2020北向峰会召开，京东安全探索甲方安全建设破局之道

12月21日，冬至日，一年一度的安全圈战略高端会议——北向峰会在北京昆泰酒店召开，本次峰会以“凡是过往、皆为序章”为主题，京东、腾讯、永信至诚、蚂蚁、百度、浪潮、360、奇安信、绿盟、安天、启明星辰等头部企业的安全高管，以及清华大学、通服研究院、泰尔实验室的专家学者齐聚冬至饺子宴，共同研讨新形势、新技术下的未来安全战略方向。京东集团首席安全架构师耿志峰出席会议并发表了《安全基础设施——甲方企业安全建设破局》的演讲。

正如北向峰会的开篇序言，2020年至2021年，站在宏观的角度，我们共同面临着“极端”与“极致”——说其极端，是因为在新的形势下，世界格局动荡多变，由此牵引着安全行业的风云变幻；说其极致，安全位于新基建政策和数字化转型的风口中心，同时在5G、AIoT等新技术的加持下，时下也是从未有过的大机遇。

然而，虽然网络安全经历了近二十年的发展，各企业也一直在倡导共建安全，但仍然“乱象频出”，耿志峰在演讲开篇，便举出4个极有代表性的例子：

1、安全产品采购了一堆，但难以避免某个产品成为单点入侵的突破口，经常买的越多越不安全；

2、安全大屏多而不实，无法统一运营，使得真正有用的信息经常被各类无用的告警淹没。并且面对海量的杂乱数据，企业安全人员无从下手；

3、安全从业人员缺口大，攻防力量不平衡；

4、同类型的安全产品种类繁多。同功能的产品，各家都在做，使得本就紧张的资源更加浪费。

问题出在哪里？穿透现象看本质，其实就出在企业的内部。

耿志峰以目前很多企业均在建设的纵深防御体系为例，进行了剖析——通过下图可以看到，从外网到局域网，从局域网到终端，“1台终端有N多Agent、1条数据需要经过数十个网关、每套组件都有自己的大屏、每位运营人员都要负责1-2块大屏”，体系内部何其臃肿、资源和人力何其浪费，这种情况已经成为企业迈向数智化道路上的绊脚石，长期不能解决，不仅导致“甲方安全始终做不好”，而且给业务增添了诸多麻烦，与企业“安全服务业务”的初衷背道而驰。

何以破局？

基于多年的甲方安全建设经验，以及探索→实践→整合→创新，耿志峰提出了京东的解决思路，即建立一套真正以数据为驱动的、整合传统安全能力的原生安全系统，这套系统在京东内部被称为ESOS——企业安全操作系统。

这套操作系统为一整套安全能力构建及安全运营的底层标准框架。首先，通过统一终端和网关，精简传统的安全组件，将各方数据统一到“安全大脑”；而安全大脑作为系统的核心部分，整合了数据安全计算引擎、风控评分引擎、威胁情报等引擎，高度集约资源、自动化集权处理，并由此形成统一的运营中心和开放平台。这套系统同时支持对外的能力扩展和场景扩展，可以通过“插卡”的模式，整合内外部优质安全能力，针对性赋能给不同业务场景的政府和企业。当然，这首先需要做好最底层的数智化部署，背靠京东海量数据和数智化设施的ESOS，同样具备优秀的基础和基因。

从安全的角度去看这套系统，它具有“原生、统一运营、数据驱动、开放”四大特性，并且可以提供安全能力构建所需的基础服务，从而帮助京东和京东的生态伙伴快速完成安全能力共建和智能联动；

从业务的角度来说，“最好的安全建设就是无感”，因其原生、统一等特性的加持，以及基础设施本身的安全性，能够让企业的业务部门在无感情况下，安全地开展各项业务。

以上的特性与优势并非无稽之谈，耿志峰介绍道，这套系统本身已经在京东内部甚至京东的生态客户中得到了验证，并以肉眼可见的效果提升证明了它的优势和可行性——

在京东内部，这套系统已实践近2年时间，从下方线状图中可以看出，尽管2年间京东的业务量暴增了约70%，但安全工单量下降了80%，这说明应用的漏洞在大幅减少，有意思的是，为了安全京东设置了各类人工审批，审批量也下降了80%，审批量的减少证明了现在京东安全在安全原生的情况下，真正做到了“安全服务业务”；

而在京东数科数字城市操作系统中，这套框架同样得到了运用，众所周知，政府客户对于安全最大的要求就是数据安全，但至今没有任何产品能够真正解决数据安全问题，最为行之有效的方法就是把安全植入到数字城市操作系统当中，以原生性和精细化保证数据的安全——通过ESOS，数字城市操作系统现在可以对智能城市数据进行自动化分级分类，并基于分类结果，部署不同的安全防护策略。与此同时，在智能城市数据流动过程中，还能够进行自动化加密保护，以及针对数据使用环节的权限进行风险分析与控制。

未来，京东安全表示，将持续打磨ESOS系统，并希望借助安全业界的生态能力，共建以ESOS为基础“平台生态”，同时将这套系统的能力开放出来，赋能给京东的生态伙伴和客户。这样不仅可以通过京东庞大的业务生态，为安全业界的伙伴提供更多的机会，也能够整合优势资源与技术，为业务生态提供更好的安全服务，从而实现与各方共建共赢的生态安全。