京东“安全决策蜂窝模型”.pdf

京东“安全决策蜂窝模型” 李 学 庆 京东安全第一人 岗位： 1、京东安全测试中心负责人、 2、京东安全响应中心负责人 各种模式网站的爆发 悄然而至的安全威胁 不同角色的态度 Why ？ 偏离公司发展方向~ 盲目修复漏洞~~~ 公司牌子砸了~~ 未跟紧安全浪潮~ 算不清漏洞的价值~ 业务风险不能指导工作 安全决策蜂窝模型 趋势 价值 影响 战略 形象 特征 业务 安全决策蜂窝模型 - 战略 战 略  本年度战略方向为参考  战略角度中可能存在的风险  提前准备人力资源投入研究 安全决策蜂窝模型 - 战略 京东战略  移动业务 移动部门  金融业务 金融集团  智能家具 智能云  投资并购 微信手Q 安全决策蜂窝模型 - 战略 Do ：  2个专业人才研究app安全，每周汇报新研究成果  金融基础业务加入安全评估监控，建立快捷响应通道  移动业务 移动部门  移动安全人才  云平台作为试点漏洞方案推行部门  金融业务 金融集团  接口人、金融业务安全  智能家具 智能云  云安全研究  手Q业务融合到京东安全所有流程中，每周汇报结果  投资并购 微信手Q  安全融合京东主干机制 安全决策蜂窝模型 - 趋势 趋 势  了解本年度安全技术趋势  分析与公司业务关联性  安全风险的提前预防 安全决策蜂窝模型 - 趋势 安全趋势  移动安全 分析移动风险类型  信息泄漏 泄漏用户隐私位置  智能家具 智能云风险分析 安全决策蜂窝模型 – 趋势 Do ：  移动安全  拒绝服务、代码执行、明文存储、水平权限…  隐私泄露  订单泄漏、用户信息、购买记录、未授权…  智能家具  逻辑漏洞、无线加密、数据验证、远程唤醒… 专业人才引入 案例收集消化 安全手册编写 安全决策蜂窝模型 – 影响 影 响  分析漏洞所处业务位置级别  分析漏洞影响范围  确定后续需要关注的安全问题 安全决策蜂窝模型 – 影响 影 响 分析  是否影响核心业务正常运营  是否属于外部渠道接报  判定为高风险漏洞及时进行处理 菊花台-漏洞分析平台 安全决策蜂窝模型 – 特征 特 征