导读

本白皮书旨在通过京东零信任安全的实践经验,为数字化企业构建企业安全能力提供参考,帮助降低安全部署成本,提升数据安全治理效果,落实国家安全法律法规中企业在安全方面所履行的相关义务。

前言

随着信息技术与产业数字化变革的不断演进,数据作为重要的生产要素,也受到了政策和行业层面的高度重视。

2023年2月,京东集团联合Gartner公司发布《京东零信任安全建设实践白皮书》(以下简称白皮书),结合业界先进零信任安全理念,及京东在零售、物流、金融、健康等业务场景下的安全实践,全面解析了京东零信任安全建设的理念和成果,为信息安全产业发展提供思路与借鉴。

安全理念升级

“十四五规划”提出,加快数字化发展,将数字化转型上升到战略高度。《数据安全法》、《网络安全法》与《个人信息保护法》的发布,也逐渐构建了我国信息安全法治化发展的基本体系。

作为以供应链为基础的新型实体企业,京东持续以数智化社会供应链为依托,发挥自身在资源、运营、技术等方面的独特优势, 并以数据资源为关键生产要素,完善业务发展,发挥“以实助实”的社会和产业效用。

京东集团信息安全负责人表示,随着供应链安全风险不断上升、攻防对抗的不断升级,如何消除安全盲点,提升整体安全能力,是提升产业链安全水位的重要挑战。传统安全的“边界防护”思路,无法应对如今复杂的安全问题,因此零信任战略就成了如今更好的选择。

在此背景下,汇聚了京东特色的数字化业务安全实践的《白皮书》应运而生。《白皮书》全面介绍了在传统零信任三要素即“身份”、“安全卡点”、“持续访问控制”基础上,京东如何结合自身实践,并扩充了“资产数字化”、“零信任驾驶舱”两个全新维度,构建了具有京东和行业特色的五要素零信任安全体系。

京东集团信息安全负责人说道:“脱离业务谈安全,脱离安全谈技术都不可取,促进业务发展才是好安全”。为了促进、保障业务发展,组织必须更加清晰掌握自身安全水位,补齐安全短板,发现安全盲点,确保自身数据和系统的安全。

京东五要素零信任体系

据介绍,该体系的核心包含以下五大方面。

一、京东零信任的资产数字化:

全面的资产数字化,是实现零信任的必要条件。传统的资产盘点方式,是基于企业现有的资产系统上报的数据,不足以覆盖企业的全部资产,容易产生资产盲区,京东在实践探索过程中,通过建立一套先进的未知资产探测体系,主动发现未知资产,消除资产盲点。

二、京东零信任的资产身份化:

在传统资产身份化基础上进行了扩展,在账号、设备、应用身份的基础上,为数据赋予了身份,赋予全域资产唯一的身份标识。在此基础上,对敏感资产进行分类分级和属性画像,为京东零信任体系的精细化权限管控提供了基础。

三、多元化的零信任安全卡点:

传统的零信任卡点大多数是在七层网关上进行的,卡点的单一导致面对恶意请求,无法进行精准、有效的安全防御。京东零信任卡点,分布在整个请求链路中不同位置上的,能够解决基础设施不统一造成的卡点难问题,同时卡点离被保护的对象越近,资产受到的攻击面越小,使资产更加安全。

四、京东零信任策略中心:

为了应对京东高度复杂的业务场景,京东零信任通过多元化的零信任策略中心来实现动态持续鉴权,支持ABAC\\RBAC\\PBAC\\OBAC\\TBAC等5种访问控制模型,使得安全运营效率更高,风险识别更加精准、快速、全面。

五、京东零信任驾驶舱:

企业在安全治理过程中,因为缺少衡量安全水位的工具,所以很难量化评估安全建设的收益与价值。京东结合业界各种安全治理框架与方法论,打造了零信任驾驶舱,包括资产风险量化模型与安全投资ROI评估体系,帮助企业规划安全建设路径,协助CXO们进行安全建设评估与决策。

作为京东对零信任安全落地的一次业务探索,《白皮书》将为行业提供一次可行的零信任落地实践经验,同时为护航京东数智化社会供应链建设,服务实体经济高质量发展贡献安全技术力量。

《京东零信任安全建设实践白皮书》下载

https://www.gartner.com/teamsiteanalytics/servePDF?g=/imagesrv/media-products/pdf/JD.COM/JD.COM-1-2BS633CS-CHS.pdf

声明:本文来自京东技术,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。