京东数据安全的审计和防护

京东数据安全的审计与治理 演讲人姓名：麦田 演讲人职务：集团安全部-内部数据安全运营负责人 目录 1全面数字化的京东业务 2当前数据安全态势 3基于DCAP的权限管理产品 4权限的治理运营 全面数字化的京东业务 4亿 活跃用户 千万+电商服务日下单量 千万+物流服务日运单量 计算 2000+ 数据系统 千万+金融服务日成交额量 共享 300+PB 数据内部 存储 100万+ 数据表 目录 1全面数字化的京东业务 2当前数据安全态势 3基于DCAP的权限管理产品 4权限的治理运营 外部形势严峻：泄露频发、影响增大 消费者的影响-徐玉玉事件 企业的影响-FaceBook事件 《2020年数据泄露成本报告》 导致消费者人身伤害，引起巨大社会舆论 导致其公司的股价一度 暴跌25% 数据泄露事件的平均成本 骤升10% 自2014年以来，数据泄露的事件成本呈直线上升趋势 国家行业监管：日趋严格 个人信息保护监管商业秘密监管 刑法 网安法 工信部相关规定 两高司法解释等 个人 隐私 邮政总局相关规定 个人信息 保护法 数据安全法 两高司法解释等 刑法 反不正当竞 争法 商业 秘密 社会劳动保障部规定 工商总局相关规定 合同法 行政处罚（且处罚公示） 民事赔偿（最高5000万或营收额5%） PR风险 刑事责任（公司+高管（最高7年的刑罚）） 业务停摆 行政处罚（且处罚公示） 民事赔偿 PR风险 刑事责任（公司+高管） 数据权限风险-权限过大 工作需要 工作不需要 能访问的人太多 电话销售岗 售后维修岗 只要申请就通过 IT工程师岗 订单 *单 售后单 …… 离职 仍可访问 异动 授予太多 的权限 权限没 太多回收 华东单 西南单 西北单 华北单 能访问的数太多 数据权限风险-权限滥用 内部人员主动作恶 主动泄露的数据来源 精准查询 指利用手机号得到用户住址、行程、健康等更多私密隐私信息；如首都机场围堵*美美事件 批量转发 指系统有数据打包下载功能； DB数据库导出 个人邮箱发送 私家侦探保险公司金融诈骗国家间谍民间借贷狂热粉丝 。。。 PC机上传到网盘 手机拍照泄露 目录 1全面数字化的京东业务 2当前数据安全态势 3基于DCAP的权限管理产品 4权限的治理运营 DCAP的权限管理体系-管控思路 权限风险汇总DCAP权限管理产品矩阵解决问题思路解决问题实现的预期 敏感数据 目标 卡 口 监 控 保 护 加固 权限漏洞 数据基座 权限风控 权限管控 数据全知 不该访问的人多了 权限过大 找到重点保护对象 可访问的数据种类多了 不该访问的数据多了 统一鉴权访问 权限最小够用 离职异动依然有权限 高危操作监控 数据全面审计 最少的人(员)能访问 仅访问最少的数(据) 批量下载有监 最小 够用的权限 权 批量转发泄露 限 精准查询泄露 各种渠道导出数据 滥用 数据全周期保护 数据可用不可出 发现与整改权限漏洞 控数据带不走 精准查询全感知恶意查不了 权限 极少被滥用 *5大产品解决2类问题 数据全知（分类分级与血缘） 离线/在线库 业务系统 数据采集 数据目录 智能绘制 业务系统 自动识别 技术亮点 •数据自动识别：定位隐私数据在哪， 快速找到您关心的数据。 •数据全链智能绘制：数据关系构建， 可视化记录数据处理活动。 数据主体 数据关联 数据流图分类分级 •数据分类分级：自动和手动数据定级，高效进行数据资产梳理。 数据统计 权限管控（权限收敛） 业务系统 IAM系统 按需管理 动态感知 技术亮点 •权限规则自动学习、自动 改进、业务按需调整。 •权限收敛： •在线系统 权限收敛 权限规则鉴权行为 智能调整 权限预测 •决策辅助 •自动联动 权限漏洞（漏洞管理） •高危操作接口 •未脱敏接口 •未鉴权接口 •水平越权漏洞接口 •垂直权限漏洞接口 •…… 业务系统 扫描流量 扫描黑盒 应用漏洞列表 技术亮点 •业务零打扰：不需要变更业务架构、不 需要修改业务代码、不需要安装AGENT •漏洞智能检测：未脱敏接口、未鉴权接口、未打点日志接口、高危操作接口、水平或垂直权限漏洞接口等 •无缝接入SDL：与安全开发流程对接， 推动研发整改 •自动化验证：漏洞已修复接口自动验证 SDL安全开发生命周期 权限风控（日志分析） 鉴权日志 账号+内容解析 业务系统IAM系统 流量 人资数据 安全环境 数据全知 智能分析 风控模型 访问行为 业务系统 应用日志 技术亮点 •流量分析技术： •内容分析技术： •用户和实体行为分析(UEBA) 高危操作 人员行为审计数据泄露溯源 数据基座（生命周期基础防护） 业务系统 数据存储 数据传输 数据使用 数据共享 技术亮点 •数据生命周期管控：从数据存储、传输、使用、共享进行全生命周期管控 •可信环境管控：数据存储加密、展 示脱敏 •终端计算安全：数据可进不可出、数字水印溯源 目录 1全面数字化的京东业务 2当前数据安全态势 3基于DCAP的权限管理产品 4权限的治理运营 系统接入 数据集中 运营 人群分类 治理 收敛不掉 则监控 权限治理推进思路 4个改造 负责数据汇总 和圈定范围 7个改 造负责降低数 据泄露风险 维作恶案件溯源/ 警示 接入IAM 汇总管控权限数据 •权限接入各BGBU的IAM平台， IAM平台数据同步到集团 部署调用链探针 资源码打标、打通人-应用-数据直接的关系、反哺资产数据 •与发布平台绑定 管控范围的确定 数据定级 •自动+人工确定敏感的范围 接入日志 人员行为监控 •应用安全日志规范化汇总到集团 权限规则 安全规则 基础安全设施 基线能力 少人权限规则 删掉不该有的权限 数据存储加密 注入/拖库/内部非法获取 前端展示脱敏 增强能力 少数权限规则 只访问本域该访问的数据 终端沙箱软件 能访问无 法外发 配置文件加密明暗水印 京东内部全面推进的11个改造项 •根据TOP排行榜确定范围 •识别访问数据库的产品 确定保护的产品 开始 防止精准 查询案件 黑客/IT运 DCAP权限管控产品与运营之间的关系 治理流程 识别 分母 白名单规则内梳理 资源 码打 标 治理落地 DCAP-权限管理中心 几万部门岗位 4*万员工 1.*万个系统 岗位规则梳理 确定大面的原则，减少人肉工作量 角色 敏感资源码 （菜单名称） IAM 确定这个人该不该访问这个敏感资源码，回收风险 权限收敛任务 发现IAM平台不合理的配置问题，做到有效回收 权限漏洞发现 岗位 人员 数据库中的 敏感字段 确定关注重点，确定人群分母 权限规则 敏感资源码打标 集团产品 运营 工作 各 IAM 平台 功能 解决什么问题示例 黑名单规则内梳理 对策 怎么做 一年一度的权限盘点需要覆盖 研究策略尽量找到可回收的点 对策 怎么做 行为监控+数据切片 把敏感的应用纳入日志监控系统、IAM增加数据切片能力，全员覆盖 对策 怎么做 控制新增 制订敏感申请的流程，让权限规则参与到申请流程中 权限运营的人群策略 有敏感；业 务认为不需 要收敛 有敏感；经 过收敛依然 有 有敏感；被 全部收敛掉 权限 无敏感 对策 怎么做 尽量增加这类收敛 让BGBU常态化的运营 20 人的行为能监控哪些 统一的应用日志采集 全量的统一规则监控 规则 警示 冻结 调查 日访问量大于中位值跨地域访问 不合理的时间不合理的地点不合理的SQL 。。。 发邮件告警，无差别震慑，作案与告警时间差做到的分钟级 第一直接冻结权限，及时止损，需要在系统报备才能走解冻流程 调查部共享信息，接到不合理告警第一时间启动调查 21 谢谢您的时间！ 微信：76159087 欢迎交流！