往年的生活有多惬意呢？周末可以逛商场，下班可以去超市，回家能够逛网店，买买买已经融入生活，不再受到时间和地理的限制。但今年，疫情的出现导致我们的选择少了太多，网购几乎成为了唯一的途径。与此同时，各种电商节和促销活动让用户的注意力更加集中，海量用户涌入电商平台确实带来了业务，但如何保障活动安全稳定地进行下去，也成为各大平台面临的最大难题。

不论是6.18年中大促，还是11.11活动大促，京东都会吸引到大批“剁手党”的关注。可问题是，“黑手党”的关注也不少，活动的开启往往意味着网络攻击同步开启，为了保障活动的顺利进行，京东智联云构建起来多层次、全方位的保障体系。那么这套体系能够发挥怎样的力量呢？京东智联云云产品研发部安全专家朱延勇在CSDN直播活动《 “重大活动”网络安全保障中的攻守实践》中便进行了详细的讲述。

对任一平台而言，每年都少不了具有一定影响力的经济、体育、文化活动，比如电商平台的6.18和11.11；比如线上的服贸会、进博会等；再比如重要人物、活动的直播，像春晚、元宵节晚会等。

对这些活动分析后，不难发现其四大特点：

    第一，需要提前筹建临时机构进行举办；

    第二，重大活动受到多方监管；

    第三，活动涉及的信息系统往往极其复杂；

    第四，社会关注度高，面向广泛的用户群体。

正是因为这些特点的存在，使得活动中的业务稳定性和安全性有了更高的要求。

因为在活动中临时组织的加入使得沟通成本增加，产生和累积各种不稳定因素；多方监管确实可以提升安全性，但执行层面上往往存在标准不统一的情况，会让安全保障工作面临复杂的硬性要求；系统复杂，会对安保设计提出更多挑战，需要在有限的资源基础上协调和沟通具有不同安全能力的子系统，保障整体业务的稳定性、安全性；关注度高不仅意味着普通人参与的更多，还意味着对攻击者的吸引力更强。

不过在重大活动面前倒也不必人人自危，其不利因素虽多，但攻击形式却没有太大区别。唯一的差异点只在于特定攻击类型所占比例的增高，比如今年618活动中，京东智联云拦截到的外部攻击主要还是CC攻击、DDoS攻击这些能影响到业务连续性和页面稳定性的攻击形式。

攻击形式虽然不出意外，可麻烦的是这些攻击一直以来少有万无一失的解决方案，再加上重大活动面前，业务繁杂、流量巨大、攻击复杂，这就对安全团队的业务能力形成了更加严峻的考验。

京东智联云的做法是构建多层次全方位的安全保障体系。立足于等保监管、结合安全保障工作的重点和流程，将在“重大活动”中构建安全保障的过程分为：“五大层次”、“四个阶段”、“三大原则”和“两大重点”。具体地，“五大层次”是基于等级保护的要求划分物理层、网络层、系统层、应用层、数据层五大防御层次视角；“四个阶段”是以时间维度将重大安全保障活动工作按照不同阶段的工作内容和重点划分为研发部署阶段、安保建设阶段、安保演练阶段、安全保障阶段四个阶段；“三大原则”是指安全保障体系构建过程中三个基本原则——同步规划、同步建设、同步运营；“两大重点”则是指安全保障建设与落地过程中要关注的两大核心内容。

京东智联云基于项目介入时间、工作重点、工作目标等因素考虑将保障工作的四个阶段分为：研发部署阶段、安保建设阶段、安保演练阶段和安全保障阶段。首要原则是：在有限的预算下，识别工作重点，合理分配防护力量，避免贪大求多，分散防护力量，导致整体防护效果大打折扣。

研发部署阶段的建设是基础。这一阶段主要基于三大原则开展工作，同步开启项目研发和安全建设工作，将安全的考量、机制和相关制度深度融合到项目的立项、设计、开发、测试、运维监控全流程中。制定必要的组织和流程、提出具体的安全要求、提供可操作的安全指导、协助构建基础安全环境，为安全保障工作的顺利推进夯实基础。具体地，基于整体安保目标的基础上组建涵盖研发部门负责人、运维负责人、安全架构师、合规工程师等人员的基本安保工作组；基于等保规范、参考公司安全要求、面向攻防实战制定具体的整体安全规章制度，并对其做全员的宣贯；面向编码运维实践提供一些可读性高、可操作性高的安全编码规范与实施手册；基于基础网络、应用安全、数据安全、安全监控覆盖等视角与层次对研发部署过程进行评审与把控；提供定期更新、充分审计、符合业务方使用需求的安全镜像、安全组件、安全SDK等基础环境。

现实中受限于预算等因素的限制，这一阶段工作的形式可能存在差异，比如“安全咨询”、“专家服务”等形式，但相应工作内容应尽可能覆盖。

安保建设阶段是整个安全保障体系的设计和初始落地实施阶段，是安保体系的核心和基础。该阶段也是通常意义上外部安保团队介入执行安保工作的主要时间节点。本阶段主要有三方面内容组成：业务资产和人员梳理、保障技术方案设计、攻击面收敛和加固。

资产和人员梳理是安保体系建设的数据基础。本阶段可以通过外部扫描、内部扫描、内部走访等各种手段对系统资产进行测绘，对组织人员进行盘点。同时，需要将相关要素彼此关联，为安保方案设计及运维人员提供全局的防护视图及资料库。

如上图所示，是以系统视角对系统所属的资源、人员、应用和安全配置进行梳理和关联。

信息梳理完毕后便可以基于此进行保障技术方案设计，主要包含安全配置方案和应急处置预案。安全防护配置需要以“全面防护、纵深防御”为原则，对整体安全架构进行设计、对安全产品进行选型、对安全产品的规则配置进行优化。具体可能涉及：安全产品的防御位置、安全产品的部署层次、安全产品的防护规格、安全产品规则的宽松度、审计产品的覆盖范围等方面内容。应急预案设计主要是把未来运维工作以及可能面临的风险预案化，以期事件发生时能以较高的响应速度和精准度进行应对处置。预案的设计应该做到全面和标准化，应该覆盖安全保障工作中的所有内容以及参与工作的所有人员，以标准定义、标准流程、标准操作以及标准输出的形式对预案细节进行固化并在后续演练过程中改进和优化。预案的设定可以是多视角多维度的，比如：面向业务系统、面向防御层次、面向重点威胁形式等。

攻击面的收敛和加固是安全保障工作的重中之重，直接关系着系统整体的安全性。该阶段需要对内外部潜在的威胁进行识别，对可能的脆弱性进行加固，协同、闭环地进行攻击面收敛和安全加固。攻击面收敛主要以合规和攻击视角展开，基于全面的资源和人员数据，利用“攻防不对称”中的优势，实现最小化暴露和最大化收敛。通过安全自查、基线合规检查、安全专项治理、周期性巡查、寻求外部监管等方式进行。同时，该阶段工作要注意转换攻守思维方式，避免单一视角看待问题，避免因单一攻击或防守视角产生安全盲点及安全妥协。同时该阶段工作同样需要尽可能地标准化，避免有限的安全保障人力被流程性、事务性的非必要工作过多浪费。