京东零信任安全建设实践白皮书 实现京东供应链生态安全防护核心五要素 第1期 2 26 33 京东零信任安全建设实践白皮书 Gartner 的研究： 7个有效的零信任实施步骤网络访问 关于京东2 京东零信任安全建设实践白皮书 实现京东供应链生态安全防护核心五要素 前言 数字经济是继农业经济、 工业经济之上诞生的新兴 经济模式， 2021 年我国发布 “十四五规划” 加快数 字化发展， 强调了数字化转型的战略高度， 企业数字 化转型政策集中出台并在各产业取得显著效果。 京 东集团通过聚合商品供应链、 服务供应链、 物流供 应链和数智供应链形成 “数智化社会供应链” 效应, 以数据资源为关键生产要素， 驱动数智化社会供应链 业务， 推动赋能实体经济， 创造更大的社会价值。 京东集团在数字化演进的过程中秉承敏捷、 高效的 原则， 逐步从 “边界防护” 的网络安全防护理念转向 基于零信任治理架构， 在保护供应链各类资产安全 的基础上， 安全能力不仅主动与大数据、 人工智能、 区块链、 云计算等新兴技术深度融合， 更能按照发 展的需求精准投入， 及时有效地应对多变的全球环 境与市场需求。 企业为应对面临的数据安全和隐私 保护挑战， 在业务打造一套健全的安全防护体系过 程中通常会遇到 安全风险在哪里、 安全风险如何治 理、 治理效果如何评估、 安全建设优先级 如何建立 四大难题。 京东零信任框架能够有效应对企业数字化转型过程 中的安全难题。 为了帮助用户深入了解零信任技术在 京东的发展与应用场景， 帮助组织和企业更好地构 建基于零信任的安全防护体系， 京东对企业数字化、 零信任模型、 安全框架等实现技术进行了分析研究， 撰写本白皮书， 旨在通过京东零信任安全的实践经 验， 为数字化企业构建企业安全能力提供参考 ， 帮助降低安全部署成本， 提升数据安全治理效果， 落实 国家安全法律法规中企业在安全方面需履行的相关 义务。 本白皮书由京东集团撰写， 特别感谢业界专家们对编 制工作提供的指导与支持。 由于撰写时间有限， 本白 皮书内容难免存在疏漏， 不足之处恳请各位专家、 同 仁批评指正。 白皮书编制组 特别鸣谢 （按姓氏拼音排序） ： 陈志杰、 邓二平、 丁丽萍、 弓峰敏、 何艺、 killer 、 kkqq 、lake2 、陆 宝 华 、 Lenx Wei 、聂 君 、 TK、Tony Lee、谭 晓 生 、王 伟 alter7 、吴 云 坤 、叶 晓 虎 、周 群 专家顾问： 何成锋、 耿志峰、 李欣、 陶大程、 郑瑜、 刘明浩、 熊壮、 宋留坡、 冯娜、 何淇丹、 尹承、 沈华林、 田欣、 陈玉杰、 高春燕、 段阳阳 参编人员： 秦波、 姚兴、 赵波、 徐看、 李然、 王红飞、 张靖雯、 蒋学、 刘宇、 罗达、 李龙、 张寒晖、 王崇茗、 杜凡、 鲁 一 锋 、杜 航 、杨 鹏 版权声明 本白皮书版权属京东集团所有， 并受法律保护。 任何 转载、 编撰或其他方式使用本白皮书文字或观点， 应 注明 “来源 《京东零信任安全建设实践白皮书》 ” 。 违反上述声明者， 将追究其相关法律责任。3 目录 前言 2 第一章 企业安全建设的必要性 4 第二章 企业数字化安全能力建设的挑战 5 第三章 京东特色的数字化业务安全实践 —— 京东零信任 6 第四章 零信任全链路动态持续鉴权 7 4.1 全域资产数字化是一切安全的基石 7 4.1.1 已知资产自动管理 7 4.1.2 未知资产智能识别 7 4.2 全域资产身份化是零信任的基石 8 4.2.1 全类型资产身份管理 9 4.2.2 身份的安全性 10 4.3 多元化零信任卡点是资产的贴身卫士 10 4.3.1. 账号卡点 10 4.3.2 终端设备卡点 11 4.3.3 网关卡点 13 4.3.4 应用卡点 13 4.3.5 服务器设备卡点 14 4.3.6 数据卡点 14 4.4 多元化的策略中心是零信任的大脑 15 4.4.1 构建行为安全基线， 支撑访问控制模型 15 4.4.2 基于访问控制模型， 实现动态持续认证与响应 15 4.4.3 联动安全卡点能力， 实现安全联防联控 16 第五章 资产数字化的零信任驾驶舱 16 5.1 京东安全风险数字量化与风险治理的决策依据 17 5.2 零信任驾驶舱构建 ROI评 估 体 系，是 安 全 投 资 决 策 依 据 18 第六章 京东集团特色零信任实践 18 6.1 电商行业业务安全落地实践 19 6.2 金融行业安全落地实践 20 6.3 物流行业数据安全落地实践 22 6.4 健康行业数据安全落地实践 23 6.5 供应链生态数据安全落地实践 24 第七章 展望 24 参考文献 254 第一章 企业安全建设的必要性 国家层面积极推动信息安全法律法规出台。 数字经 济蓬勃发展， 数据成为信息生产要素， 我国数据安 全领域的法律 《数据安全法》 于 2021 年9月正式施 行 ， 与 《网络安全法》 、 《个 人信息保护法》 等一起构 建了信息安全法治化发展的基本体系。 近 5年来部 委、 地方省市以及各行业监管部门关于信息安全已 至少颁布 50部相关法律法规， 信息安全外延的不断 扩展， 监管机制的不断完善， 企业违规使用用户数据 的治理力度也在不断加强。 根据工信部网站统计 ， 截 止目前工信部总共通报 26批次， 共计通报了 2300 余 款APP ，下 架 了 500 余款APP 。 消费者自身的数据合 规意识不断提升， 安全合规已经成为影响用户品牌 认知的核心要素。 规模化 “黑灰产” 威胁企业安全。 随着安全领域技 术体系的不断升级和健全， 来自 “黑灰产” 的攻击呈 现了体系化的演进趋势， 攻击对象不仅包括企业核心 数据， 更有互联网服务平台的用户福利、 活动优惠等 活动， 各 “黑灰产” 攻击方经常联合起来进行多点精 准 打 击 实 现“ 0元 购 ”。相 比“ 黑 灰 产 ”规 模 化 的 联 合 攻击， 企业防守方依旧处于相对孤立、 不成体系的弱 势地位， 从基础设施到业务应用不同环节暴露出防 护疏漏， 内部数据安全管理与外部攻击防御尚未联 动 ，给 予“ 黑 灰 产 ”可 乘 之 机 。 数据安全事件频发为企业带来经济损失。 根据 Verizon 数据泄漏调查报告显示， 2018 年全球数据 泄漏事件为 2216 起，2019 年为2013 起，2020 年 为3950 起，2021 年为5258 起，2022 年为5212 起，82% 的数据泄漏违规行为涉及人为因素。 根据 IBM 安全7月发布的新版 《 2022 年数据泄漏成本报 告 》， 2022 年数据泄漏成本达到历史新高， 平均为 435 万美元， 该数字相比去年增加了 2.6% ，2021 年 数据泄漏成本为 424 万 美 元 。而 相 比 2020 年的386 万美元， 2022 年的数据泄漏成本增长了 12.7% 。 京东集团以 “数智化社会供应链” 践行企业数字 化,主动应对安全趋势变化自我迭代升级， 践行 保护用户数据安全的使命。 京东数智化社会供应 链包含了商品供应链、 服务供应链、 物流供应链和 数智供应链1四个部分。 目前， 京东已经形成了以 数智化社会供应链为核心的技术体系， 搭建数智 化开放平台， 持续优化垂直行业供应链的成本、 效 率与体验， 实现从消费端到产业端价值链各环节 的整体优化与重构， 有效调动各价值链环节的社 会 化 资 源 ，提 升 敏 捷 响 应 与 匹 配 效 率 。京 东 高 度 重 视 用 户 信 任 ，在 与 消 费 者 、云 租 户 、商 家 、供 应 链等众多参与方共同开展全球化业务的同时， 根 据商业数据安全、 用户隐私保护、 数据安全监管合 规等诉求， 预测未来黑灰产愈发规模化以及国家 监管愈发严格的态势， 深刻意识到传统的安全防 护方案不能帮助企业应对未来的安全挑战。 因此 京东安全主动拥抱安全形势变化， 不断迭代数据 安全与隐私保护的顶层设计 ， 主动提升安全防护 方 案 ，致 力 构 建 值 得 用 户 信 赖 的 企 业 ，踔 厉 践 行 成 为业务发展最值得信赖的信息安全服务者的使命 愿景。 1 数智化供应链 ：以数据资源为关键生产要素驱动数智化社会供应链业务， 以人工智能、 物联网、 区块链、 先进计算等技术为基础， 以 零售、 物流、 金融、 健康、 城市等全场景为驱动， 连接和优化社会生产、 流通和服务的各个环节， 打造数智化社会供应链， 实现社会数字 化转型。5 第二章 企业数字化安全能力建设的挑战 企业为应对面临的数据安全和隐私保护挑战， 打造 一套健全的安全防护体系过程中通常会遇到 安全 风 险 在 哪 里 、安 全 风 险 如 何 治 理 、治 理 效 果 如 何 评 估 、安 全 建 设 优 先 级 如何建立四大难题。 企业数字资产管理不足， 难以定位安全风险。 数字 资产的全景画像是保障业务发展的前提条件。 企业 在数字化业务建设初期面临信息资产不全面且频繁 变更的问题， 存在传统基础设施资产梳理有遗漏， 数字化资产界定不清晰的情况。 导致数据分类分级 难、 管理体系不健全、 技术工具不完善等问题。 业务 数据全生命周期面临安全风险， 采集、 传输、 存储、 使用、 共享、 销毁各个环节管理缺失， 整体未形成体 系化管控能力。 缺乏面向复杂链路访问请求的持续验证能力， 难以 推动安全治理。 随着日趋复杂的网络