京东物流数据安全体系
- 管理策略
数据安全管理是为了规范京东物流集团的生产数据及统计数据的管理、提供和发布的流程,确保企业信息不外泄,科学有效管理数据资产,避免数据风险,保护数据资产价值。在确保数据安全的前提下,向领导和相关部门提供快速准确的数据支撑服务,实现积极灵活地响应数据需求,充分发挥IT系统的应用效果,进而驱动商业发展,提升企业数据资产价值以及推进企业信息化进程的目的。
数据安全管理主要面向京东物流集团内部和外部经授权的数据使用人员,以这些人员在数据操作的安全管控为主要对象,与数据管理流程紧密结合。
京东物流结合行业数据特点以及国家相关监管需求,建立了贯穿数据生命周期的技术保护措施。在数据产生环节对数据进行分类分级;数据存储环节对敏感数据加密存储,敏感数据及非敏感数据逻辑隔离存储;数据使用环节敏感数据使用需进行审批,同时对数据使用情况进行监控及审计;使用HTTPS加密协议进行数据传输;在传播环节,会对数据的浏览权限、导出权限进行控制,同时进行监控审计;当涉及数据销毁,均会有日志记录,操作日志全部记录且留存6个月以上。
2.管理办法
数据安全管理工作主要是由京东物流安全部(京东物流 - 技术发展部 - 运维与安全部 - 安全组)驱动组织,数据治理团队协同配合。在总体安全策略、应用安全、数据安全、第三方合作、安全问题响应、移动及IoT安全、ISO27000系列、账号安全、办公网安全等方面统一遵循集团信息安全部制定发布的合规政策。除此之外,京东物流也根据自身实际情况量身制定了一些独有的安全规范制度。
对于一些暴露出来的数据安全问题,京东集团已完全实现线上化,统一使用安全运营平台——脉象平台,以工单形式下发至各部门安全接口人,由安全接口人指定对应研发进行修复处理。
2.1京东集团
京东集团制定的主要信息安全规范如下所示:
表1 京东集团信息安全规范
分类 |
制度名称 |
总体安全与隐私策略 |
京东集团-日志安全要求-安全总则 |
京东集团信息安全制度 |
|
京东集团Windows系统安全配置加固指南 |
|
京东集团网络权限安全管控规范 |
|
京东集团信息安全八条红线 |
|
京东集团信息安全合规技术指南 |
|
京东集团系统对外赋能安全要求 |
|
京东集团信息安全与隐私管理章程 |
|
京东集团信息安全与隐私策略 |
|
京东物流信息安全管理规则 |
|
京东集团隐私影响评估流程 |
|
移动及IOT安全 |
京东集团移动应用产品-安全总则 |
京东集团-移动应用产品-细则-隐私政策规范 |
|
京东集团智能设备安全管理办法 |
|
京东集团手持设备安全指南 |
|
京东集团物联网安全规范技术指南 |
|
京东集团物联网安全规范 |
|
京东集团物联网安全规范--仓储设备 |
|
数据安全 |
京东集团用户个人信息和重要数据安全制度 |
京东集团数据分类分级管理规范 |
|
京东集团交易类系统安全加固规范 |
|
京东集团用户隐私数据存储安全规范 |
|
京东集团员工使用敏感数据安全行为细则 |
|
京东集团数据安全管理规范 |
|
安全问题响应 |
京东集团信息安全事件响应规范 |
京东集团信息安全应急响应流程-分类处置 |
|
京东集团安全事件应急-联系人对照表 |
|
应用安全 |
京东集团应用安全开发生命周期(JSDL)安全需求评审表 |
京东集团-应用产品-配置文件加密规范 |
|
京东集团-系统管理后台-对外网开放安全规范 |
|
京东集团-Web应用产品-Java安全开发规范 |
|
京东集团应用生命周期安全管理要求 |
|
第三方合作 |
京东集团第三方接入京东网络安全规范 |
京东集团-第三方合作项目-细则-资源使用规范 |
|
京东集团-第三方合作项目-细则-开发规范 |
|
京东集团-第三方合作项目-安全总则 |
|
ISO27000系列 |
京东集团信息安全风险评估管理规范 |
京东集团访问控制安全管理规范 |
|
京东集团信息安全法律法规符合性管理规范 |
|
京东集团信息安全与隐私管理章程 |
|
京东集团信息安全与隐私策略 |
|
京东集团隐私影响评估流程 |
|
京东集团信息安全与隐私管理体系管理评审规范 |
|
京东集团内部审核管理规范 |
|
账号安全 |
京东集团统一账号体系管理规范 |
办公网络安全 |
京东集团办公网信息安全管理规范 |
2.2京东物流
京东物流制定的主要安全规范如下所示:
表2 京东物流信息安全规范
制度名称 |
VPN使用规范 |
京东物流安全管理规范 |
京东物流审计机制 |
京东物流数据导出规范 |
京东物流数据分类分级标准 |
京东物流安全接口人管理条例 |
京东物流系统权限管理办法 |
3.管理细则
3.1数据分类分级
参照京东集团数据分类分级规范和京东物流数据分类分级规范(京东物流数据分类分级规范是对京东集团的规范文件的进一步细化和补充),在生产系统(数据源头)和大数据平台上分别进行数据打标,按照敏感级别分为L1(公开)、L2(秘密)、L3(机密)、L4(绝密)。
在生产系统中通过京册平台对表、字段进行敏感级别打标。由表负责人提交敏感级别标识,然后经由安全部、法务对其敏感标识进行评估。
图1 京册平台操作截图1
图2 京册平台操作截图2
图3 京册平台操作截图3
当数据从生产系统接入到大数据平台之后,经由大数据平台对原始数据进行加工处理,构建出企业级数据模型,同样适用京册系统对表、字段进行敏感级别打标,与生产系统中打标方式相同。
所有标识信息最终可以通过京东集团统一元数据平台,进行访问查看。但是目前数据星图还在建设阶段,只有大数据平台上开发加工的表可以在星图上查询元数据信息,生产系统中的元数据信息暂时只能通过京册平台查看。
图4 星图截图
3.2数据采集
从生产系统接入数据到大数据平台,即在数据采集环节大数据平台会对数据的敏感级别进行识别,如果是非敏感数据可直接明文接入至大数据平台中。如果是敏感数据(L3/L4),在数据接入环节系统会进行疑似敏感数据的提示,提醒用户所要接入的字段可能是敏感字段,防止用户错误接入。对于敏感类数据如果必须要接入使用,必须要把数据接入到敏感集市,然后由敏感集市研发人员对数据进行加密,使用人员之后还要申请单独的解密秘钥(绑定ERP账号)方可使用。
图5 数据接入字段配置页面
3.3数据传输
数据传输过程均使用HTTPS加密协议,保证数据传输过程安全可靠。例如京东物流官网、京东企业邮箱系统、ECLP商家工作台(京东物流内部员工使用的商家管理平台)、京慧(京东物流面向外部商家的数据可视化平台),均使用了HTTPS加密协议传输数据。
图6 京东物流官网主站
图7 京东企业邮箱系统
图8 京慧
3.4数据加工
非敏感类数据可由京东集团内的各BG/BU数据团队在大数据平台上直接明文加工处理,数据也可直接明文存储在大数据平台上。而对于敏感数据,必须由敏感集市研发团队进行加工处理,其余任何人均无此权限,保证了敏感数据在开发过程中的隐秘性,对敏感数据的访问权限进行了严格管控。
3.5数据访问
京东物流内部所有具有数据访问功能的数据产品,都必须接入统一权限平台(USF),将业务系统中的权限管理和业务处理完全的进行分离,将权限管理模块完全的独立出来,并且将所有的业务系统中的权限都统一管理起来。业务系统不用去关心权限系统的实现,同时减少业务系统的时间成本。涉及重要的业务数据必须要添加水印。例如:天策系统-智能规划-网络仿真页面,在没有获得授权的情况下无法查看该页面上的任何数据,并且该页面显示访问人的水印信息。
图9 天策-智能规划-网络规划
例如:新灯塔系统(全链路预测计划管理平台)中设置了不同的用户角色,每个角色都对应的不同的页面查看权限。
图10 新灯塔系统菜单管理权限
3.6数据导出
遵照《京东物流数据导出规范》,导出的数据需要根据数据的敏感级别执行不同的审批流程。前期主要是通过邮件的方式进行审批,目前导出流程已经完全实现线上化。
图11 数据导出报备流程
3.7数据使用
非敏感类数据在使用时只需要申请相应表权限,在获得相应权限之后即可正常使用。但是敏感数据除需要获取表权限之外,还需要单独申请解密秘钥,并且解密秘钥均设置有有效期。关于敏感数据的具体使用规范可参照《京东集团员工使用敏感数据安全行为细则》。
3.8安全审计
京东物流所有系统产品都要接入物流安全日志,通过分析安全日志进行事中监控,事后审计。同时,根据一些业务行为开发一些安全风控模型,加强对安全风险的审计监督。
图12 新灯塔系统实时日志信息
图13 物流信息安全监控报表
同时,京东物流每年也会根据B端客户需求,定期(每年)开展内外部安全审计工作。安全审计工作主要由物流安全部组织开展,在审计工作开始之前首先要根据客户诉求以及相关法律犯规,制定审计计划。然后由被审核方提供相关文件和资料。主要开展形式包括:人员访谈、文件查阅、现场观察、现场测试、数据统计与分析五个步骤。在秉承客观性、谨慎性、独立性、保密性原则的基础上,出具最终审计报告。根据审计报告内容对不符合项进行逐一整改。
京东集团主要是在全集团范围内开展审计工作,主要审计内容包括27001和27701等。
4.安全考核
京东集团信息安全部每周发布各BG、BU上一周安全质量周报,主要考察各部门风险工单、漏洞工单的未修复情况,工单修复率以及逾期率。根据各项加权占比,计算各部门得分,最后通晒各部门安全指标的得分排名情况。
京东物流安全部则是每月初发布各部门上个月安全月报,主要考察系统资产(外网上线应用、内网上线应用)、修复执行力(未修复工单、已修复工单、逾期工单)、安全加固提升(未加固项、加固率)、安全前置化(安全评审数量)等内容,同样也是按照各项加权占比,计算各部门得分,最后通晒各部门综合得分排名情况。
- 附件(主页资源下载或关注gong众号领取)
- 京东物流安全接口人管理条例
- 京东物流系统权限管理办法
- 京东物流数据导出规范
京东物流数据安全体系相关推荐
- 京东物流的海外赋能体验计划:通全球、兴科技、建链条
略晓京东创业史的人,大多都会知晓刘强东当年力顶投资人压力而执意兴建物流计划一事,事实也最终证明刘强东当年的眼光和举措是正确的,作为京东体系最重要的组成部分,京东物流的重要性如今已经不言而喻. 但对于京 ...
- 京东物流数据质量管理体系
一.数据质量管理模式 京东物流数据质量管理分为两种处理流程.一种是由质量保障部在进行数据系统保证测试时,以产品PRD或功能说明文档为需求导入,进行的一系列事前数据质量管理工作.另外一种,是业务部门数据 ...
- 京东物流基于Doris的亿级数据自助探索应用
导读:京东智慧物流在数据应用方面,主要是基于大数据预测分析技术实现智能化的调度.决策,提升物流效率,最终提升客户的体验.但面对亿级数据的业务场景,将会面临着不同的问题和不同的处理方案.今天讨论了京东物 ...
- 京东物流 × StarRocks : 打造服务分析一体化平台Udata
作者:张栋,京东物流集团数据专家 京东集团 2007 年开始自建物流,2017 年 4 月正式成立京东物流集团,2021 年 5 月,京东物流于香港联交所主板上市.京东物流是中国领先的技术驱动的供应链 ...
- 京东物流IPO:商流、物流、资金流,“三流”难归一
京东物流IPO:商流.物流.资金流,"三流"难归一 出品 l 观点财经 作者 l 大钊 48岁的刘强东将迎来继京东集团与京东健康之后的第三家上市公司. 资料显示,京东物流成立于20 ...
- 四极管:京东物流“后牌照”战略:8月底开放 或分拆
京东物流"后牌照"战略:8月底开放 或分拆 作者:赵楠 今年首批快递企业年检通过名单的流出,使已取得快递"牌照"的京东商城旗下快递公司浮出水面.围绕快递物流,京 ...
- 刘强东深夜发文:京东物流去年亏损超过28亿,再亏融资只够撑两年
文|洪生鹏 01 最近京东由于取消快递员底薪和下调公积金的比例.淘汰部分高管人员等事件,京东再次成为外界关注的焦点.尤其是京东物流针对准备取消快递员底薪一事,更是引起人们的争议. 有人说刘强东变了,之 ...
- 菜鸟、京东物流再提速,快递业卷出新高度
随着行业的成熟,物流快递行业的服务效率之争再次提速.3月31日,天猫超市宣布在杭州启动半日达服务,这意味着其快递包裹从下单到签收仅需半天.据公开资料显示,此次半日达服务从2022年底就开始筹备了.作为 ...
- 数千个数据库、遍布全国的物理机,京东物流全量上云实录 | 卓越技术团队访谈录...
以下文章来源于 InfoQ ,作者褚杏娟.Tina 如今的京东可以说是一家"强技术"企业吗? 2017 年 2 月,时任京东 CEO 的刘强东公布了未来 12 年的战略:技术转型. ...
- 618京东物流发大招,中小件完成了大陆地区的区县全面覆盖
618前夕,京东物流再传捷报,京东新疆和田站首单配送完成.打破了和田市无订单无配送的历史局面,标志着京东中小件配送服务网络的全面覆盖,直接宣告电商物流服务走入新的领空,将权重最大的中小件配送网络建成, ...
最新文章
- Linux多线程管理: 多线程编程
- 遍历同辈节电的方法_家用节电小常识:一些行之有效的节能方法
- 为什么方差的自由度是n-1啦?
- arcgis python教程视频_arcgispython教程
- 微信小程序—day02
- Java变量(静态变量/成员变量/局部变量)初始化的问题
- C++之 伪随机数的生成
- python scipy版本_Py之Scipy:Python库之Scipy库的简介、安装、使用方法详细攻略
- 配置vscode作为STM32代码的编辑器(替代keil5)。实现:代码自动补全, 编译,下载。nRF52也可以编译。
- python语言程序设计基础笔记(三)计算机思维
- 融云「音视频架构实践」技术专场【内含完整PPT】
- C 语言do with,Nonverbal (非语言的) communication has to do with gestures, movements andcloseness of two...
- 【JAVA】Map和Set
- Android:空气质量检测界面(布局嵌套),练手推荐。
- android:ListView的局部刷新
- vscode 懒人插件
- 语言模型训练工具SRILM
- 矩阵乘法的算法实现 [转载]
- 黑金ZYNQ MPsoc 开发遇到的问题以及解决记录
- 【机器学习的Tricks】随机权值平均优化器swa