《京东零信任安全建设实践白皮书》发布

导读

【资料图】

本白皮书旨在通过京东零信任安全的实践经验，为数字化企业构建企业安全能力提供参考，帮助降低安全部署成本，提升数据安全治理效果，落实国家安全法律法规中企业在安全方面所履行的相关义务。

前言

随着信息技术与产业数字化变革的不断演进，数据作为重要的生产要素，也受到了政策和行业层面的高度重视。

2023年2月，京东集团联合Gartner公司发布《京东零信任安全建设实践白皮书》（以下简称白皮书），结合业界先进零信任安全理念，及京东在零售、物流、金融、健康等业务场景下的安全实践，全面解析了京东零信任安全建设的理念和成果，为信息安全产业发展提供思路与借鉴。

安全理念升级

“十四五规划”提出，加快数字化发展，将数字化转型上升到战略高度。《数据安全法》、《网络安全法》与《个人信息保护法》的发布，也逐渐构建了我国信息安全法治化发展的基本体系。

作为以供应链为基础的新型实体企业,京东持续以数智化社会供应链为依托,发挥自身在资源、运营、技术等方面的独特优势, 并以数据资源为关键生产要素，完善业务发展，发挥“以实助实”的社会和产业效用。

京东集团信息安全负责人表示，随着供应链安全风险不断上升、攻防对抗的不断升级，如何消除安全盲点，提升整体安全能力，是提升产业链安全水位的重要挑战。传统安全的“边界防护”思路，无法应对如今复杂的安全问题，因此零信任战略就成了如今更好的选择。

在此背景下，汇聚了京东特色的数字化业务安全实践的《白皮书》应运而生。《白皮书》全面介绍了在传统零信任三要素即“身份”、“安全卡点”、“持续访问控制”基础上，京东如何结合自身实践，并扩充了“资产数字化”、“零信任驾驶舱”两个全新维度，构建了具有京东和行业特色的五要素零信任安全体系。

京东集团信息安全负责人说道：“脱离业务谈安全，脱离安全谈技术都不可取，促进业务发展才是好安全”。为了促进、保障业务发展，组织必须更加清晰掌握自身安全水位，补齐安全短板，发现安全盲点，确保自身数据和系统的安全。

京东五要素零信任体系

据介绍，该体系的核心包含以下五大方面。

一、京东零信任的资产数字化：

全面的资产数字化，是实现零信任的必要条件。传统的资产盘点方式，是基于企业现有的资产系统上报的数据，不足以覆盖企业的全部资产，容易产生资产盲区，京东在实践探索过程中，通过建立一套先进的未知资产探测体系，主动发现未知资产，消除资产盲点。

二、京东零信任的资产身份化：

在传统资产身份化基础上进行了扩展，在账号、设备、应用身份的基础上，为数据赋予了身份，赋予全域资产唯一的身份标识。在此基础上，对敏感资产进行分类分级和属性画像，为京东零信任体系的精细化权限管控提供了基础。

三、多元化的零信任安全卡点：

传统的零信任卡点大多数是在七层网关上进行的，卡点的单一导致面对恶意请求，无法进行精准、有效的安全防御。京东零信任卡点，分布在整个请求链路中不同位置上的，能够解决基础设施不统一造成的卡点难问题，同时卡点离被保护的对象越近，资产受到的攻击面越小，使资产更加安全。

四、京东零信任策略中心：

为了应对京东高度复杂的业务场景，京东零信任通过多元化的零信任策略中心来实现动态持续鉴权，支持ABAC\\RBAC\\PBAC\\OBAC\\TBAC等5种访问控制模型，使得安全运营效率更高，风险识别更加精准、快速、全面。

五、京东零信任驾驶舱：

企业在安全治理过程中，因为缺少衡量安全水位的工具，所以很难量化评估安全建设的收益与价值。京东结合业界各种安全治理框架与方法论，打造了零信任驾驶舱，包括资产风险量化模型与安全投资ROI评估体系，帮助企业规划安全建设路径，协助CXO们进行安全建设评估与决策。

作为京东对零信任安全落地的一次业务探索，《白皮书》将为行业提供一次可行的零信任落地实践经验，同时为护航京东数智化社会供应链建设，服务实体经济高质量发展贡献安全技术力量。

《京东零信任安全建设实践白皮书》下载

https://www.gartner.com/teamsiteanalytics/servePDF?g=/imagesrv/media-products/pdf/JD.COM/JD.COM-1-2BS633CS-CHS.pdf

标签：