京东“安全决策蜂窝模型”
ID:Himan
京东安全第一人
Weibo:
李学庆
岗位: 1、京东安全测试中心负责人、 2、京东安全响应中心负责人
各种模式网站的爆发
悄然而至的安全威胁
不同角色的态度
偏离公司发展方向~Why?
盲目修复漏洞~~~
公司牌子砸了~~
未跟紧安全浪潮~
算不清漏洞的价值~
业务风险不能指导工作
安全决策蜂窝模型
价值
形象
趋势
战略
业务
影响
特征
安全决策蜂窝模型 - 战略
本年度战略方向为参考
战略角度中可能存在的风险
提前准备人力资源投入研究
战略
安全决策蜂窝模型 - 战略
移动业务 --- 移动部门
金融业务 --- 金融集团
智能家具 --- 智能云
投资并购 --- 微信手Q
京东战略
安全决策蜂窝模型 - 战略
移动业务 --- 移动部门 移动安全人才
金融业务 --- 金融集团 接口人、金融业务安全
智能家具 --- 智能云 云安全研究
投资并购 --- 微信手Q 安全融合京东主干机制
Do: 2个专业人才研究app安全,每周汇报新研究成果
金融基础业务加入安全评估监控,建立快捷响应通道
云平台作为试点漏洞方案推行部门
手Q业务融合到京东安全所有流程中,每周汇报结果
安全决策蜂窝模型 - 趋势
了解本年度安全技术趋势
分析与公司业务关联性
安全风险的提前预防
趋势
安全决策蜂窝模型 - 趋势
移动安全 --- 分析移动风险类型
信息泄漏 --- 泄漏用户隐私位置
智能家具 --- 智能云风险分析
安全趋势
安全决策蜂窝模型 – 趋势
移动安全 拒绝服务、代码执行、明文存储、水平权限…
隐私泄露 订单泄漏、用户信息、购买记录、未授权…
智能家具 逻辑漏洞、无线加密、数据验证、远程唤醒…
专业人才引入 案例收集消化 安全手册编写
Do:
安全决策蜂窝模型 – 影响
分析漏洞所处业务位置级别
分析漏洞影响范围
确定后续需要关注的安全问题
影响
安全决策蜂窝模型 – 影响
是否影响核心业务正常运营
是否属于外部渠道接报
判定为高风险漏洞及时进行处理
影响分析
菊花台-漏洞分析平台
安全决策蜂窝模型 – 特征
分析漏洞是否为重发漏洞
分析漏洞是否为频发漏洞
分析漏洞是否为重点漏洞
分析漏洞是否为典型漏洞
特征
日报
外部风险应急响应机制
典型漏洞
重点漏洞
不同类型漏洞进行监控
安全决策蜂窝模型 – 业务
通过业务分级确定一级系统
业务启用进行实时监控
新业务进行安全流程控制
专职专守安全官职责
业务
独立项目把控
按照业务划分所有部门
运维部
运营研发部
拍拍网
深圳产品研发部
商城研发部
数字营销业务部
云平台(成都研究院云业务、南京研究院云业务)
无线业务部(成都研究院移动业务、上海无线移动业务、南京无线移动业务)
职能研发部
数据部
EPT业务部
成都研究院(各部门业务开发支持)
业务负责人每周日报汇报
Mail
V P
部门总监
业务接口人
漏洞修复人员
业务负责人分析业务线安全情况
安全决策蜂窝模型 – 形象
对外媒的风险应急控制
外部接报漏洞的风险控制
对于漏洞处理的合理化
对外部白帽子的统一回复
形象
安全决策蜂窝模型 – 形象
外媒监控
外部风险应急响应机制
安全决策蜂窝模型 – 价值
不可见的漏洞进行量化
统计回收漏洞价值
通过来源价值分析工作重点
价值
漏洞详细分析
年度漏洞价值分析
安全决策蜂窝模型
价值
形象
趋势
战略
业务
影响
特征
