，幫助安全保障人員快速便捷的執行安全保障運營工做。

在數據時代，大量的活動被搬運到線上，網絡安全的重要性也隨之加強。好比京東智聯雲所面對的11.11 大促場景即是一個很典型的例子，以 多雲化、系統化、標準化的安全手段保障活動的正常進行 ，這大概是每一個互聯網安全從業者最初的夢想。幸運的是，隨着京東智聯雲安全產品的不斷推出，開發者有了更加方便快捷且安全的上雲手段，擺脫傳統冗雜的局面存在了現實可能。

公衆號後臺回覆關鍵詞 _「PPT201027」_ 獲取演講 PPT，點擊 【 閱讀原文 】 得到沙龍視頻回放連接。

推薦閱讀：

• 11.11備戰指南之DevOps篇
• 11.11備戰指南之PaaS篇
• 11.11備戰指南之安全篇

歡迎點擊【京東智聯雲】，瞭解開發者社區

更多精彩技術實踐與獨家乾貨解析

歡迎關注【京東智聯雲開發者】公衆號