在这场2022京麒网络安全大会，我看到了京东安全的新格局

2022年即将翻篇， 京东用一场2022京麒网络安全大会来告别这个寒冬
。在这一年中，全球数据泄露事件激增，网络攻击事件层出不穷，基于地缘政治的网络战争也愈发尖锐。随着网络空间和物理空间加速融合和互相映射，网络安全风险不断延申，这对我们的安全实力、企业安全防护提出了更高要求。

网络安全实力像载舟之水，各项业务和架构如水面之舟，水面平稳则行舟无虞。在大众的传统印象中，京东似乎只是一家电商公司，但作为一家日活数亿的电商平台拥有者，京东集团拥有不容小觑的网络安全实力。平台海量的访问量和订单量背后，可能隐匿着DDoS攻击、僵尸网络、恶意黑产、病毒、木马等安全威胁，每年两个电商大促节点都是安全团队攻坚作战的“战场”。

除了电商，京东集团的“王牌”——物流系统和供应链系统，也离不开网络安全的全力支撑。到了年末，京东集团要联合行业生态伙伴一起，为过去一年经历的”安全大考“做个总结，交流一下当下热点安全问题的攻防经验，同时展望一下新年的安全格局。

** 12月29日至30日，京东集团联合多家生态社区伙伴共同举办2022京麒网络安全大会** ，大会主题“ **
新格局、新理念、新安全**
”。作为年末安全圈的重磅会议，京麒网络安全大会邀请了来自京东、百度、华为、小米、腾讯、字节跳动、中能融合等企业安全高管和安全专家，奇安信、卫士通等安全行业龙头企业，信通院、清华大学、香港科技大学等学术派资深安全研究员，从产学研等不同视角共同探讨，在数字化转型和数字经济大发展的新格局、新理念下，网络安全能力如何突破和创新。[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-9qImiPIg-1691581347974)(https://image.3001.net/images/20221230/1672388830_63aea0de13f6c4ed4002d.png!small)]

** 安全无边界，安全已内化为京东的原生能力**

京麒网络安全大会持续举办的初衷是促进同业交流，提升网络安全水平，为用户提供值得信赖的安全产品技术和服务。所谓独行快，众行远。经过近几年的持续发力，京东集团联合生态合作伙伴一起共建安全体系，得到行业内的广泛认可。

** 中国信息通信研究院副院长魏亮**
在京麒网络安全大会上介绍，2021年，我国网络安全产业总体规模突破1900亿元，较2020年增长超过15%，平均增速高出全球约4.7%。过去一年，网络安全产业表现出的强大发展潜力，给行业带来了正向激励，新技术新场景驱动网络安全产品服务升级，技术理念持续向内外一体、智能协同、主动防御、全知预控等方向演进。

“ ** 安全无边界** ”在京东并不是一句空话，构筑安全基石，应用前沿技术、共享安全能力，京东安全无时无刻不在与行业一起提升。 **
京东集团副总裁、京东云事业群总裁高礼强**
介绍，京东集团拥有强劲的数字底座——京东云，安全能力则是保卫底座坚实的后盾。在京东云上运行着四张大网，第一张是面对全球消费者的超级消费互联网，保证亿万消费者24小时不间断的购物体验。第二张是面向全球供应商的产业互联网，连接京东平台和几十万商家的信息交换。第三张是50多万京东员工构成的内部办公网络。第四张是覆盖关键基础设施的工业互联网。这四张网在京东云上面临异常复杂的安全挑战，京东平台的千亿订单、大促节点的安全运转都依赖于这四张网，也正是这四张网的平稳运行，让大家看到了京东安全的过人实力。

安全已经内化为京东的原生能力，京东安全向集团的每项业务输送安全能力。近三年，医疗健康行业逐渐成为APT组织的频繁攻击目标，再加上医疗数字化程度加快，医疗数据在全生命周期各阶段面临着越来越多的安全风险和挑战。
** 京东集团副总裁、京东健康技术产品部总经理李欣** 在大会现场发布了《 ** 京东健康数据安全白皮书**
》，白皮书内包含京东健康的数据安全治理实践，这些实践来自亿万级规模的医疗数据交互和治理，实践出真知，京东健康期望能为健康医疗行业数据安全治理提供实践参考和借鉴。[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-AVt9kjen-1691581347975)(https://image.3001.net/images/20221230/1672388859_63aea0fb3cce20b7adc06.png!small)]

** 五要素打造** ** 京东零信任安全体系**

多机房、多行业、多场景、多资产、多基础设施，是京东集团业务的特点。作为一个体量庞杂的大集团，京东的信息安全工作颇具挑战。据 **
京东集团信息安全负责人耿志峰** 在大会介绍，京东有54万余名员工，业务线繁多复杂，上下游供应链商非常多，黑客紧盯，数据安全挑战大。

在这种情况下，耿志峰表示，京东信息安全探索具有自身供应链特色的治理模式，打造“ ** 京东零信任安全体系**
”，着眼于资产安全性，建立起涵盖资产数字化、资产身份化、多元化卡点、多元化策略中心和零信任驾驶舱等五个核心要素的零信任安全体系。

** 在安全技术大会上，京东集团信息安全部高级总监秦波** 也具体介绍了物流场景下 ** 京东的零信任实践经验**
。以往京东物流的资产存储在IDC、混合云等多种异构设施中，资产数据难以统一化管理。京东信息安全为物流业务打造了统一底座以适配更多资产，为资产颁发统一的身份标识，将所有资产接入零信任体系并进行后续安全运营。然后，京东信息安全根据资产关系梳理业务流程，在业务流程部署零信任卡点。例如在员工使用的PC设备中部署零信任客户端，在运单管理、人资、财务、支付等系统中部署应用卡点和账号卡点，对包含敏感数据或个人隐私数据的应用部署应用卡点，在访问敏感数据的环境中部署数据卡点。

接着，基于卡点采集的数据定义每个岗位可使用的功能和可访问的数据，基于业务场景制定访问控制模型。例如物流员工使用手持一体机可以访问业务系统，但使用个人设备时则无法访问。

最后，驾驶舱为不同业务场景提供差异化安全视图，帮助物流负责人和安全负责人合作进行有针对性的安全治理规划。

据介绍，这套零信任安全体系，经历了概念验证、落地实践、能力演进、能力成熟四个发展阶段，最终建立起完善的资产评估体系，掌握了所有资产安全的生命线。

** 攻防实战淬炼安全能力**

”安全并不只是安全（团队）的事，在实际安全业务中我们发现，要做好安全，超过一半的工作与基础设施本身的安全性有关，在业务的设计之初就要考虑安全因素。”耿志峰在大会提到，安全能力要融入业务设计中，安全并不是给业务添障碍，相反，安全会给业务带来更便捷的体验。

“今年在对抗黑灰产过程中发现，黑灰产开始通过渗透方式进行攻击，通过渗透上下游企业以达到影响整个供应链的目的。”耿志峰介绍称，对抗黑灰产是京东信息安全的主要工作之一，羊毛党、垃圾注册、垃圾消息、机器行为等黑灰产行为会影响业务正常运转，形成安全威胁。

黑灰产攻击背后意味着高昂的防御成本，是对企业安全防御系统性能和稳定性的严峻考验。如何快速识别风险、如何对攻击行为进行精准定位，如何实施风险防御和捕猎，是双方攻防之战的关键。

由于平台的特殊性，京东每日遭受不少网络攻击，京东安全团队开始“换位思考”，如何从根本上对黑产进行对抗和反制，所谓不知攻焉知防。围绕反制黑产的目标，京东安全摸索出了自身的黑产反制框架——JFC-
OPS，有效降低攻击流量。

安全的本质是对抗，京东安全在对抗中积累了很多攻防经验，这些经验既包括在真实案例中积累的反制经验，也包括京东内部的红蓝对抗经验。耿志峰提到京东内部红蓝对抗的一个经典案例：攻击方对防守方发起一个带有破绽的钓鱼攻击，防守方发现后便进行反制，但防守方反制时中了攻击方故意埋下的陷阱，反而留下了自己的关键信息，让攻击方拿到了更多权限取得了胜利。

在此次大会上，京东计划把无数次实战中总结的红蓝对抗经验对外分享， ** 京麒网络安全大会安全训练营**
首次推出《大型企业红蓝对抗演练培训》。课程集合了一线互联网公司多个资深安全专家在蓝军体系化建设、攻防实战方面的思考和智慧，课程涉及溯源与反溯源、社工钓鱼实战攻防、免杀对抗、UAC绕过技巧、内网横向移动等多种类实战干货。

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-XaBuDiTd-1691581347975)(https://image.3001.net/images/20221230/1672388903_63aea12763ccabcf438a0.png!small)]安全训练营是历届京麒网络安全大会的特色之一，它召集业内顶尖技术专家，为安全从业者和组织提供沉浸式技术课程。

京麒网络安全大会的成功举办，不但意味着京东集团安全能力在业界得到认可，它还代表着京东集团在网络安全领域的影响力和技术领先者、分享者的形象。 **
时间的沉淀帮助京东安全筑起坚实的护城河** ，所谓行不由径，功不唐捐，做安全没有捷径，京东安全的每一份努力都通向安全的未来。

沉淀帮助京东安全筑起坚实的护城河**** ，所谓行不由径，功不唐捐，做安全没有捷径，京东安全的每一份努力都通向安全的未来。

网络安全学习路线

这是一份网络安全从零基础到进阶的学习路线大纲全览，小伙伴们记得点个收藏！

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-GX6MTGCd-1691581347976)(data:image/gif;base64,R0lGODlhAQABAPABAP///wAAACH5BAEKAAAALAAAAAABAAEAAAICRAEAOw==)]编辑

阶段一：基础入门

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-M4Wtsphm-1691581347976)(data:image/gif;base64,R0lGODlhAQABAPABAP///wAAACH5BAEKAAAALAAAAAABAAEAAAICRAEAOw==)]

网络安全导论

渗透测试基础

网络基础

操作系统基础

Web安全基础

数据库基础

编程基础

CTF基础

该阶段学完即可年薪15w+

阶段二：技术进阶（到了这一步你才算入门）

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-Toa8IXdG-1691581347976)(data:image/gif;base64,R0lGODlhAQABAPABAP///wAAACH5BAEKAAAALAAAAAABAAEAAAICRAEAOw==)]

弱口令与口令爆破

XSS漏洞

CSRF漏洞

SSRF漏洞

XXE漏洞

SQL注入

任意文件操作漏洞

业务逻辑漏洞

该阶段学完年薪25w+

阶段三：高阶提升

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-kfJUWF3L-1691581347977)(data:image/gif;base64,R0lGODlhAQABAPABAP///wAAACH5BAEKAAAALAAAAAABAAEAAAICRAEAOw==)]

反序列化漏洞

RCE

综合靶场实操项目

内网渗透

流量分析

日志分析

恶意代码分析

应急响应

实战训练

该阶段学完即可年薪30w+

阶段四：蓝队课程

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-F6TA82Am-1691581347977)(data:image/gif;base64,R0lGODlhAQABAPABAP///wAAACH5BAEKAAAALAAAAAABAAEAAAICRAEAOw==)]

蓝队基础

蓝队进阶

该部分主攻蓝队的防御，即更容易被大家理解的网络安全工程师。

攻防兼备，年薪收入可以达到40w+

阶段五：面试指南&阶段六：升级内容

需要上述路线图对应的网络安全配套视频、源码以及更多网络安全相关书籍&面试题等内容

如果你对网络安全入门感兴趣，那么你需要的话可以点击这里👉网络安全重磅福利：入门&进阶全套282G学习资源包免费分享！

同学们可以扫描下方二维码获取哦！