非常高興有機會和大家一起分享我們京東金融在安全上的一些實踐和探索。我是來自京東金融安全團隊的劉明浩，目前主要負責京東金融整體安全的管理，包括安全流程的搭建，安全漏洞的響應，以及發(fā)現(xiàn)和挖掘，以及安全合規(guī)情況的工作。

我今天所帶來的主題是京東金融宙斯的安全防御平臺。介紹的內(nèi)容主要有四個部分，***是業(yè)務安全層面的，探討目前所面臨的挑戰(zhàn)和現(xiàn)狀。第二是我們?nèi)绾伪ＷC業(yè)務安全運營。第三是為了保障業(yè)務的安全運營，我們搭建了一個安全防御的平臺，這個平臺在實際的運用當中是怎么運用的，通過安全事件處理過程的小例子讓大家了解我們這個平臺是如何工作的，起到什么樣的作用。第四是安全平臺后期的規(guī)劃，和方向的展望。

從目前而言我們從業(yè)務上面臨主要的安全挑戰(zhàn)來自于兩個方面。***個方面的風險是來自于由于外部的司庫注入、壞帳、CSRF等所導致的問題，或者是由于我們的程序本身的安全的問題。第二個層面是由于我們業(yè)務本身的特點，以及業(yè)務邏輯安全設計上的疏忽，導致了一些業(yè)務安全的風險。 所以我們目前面臨的威脅和挑戰(zhàn)不僅僅是之前所了解到的這些，更多的是由于我們的業(yè)務場景所帶來的安全風險。

保證業(yè)務的安全運營

基于前面我們所面臨的風險和挑戰(zhàn)，京東金融自己搭建了一套宙斯的安全防御平臺。在建立宙斯防御平臺的初始階段，首先給我們這個平臺做了一個目標和定位，首先要關注到整體的安全風險問題的解決，包括我們前面所談到的業(yè)務安全和技術安全的檢測和防御。第二我們深入到所有重要的業(yè)務平臺當中的重要的業(yè)務場景，去解決在注冊、登錄，以及業(yè)務活動、業(yè)務流程重要的業(yè)務場景里面遇到的安全風險。第三我們要解決基本的外部防護的問題，比如我們對CSI或者目錄的便利，司庫注入這樣一些外部的檢測。第四是我們希望這是一套全業(yè)務流量的日志的存儲以及實時查詢的平臺，我們可以在全業(yè)務流量當中查詢某一個用戶，某一個IP，在這一段時間內(nèi)對我們所有線上業(yè)務的訪問，以及現(xiàn)在異常操作的行為。***一點，我們希望它更多的是從數(shù)據(jù)流的角度對我們業(yè)務上用戶異常的行為進行識別和分析，不嵌入我們業(yè)務的核心邏輯、不降低系統(tǒng)的效率，可以處理線上的像大促類似流量的數(shù)據(jù)。以上就是我們對這個平臺的定義和目標。

經(jīng)過不斷地開發(fā)和完善，我們實現(xiàn)了以下功能。

***是行為的安全檢測，我們的行為安全檢測主要是基于兩個層面，***個層面我們會建立一個異常用戶行為分析的模型，對用戶的異常操作或者是異常行為進行判斷和分析。第二我們對每個正常的用戶建立一個正常行為的數(shù)據(jù)模型體系，來掌握這個用戶正常登錄的情況，以此來判斷用戶的一些行為。第二個功能是Web安全檢測的功能，也是在我們的全流量的基礎上搭建一個SQL的平臺，通過SQL去檢測包括XSS、CSRF等安全問題。第三個模塊就是主機的安全檢測的平臺，我們把它定位成一個HIDS的功能，包括對文件完整性的檢查，還有惡意文件的檢查，以及主機流量的檢查等等。***是漏洞掃描平臺，我們是基于WCIF搭建了一個漏洞掃描平臺，包括了對突發(fā)事件以及日常的安全巡檢的工作。完成以上這幾個模塊以后，我們又對整個系統(tǒng)做了進一步的整合和優(yōu)化。

整個平臺各模塊功能大概的介紹

行為安全檢測平臺主要有四塊功能組成，***塊功能是流量的收集，第二是流量的分析，第三是數(shù)據(jù)的存儲，第四是快速響應。首先流量的收集會將線上全流量的訪問請求進行重組和收集，我們再把重組后的HTTP打到Redis核心消息隊列當中，再通過Redis，Storm分析的集群，再到Redis額取相關的訪問日志，通過對用戶異常行為的分析模型，對用戶的行為進行分析和判斷。同時存儲到Elasticsearch中，再通過Kibana進行查詢和展示。

第二塊是Web安全檢測的平臺。Web安全檢測平臺也是在全流程的基礎上，搭建一個Suricate的，對Web安全的威脅進行檢測，包括XSS、SQL、CSRF等等相關的風險。

第三塊的功能是主機的安全檢測的平臺。我們主機安全檢測平臺是通過agen的方式布到每臺服務器上，實現(xiàn)服務器的文件完整性和惡意代碼掃描，和登錄行為監(jiān)控、建成監(jiān)控，以及主機流量監(jiān)控等等。

***一個平臺是基于W3AF搭建的一個漏洞掃描的平臺，它是一個主動流動畫像的平臺，我們會用它進行一個突發(fā)應對和日常安全漏洞巡檢的工作。

[[164812]]

***是這個平臺的規(guī)劃，首先是隱私保護，我們后期將會集成一些DLP的功能在宙斯平臺之上，比如我們對個人隱私的信息會更加的關注，防止個人隱私信息泄漏，這是我們需要完善的功能，目前也是在進行當中。第二個功能是用戶畫像，我們現(xiàn)在應該是從兩個維度，從用戶安全畫像和設備畫像兩個維度做一些用戶畫像的工作，后面我們會增加征信畫像和人力畫像，把我們一些用戶行為判斷的精準度再次提高。之后是威脅情報，我們現(xiàn)在也在跟一些其他的威脅情報提供商合作，包括一些第三方的威脅情報做一些接口給到我們，我們?nèi)ヅ袛喱F(xiàn)在業(yè)務日常的行為，給到一個預判。通過整體的威脅情報，包括安全事件的監(jiān)控，還有掃描等等，我們會加深整個安全態(tài)勢感知的功能，把這塊功能給到業(yè)務，為后面功能的實現(xiàn)做一個安全態(tài)勢的預判。

***說一下我們的規(guī)劃，我們目前還是以漏洞為中心的防御思路，在逐漸向以威脅為中心的思路進行轉(zhuǎn)化的過程?，F(xiàn)在我們處在大數(shù)據(jù)的時代當中，最終我們還是要通過數(shù)據(jù)挖掘，來驅(qū)動業(yè)務安全的目標。