京東&Gartner：2023京東零信任安全建設實踐白皮書（33頁）.pdf

1、京東零信任安全建設實踐白皮書實現京東供應鏈生態安全防護核心五要素第1期2 26 33京東零信任安全建設實踐白皮書Gartner的研究：7個有效的零信任實施步驟網絡訪問關于京東2京東零信任安全建設實踐白皮書實現京東供應鏈生態安全防護核心五要素前言數字經濟是繼農業經濟、工業經濟之上誕生的新興經濟模式，2021年我國發布“十四五規劃”加快數字化發展，強調了數字化轉型的戰略高度，企業數字化轉型政策集中出臺并在各產業取得顯著效果。京東集團通過聚合商品供應鏈、服務供應鏈、物流供應鏈和數智供應鏈形成“數智化社會供應鏈”效應,以數據資源為關鍵生產要素，驅動數智化社會供應鏈業務，推動賦能實體經濟，創造更大的社會

2、價值。京東集團在數字化演進的過程中秉承敏捷、高效的原則，逐步從“邊界防護”的網絡安全防護理念轉向基于零信任治理架構，在保護供應鏈各類資產安全的基礎上，安全能力不僅主動與大數據、人工智能、區塊鏈、云計算等新興技術深度融合，更能按照發展的需求精準投入，及時有效地應對多變的全球環境與市場需求。企業為應對面臨的數據安全和隱私保護挑戰，在業務打造一套健全的安全防護體系過程中通常會遇到安全風險在哪里、安全風險如何治理、治理效果如何評估、安全建設優先級如何建立四大難題。京東零信任框架能夠有效應對企業數字化轉型過程中的安全難題。為了幫助用戶深入了解零信任技術在京東的發展與應用場景，幫助組織和企業更好地構建基于

3、零信任的安全防護體系，京東對企業數字化、零信任模型、安全框架等實現技術進行了分析研究，撰寫本白皮書，旨在通過京東零信任安全的實踐經驗，為數字化企業構建企業安全能力提供參考，幫助降低安全部署成本，提升數據安全治理效果，落實國家安全法律法規中企業在安全方面需履行的相關義務。本白皮書由京東集團撰寫，特別感謝業界專家們對編制工作提供的指導與支持。由于撰寫時間有限，本白皮書內容難免存在疏漏，不足之處懇請各位專家、同仁批評指正。白皮書編制組特別鳴謝（按姓氏拼音排序）：陳志杰、鄧二平、丁麗萍、弓峰敏、何藝、killer、kkqq、lake2、陸寶華、Lenx Wei、聶君、TK、Tony Lee、譚曉生、王

4、偉alter7、吳云坤、葉曉虎、周群專家顧問：何成鋒、耿志峰、李欣、陶大程、鄭瑜、劉明浩、熊壯、宋留坡、馮娜、何淇丹、尹承、沈華林、田欣、陳玉杰、高春燕、段陽陽參編人員：秦波、姚興、趙波、徐看、李然、王紅飛、張靖雯、蔣學、劉宇、羅達、李龍、張寒暉、王崇茗、杜凡、魯一鋒、杜航、楊鵬版權聲明本白皮書版權屬京東集團所有，并受法律保護。任何轉載、編撰或其他方式使用本白皮書文字或觀點，應注明“來源京東零信任安全建設實踐白皮書”。違反上述聲明者，將追究其相關法律責任。3目錄前言 2第一章 企業安全建設的必要性 4第二章 企業數字化安全能力建設的挑戰 5第三章 京東特色的數字化業務安全實踐 京東零信任 6第

5、四章 零信任全鏈路動態持續鑒權 74.1 全域資產數字化是一切安全的基石 74.1.1 已知資產自動管理 74.1.2 未知資產智能識別 74.2 全域資產身份化是零信任的基石 84.2.1 全類型資產身份管理 94.2.2 身份的安全性 104.3 多元化零信任卡點是資產的貼身衛士 104.3.1.賬號卡點 104.3.2 終端設備卡點 114.3.3 網關卡點 134.3.4 應用卡點 134.3.5 服務器設備卡點 144.3.6 數據卡點 144.4 多元化的策略中心是零信任的大腦 154.4.1 構建行為安全基線，支撐訪問控制模型 154.4.2 基于訪問控制模型，實現動態持續認證與

6、響應 154.4.3 聯動安全卡點能力，實現安全聯防聯控 16第五章 資產數字化的零信任駕駛艙 165.1 京東安全風險數字量化與風險治理的決策依據 175.2 零信任駕駛艙構建ROI評估體系，是安全投資決策依據 18第六章 京東集團特色零信任實踐 186.1 電商行業業務安全落地實踐 196.2 金融行業安全落地實踐 206.3 物流行業數據安全落地實踐 226.4 健康行業數據安全落地實踐 236.5 供應鏈生態數據安全落地實踐 24第七章 展望 24參考文獻 254第一章 企業安全建設的必要性國家層面積極推動信息安全法律法規出臺。數字經濟蓬勃發展，數據成為信息生產要素，我國數據安全領域的

7、法律數據安全法于2021年9月正式施行，與網絡安全法、個人信息保護法等一起構建了信息安全法治化發展的基本體系。近5年來部委、地方省市以及各行業監管部門關于信息安全已至少頒布50部相關法律法規，信息安全外延的不斷擴展，監管機制的不斷完善，企業違規使用用戶數據的治理力度也在不斷加強。根據工信部網站統計，截止目前工信部總共通報26批次，共計通報了2300余款APP，下架了500余款APP。消費者自身的數據合規意識不斷提升，安全合規已經成為影響用戶品牌認知的核心要素。規?；昂诨耶a”威脅企業安全。隨著安全領域技術體系的不斷升級和健全，來自“黑灰產”的攻擊呈現了體系化的演進趨勢，攻擊對象不僅包括企業核心

8、數據，更有互聯網服務平臺的用戶福利、活動優惠等活動，各“黑灰產”攻擊方經常聯合起來進行多點精準打擊實現“0元購”。相比“黑灰產”規?；穆摵瞎?，企業防守方依舊處于相對孤立、不成體系的弱勢地位，從基礎設施到業務應用不同環節暴露出防護疏漏，內部數據安全管理與外部攻擊防御尚未聯動，給予“黑灰產”可乘之機。數據安全事件 頻發為企業帶來經濟損失。根據Verizon數據泄漏調查報告顯示，2018年全球數據泄漏事件為2216起，2019年為2013起，2020年 為3950起，2021年為5258起，2022年為5212起，82%的數據泄漏違規行為涉及人為因素。根據IBM安全7月發布的新版2022年數據泄

9、漏成本報告，2022年數據泄漏成本達到歷史新高，平均為435萬美元，該數字相比去年增加了2.6%，2021年數據泄漏成本為424萬美元。而相比2020年的386萬美元，2022年的數據泄漏成本增長了12.7%。京東集團以“數智化社會供應鏈”踐行企業數字化,主動應對安全趨勢變化自我迭代升級，踐行保護用戶數據安全的使命。京東數智化社會供應鏈包含了商品供應鏈、服務供應鏈、物流供應鏈和數智供應鏈1四個部分。目前，京東已經形成了以數智化社會供應鏈為核心的技術體系，搭建數智化開放平臺，持續優化垂直行業供應鏈的成本、效率與體驗，實現從消費端到產業端價值鏈各環節的整體優化與重構，有效調動各價值鏈環節的社會化資

10、源，提升敏捷響應與匹配效率。京東高度重視用戶信任，在與消費者、云租戶、商家、供應鏈等眾多參與方共同開展全球化業務的同時，根據商業數據安全、用戶隱私保護、數據安全監管合規等訴求，預測未來黑灰產愈發規?；约皣冶O管愈發嚴格的態勢，深刻意識到傳統的安全防護方案不能幫助企業應對未來的安全挑戰。因此京東安全主動擁抱安全形勢變化，不斷迭代數據安全與隱私保護的頂層設計，主動提升安全防護方案，致力構建值得用戶信賴的企業，踔厲踐行成為業務發展最值得信賴的信息安全服務者的使命 愿景。1 數智化供應鏈：以數據資源為關鍵生產要素驅動數智化社會供應鏈業務，以人工智能、物聯網、區塊鏈、先進計算等技術為基礎，以零售、物流

11、、金融、健康、城市等全場景為驅動，連接和優化社會生產、流通和服務的各個環節，打造數智化社會供應鏈，實現社會數字化轉型。5第二章 企業數字化安全能力建設的挑戰企業為應對面臨的數據安全和隱私保護挑戰，打造一套健全的安全防護體系過程中通常會遇到安全風險在哪里、安全風險如何治理、治理效果如何評估、安全建設優先級如何建立四大難題。企業數字資產管理不足，難以定位安全風險。數字資產的全景畫像是保障業務發展的前提條件。企業在數字化業務建設初期面臨信息資產不全面且頻繁變更的問題，存在傳統基礎設施資產梳理有遺漏，數字化資產界定不清晰的情況。導致數據分類分級難、管理體系不健全、技術工具不完善等問題。業務數據全生命周

12、期面臨安全風險，采集、傳輸、存儲、使用、共享、銷毀各個環節管理缺失，整體未形成體系化管控能力。缺乏面向復雜鏈路訪問請求的持續驗證能力，難以推動安全治理。隨著日趨復雜的網絡基礎架構、IT資產數量的指數級增加以及數字化業務的多樣化，傳統邊界安全防護已經難以滿足無邊界網絡的安全需求。企業數字化業務的數據鏈路覆蓋訪問用戶、終端設備、業務主機、業務應用等，數據流動的鏈路節點分散在企業內網、公有云、私有云、混合云等異構基礎設施上。請求可能來自不同網絡位置，數字化企業的安全能力需要去適配業務空前復雜的技術架構，需要用能支持持續鑒權的卡點解決傳統邊界安全的局限與不足。全鏈路資產風險評估體系成熟度亟待提升，難以

13、評估安全治理效果。我國市場優勢為企業數字化發展提供了完備的產業鏈條和豐富的綜合應用場景，業務場景從局部單元級擴展到全產業鏈、全要素級別。業務場景中最具價值的部分是業務鏈路上的數據。但鏈路上信息流動與其關聯的資產關系極其復雜。在數字化初期階段，企業對數據資產全鏈路風險評估體系尚不成熟，對資產的安全風險無法全量評估，企業安全負責人缺少風險評估方法與管理工具，風險量化評估體系的不成熟極易導致風險盲點從而造成業務損失，全鏈路資產風險評估體系是保障企業內部與生態供應鏈之間數據流動安全的前提。企業安全建設缺少合理的ROI評估體系來指導業務統籌發展與安全精確投入，以及確定安全建設優先級。企業決策者需要依據安

14、全資源效用（ROI）評價結果動態調整安全投入與戰略規劃。安全資源投入產出率能夠輔助決策者判斷安全防護能力接入的關鍵節點，確保企業有限的安全資源能夠最大化利用，同時可使業務的安全效果客觀有效地反饋至決策者。這保證了快速變化業務場景下安全運營機制與流程制定的及時性、有效性。但目前數字化企業缺乏安全資源效用（ROI）評價工具與統一標準。6第三章 京東特色的數字化業務安全實踐 京東零信任 面對企業在安全體系建設中遇到的種種難題，京東集團經過大量的調研和不斷嘗試，從資產盤點開始，再將資產身份化，梳理清楚資產之間的主客體關系和數據流動鏈路，對全域資產進行敏感等級分類分級，結合多元化的安全卡點和策略中心進行

15、持續的風險識別和風險管控，最后將自身已有的安全技術和零信任理念相融合，形成了京東零信任體系。京東零信任體系是以傳統零信任的“永不信任，持續驗證”為核心指導思想，搭建以身份為基礎的動態持續訪問控制體系。在傳統零信任三要素中身份、安全卡點、持續訪問控制的基礎上，把全域資產數字化和零信任駕駛艙加入了零信任體系，全域資產數字化提供了一個全面的資產數據倉庫，而零信任駕駛艙則為企業提供了一個全域風險量化的平臺，同時還可以為企業安全建設提供指導依據和ROI評估。京東零信任體系以全域資產數字化為基礎，實現資產可知、可見、可管理，并基于資產數字化梳理業務流程。同時為企業賬號、設備、應用、數據賦予資產身份標識，繪

16、制資產大盤和資產關系圖譜。在資產數字化和身份化的基礎上，基于業務流程和請求鏈資料來源：京東圖 1 京東零信任體系路布局了多元化的零信任安全卡點，實現動態持續風險評估和資產數據收集。并由零信任策略中心根據業務場景安全行為基線進行統一評估與響應，實現資產風險可知、安全可控。在零信任動態持續訪問控制體系的底座之上，通過零信任駕駛艙對京東集團整體安全風險進行量化評估與可視化呈現，幫助企業CEO/CSO評估安全建設ROI，規劃安全建設與風險治理路徑，最終實現企業風險管理的目標。見【圖1】?；谏矸莸牧阈湃蝿討B持續鑒權。通過為資產主客體身份建立資產安全基線，同時基于安全基線進行資產風險的動態持續評估，并通

17、過安全卡點實現資產的準入、準出鑒權與訪問控制。通過京東零信任策略中心完成資產風險分析并自動編排、下發分級響應策略。資產數字化的零信任駕駛艙。京東通過零信任駕駛艙，使各參與方不僅能從宏觀把控集團整體安全態勢，也能從微觀上跟蹤安全風險，保障每一個決策都落地執行到位。京東零信任安全風險量化模型明確定義出賬號、設備、應用、數據四類資產的安全能力覆蓋指標、安全達標指標以及安全風險治理的要求。搭建了企業風險量化評估體系幫助企業實現風險數字化管理。7第四章 零信任全鏈路動態持續鑒權 4.1 全域資產數字化是一切安全的基石清晰的資產是一切安全的基石，更是安全建設的第一步。但當前企業在進行安全建設的過程中往往忽

18、略了全域資產數字化的重要性，直接建設安全能力。企業的安全事件與資產管理的數字化程度不高密切相關，全域資產數字化的缺失意味著在企業視線外資產存在的安全問題直接被忽視。因此京東選擇在建設零信任安全卡點之前，首先進行資產數字化的建設，梳理資產全貌、明確全部保護對象。京東基于自身數字化轉型的經驗，梳理了用戶登錄終端（PC、移動端、IoT）設備、終端設備訪問應用、終端設備訪問服務器、應用訪問數據庫等請求鏈路，基于訪問鏈路主客體關系有效將企業資產劃分為訪問主體的賬號資產、設備資產和訪問客體的應用資產和數據資產四大資產域。資產數字化需要京東自身IT基礎設施與京東安全協力共建，基于企業IT基礎設施打造已知資產

19、管理體系，并通過建設未知資產智能識別能力實現未知資產主動發現，通過未知資產治理，推動資產數字化的完善。4.1.1 已知資產自動管理京東零信任與京東IT基礎設施合作，搭建了已知資產管理系統。通過零信任賬號管理系統，針對京東ToE、ToB、ToC各類賬號體系的賬號注冊、變更、封禁等實現統一管理，能夠全盤看到各個賬號體系及全部賬號的標識信息。依托京東集團固定資產管理系統，對主機和終端設備資產的新增、退還、廢棄等信息進行統一跟蹤。此外，通過應用發布平臺，為應用資產的上線、變更、刪除、下線等狀態進行統一的登記和管理，實現應用資產數字化。并基于企業元數據管理平臺，實現全域數據源信息統一管控，與各生產庫管理

20、平臺對接，實現數據源注冊、查詢、更新及使用賦權的統一授權及信息同步更新。實現賬號資產、設備資產、應用資產、數據資產的全盤管理。4.1.2 未知資產智能識別全域資產數字化中，未知資產的發現和梳理是所有企業都會遇到的一個難題，特別在京東集團這樣的供應鏈企業中，供應鏈中的各個環節都是不同的公司主體，基礎設施建設又不統一，如何在這種復雜的環境中發現大量的未知資產也是一個很大的挑戰。結合我們長期以來在安全建設過程中的經驗，我們對于不同資產，采用了不同的識別方式，完美地解決了未知資產發現的難題。未知賬號發現：基于請求Header特征定位未知賬號體系。在零信任網關流量中主動識別請求流量中的Header特征，

21、針對不符合京東賬號體系Header特征的流量和對應應用進行標記，識別未知賬號體系，定位未知賬號體系部署應用用于后續治理。未知設備發現：基于多源日志定位未知設備。京東零信任在京東內部的主機設備和終端設備均部署了零信任安全客戶端，通過客戶端采集設備日志，并與網絡DNS日志、流量日志相結合，自動化捕捉已知資產與未知設備的通信行為，如發現已知終端設備訪問未知主機IP等。并對未知設備的IP、部署位置等特征進行記錄，發現未知設備 資產。8 未知應用發現：基于資產關系識別未知應用。京東基于主機設備與應用資產關系，搭建了未知應用資產發現體系?；诿颗_主機均部署一個應用的部署規定，零信任通過內網掃描和主機日志監

22、控，獲取全量主機IP信息，智能捕捉未綁定應用關系的主機或容器IP，定位未知應用資產的部署位置。未知數據發現：基于數據流動鏈路識別生產網、辦公網中的未知數據。京東數據流動鏈使用服務鏈路追蹤工具采集應用數據調用關系，結合數據源同步規則構建數據來源、數據出口的映射關系，經由數據關聯分析引擎，構建應用與數據直連、應用間調用、用戶基于應用查詢數據的完整鏈路關系。呈現從數據源頭到目標數據表的數據生產過程。實現從一個數據表追溯上級數據源頭，逐層展開數據全鏈路路徑，呈現源頭特定字段變更對下游數據表的影響。見【圖2】。圖 2 數據流動鏈路資料來源：京東零信任在識別未知資產的IP、部署位置、數據流動鏈路信息等特征

23、后，配合零信任資產身份化技術、零信任動態卡點和人工運營，對未知資產進行進一步的梳理、排查和整改。4.2 全域資產身份化是零信任的基礎身份是零信任動態持續鑒權的基礎。數字時代資產的標識在不同場景下是動態變化的，資產數字化不足以幫助企業應對復雜的安全問題，企業需要知道這些資產到底是誰才能對資產進行有效保護。為了解決資產在數字世界中“到底是誰”和統一身份后“不被仿冒”的問題，京東通過豐富的業務場景和大量的實踐探索出全域資產身份化。京東通過全域模型為資產賦予身份標識，實現資產在數字世界中不同場景下的身份標識Mapping，標識出“唯一”身份。通過資產全域框架結合MFA2、可信技術、簽名等實現全域資產身

24、份的不可篡改。2 MFA：Multi-Factor Authentication 多因子認證9圖 3 不同場景下資產ID不同資料來源：京東4.2.1 全類型資產身份管理資產身份化指對資產進行數字化標識，使其具備唯一的、不變的、可映射的身份ID，為資產頒發身 份證。企業在推進資產安全風險控制時經常會遇到身份信息混亂的問題，資產僅有數字身份是不夠的，還要考慮到相同用戶在不同渠道下使用賬號不同或在不同設備間登錄等情況。例如員工“張三”在登錄集團公司內部系統時的身份標識為ERP賬號，登錄企業郵箱時的身份標識為郵箱賬號，登錄電商平臺進行下單活動時的身份標識為賬號、手機號、微信號；同一應用，在代碼倉庫內的

25、標識為部分代碼簽名，上線發布場景下會注冊應用名稱，在訪問服務器時的身份標識是域名或IP+協議端口。京東針對不同類型資產，采用不同的技術手段實現資產身份化管理。見【圖3】：賬號身份：京東通過ToC和ToB用戶注冊時填寫的手機號或郵箱等信息，以及ToE用戶數據平臺配置賬號時填寫的基礎信息，通過算法為用戶賦予唯一的賬號身份標識。設備身份：京東針對企業內部的設備通過零信任客戶端采集PC終端和主機設備的SN號、主板號、操作系統、內核版本等信息；并與企業IT固定資產管理系統中的設備歸屬人ID相結合，為設備資產賦予唯一的數字身份。同時為移動端設備和IOT設備生成設備ID，賦予設備身份。應用身份：京東以應用發

26、布DevOps平臺數據為基礎，通過結合可信技術、數字證書為京東應用及應用接口賦予唯一數字身份。數據身份：京東在傳統賬號、設備、應用身份的基礎上，為數據賦予了身份。通過數據身份為數據精細化權限管控打下基礎。通過企業元數據管理平臺，數據資產以數據內容、數據存儲位置、數據類型等元數據屬性為基礎。結合京東敏感數據發現技術與數據分類分級標準，通過“掃描、識別、標注”三步策略，自動化掃描結構與非結構數據，采用精準的敏感信息識別算法進行敏感數據識別，并且使用人工和機器標注相結合的方式，依據京東集團數據分類分級標準對數據進行標注。將元數據屬性與數據分類分級結果相結合，生成“數據存儲方式.數據庫名稱.表名稱.字

27、段名稱.數據分類.數據敏感等級”的ID標識，使數據獲得固有的、唯一的身份標識。10要實現安全數字化的管控僅為資產賦予身份是不夠的，還必須要知道資產在不同形態下的關聯關系，還要實現全域資產的ID映射，通過各種技術手段將不同來源的數據識別為同一個對象或主體，來建立資產的“唯一”的“身份號碼”，避免“盲人摸象”。京東結合自身的業務特點采用的方案，結合各類賬戶、各類設備間的映射關系和用戶數據畫像，通過自然人信息關聯技術、資產部署平臺數據通融等關聯起各個“孤島”的數據，形成“ID映射”，識別出是否屬于同一人，建立不同資產間的圖譜關系，確保安全業務分析的全面性。在ID映射的基礎上，企業能夠基于資產關系映射

28、業務流，將安全與業務緊密結合 起來。4.2.2 身份的安全性當各類資產都擁有了“身份證”后，就需要通過技術手段達到確認是“本人”、未被仿冒的效果。賬號、設備、應用訪問主體身份的不可篡改性是授權、訪問控制等安全機制的基礎。為了實現資產身份的不可篡改，京東針對不同類型資產采取不同的方式。賬號是人最常用的身份標識，京東通過生物信息、動態口令、MFA、個人簽名等，結合零信任安全策略，輸出不同場景動態調整的認證組合，從而提高用戶整體身份的安全性；設備層面，通過MFA、數字簽名、指紋技術、硬件芯片技術、可信技術TEE3實現；應用層面通過軟件指紋、簽名技術、可信技術、數字證書技術、密碼技術、應用認證技術確認

29、身份的不可篡改性；數據層面通過統一的數據庫平臺配合數據指紋、算法等校驗內容完整性，確保身份不可篡改。4.3 多元化零信任卡點是資產的貼身衛士安全卡點是企業資產的貼身衛士。安全卡點離保護對象越近意味著可信區域就會越小，資產的受攻擊面也就越小，資產也就越安全。傳統的零信任安全體系往往注重網關卡點，但它離受保護對象距離較遠，僅僅依賴網關卡點是不夠安全的。為了進一步縮小攻擊面，京東基于資產數字化和身份化中梳理的業務請求鏈路關系，在整個請求鏈路中的不同位置部署多元化的安全卡點，聯動零信任策略中心和一系列的安全能力，在整個資產生命周期去保護資產的安全。在全域資產身份化的基礎上，京東零信任體系多元化的安全卡

30、點實現了動態持續訪問控制能力?；谠L問鏈路的主客體搭建了零信任卡點體系，在用戶登錄終端（PC、移動端、IoT）設備、終端設備訪問應用、終端設備訪問服務器、應用訪問數據庫等請求鏈路中建設了卡點，實現了各個訪問環節的數據采集、行為監控與權限控制，實現了賬號資產、設備資產、應用資產、數據資產的風險評估與零信任動態持續訪問控制。見【圖4】。4.3.1.賬號卡點賬號卡點立足用戶可信身份，圍繞用戶身份生命周期，依托統一身份認證以賬號準入為控制手段，將賬號準入請求以及環境信息上報至零信任策略中心進行實時風險分析，持續檢查賬號的風險行為、異常信息，并針對不同場景和風險等級輸出不同的動態認證方式再交由賬號卡點執

31、行。實現正常賬號、風險賬號、敏感賬號不同等級的驗證與響應。3 TEE：Trusted Execution Environment 的縮寫，即可信執行環境11資料來源：京東圖 4 訪問鏈路卡點資料來源：京東圖 5 終端設備卡點 身份認證：統一身份認證依托企業信息化部門提供的基礎單點登錄服務，消除賬號信息系統的業務孤島和數據孤島。京東搭建了面向個人用戶（ToC）、面向企業客戶（ToB）、面向京東員工（ToE）的賬號體系并擴展至LDAP等外部認證源。在用戶登錄時，身份認證服務對當前用戶的網絡環境、瀏覽器指紋進行分析，將分析數據上報至零信任策略中心。零信任策略中心的認證引擎結合設備卡點上傳的設備信息、

32、受訪問應用的敏感等級以及當前用戶的敏感屬性，自動下發掃碼、人臉識別登錄、第三方聯合登錄、無密碼登錄等多種賬號身份認證手段至身份認證服務，實現不同風險采用不同安全登錄方式，提升身份認證安全性。如用戶在公司內網訪問非敏感系統時，使用賬號密碼認證；在使用非本人設備訪問敏感系統時，則需使用掃碼登錄。4.3.2 終端設備卡點終端設備卡點依托于零信任PC客戶端與零信任移動端SDK。零信任客戶端以One-Agent4的形式實現了在設備入網前、運行中和網絡活動的全過程對設備身份進行動態持續認證、授權與響應。通過多種終端安全能力，進行多樣化風險感知和攻擊行為捕獲，上報至零信任策略中心進行風險分析與安全策略自動下

33、發，嚴格限制不安全設備的訪問行為，實現設備訪問全鏈路智能風險評估。見【圖5】。4 One-Agent：統一插件底座12 入侵檢測與阻斷能力：能實時動態地監控和發現異常網絡鏈接、異常進程、高危命令執行及敏感文件操作，結合文件沙箱技術與京東自有威脅情報庫，自動觸發安全告警。針對產生的高危告警，經由零信任策略中心實時下發止損動作，聯動終端防火墻和網絡準入能力，終止有害程序入侵PC終端，必要時禁止中毒等高風險設備進入企業內網，快速的響應并處置設備風險。終端數據防泄漏能力：京東數據防泄漏（DLP）主要是針對企業核心數據違規流出行為的預防、阻斷和審計。通過在零信任客戶端構建對終端敏感數據識別以及磁盤和外接

34、設備的安全管控能力，結合文件、數據分類分級，實時檢測、分析敏感數據流動情況，將數據泄漏風險行為上報至零信任策略中心，并進行阻斷響應，如當文件拷貝至外接設備時、打印敏感文件時限制功能使用并對用戶進行彈窗警示，實現了敏感數據治理由被動響應轉為主動預防。資料來源：京東圖 6 網關卡點 基于安全基線檢測的網絡準入能力：京東基于終端安全能力部署、終端系統配置與補丁安裝、終端遠程操作等方面建立安全基線，在內網與外網、供應鏈網絡等網絡域建立了不同安全基線要求，并通過京東零信任客戶端進行定期基線檢測。當終端設備發起請求時，零信任客戶端將請求數據傳輸零信任策略中心，策略中心對請求目標所屬網絡安全域與請求設備安全

35、基線進行綜合評估，判斷當前終端設備所部署的安全能力及風險等級能否訪問目標網段，實現終端設備的網絡準入。SDP準入能力：京東通過SDP（軟件定義邊界）技術，實現對終端設備及用戶的安全準入訪問管理，僅對符合安全標準的設備放行。SDP對訪問用戶的網絡環境、設備指紋、用戶信息等數據進行檢測，判斷用戶訪問環境是否可信，同時基于用戶的登錄訪問行為快速識別終端風險，阻斷不可信的登錄行為。134.3.3 網關卡點京東零信任網關作為安全基礎設施，為京東集團提供原生的網絡安全卡點。零信任網關作為插件式網關，承載了零信任體系的核心分級響應與處置能力，同時實現了WAF5、API防護的安全能力，從網絡層實現動態持續授權

36、與響應。見【圖6】。動態持續鑒權與分級響應：零信任網關將包含賬號卡點認證信息和設備卡點設備身份信息的訪問流量封裝成請求上下文信息轉發至零信任策略中心，供零信任策略中心進行綜合分析評估。零信任策略中心將基于行為安全基線結合請求上下文評估風險等級，根據不同風險等級，實現允許用戶/設備正常訪問資源、降低用戶/設備的資源權限（如限制用戶查詢數據范圍，限制用戶使用功能范圍等）、要求用戶進行二次認證和禁止用戶使用四種分級響應和處置能力。API防護與動態授權：在零信任網關卡點中集成了API鑒權、驗簽、反爬、風控、限流等API檢測插件。API鑒權插件可實現API訪問封裝鏈路追蹤、實時監控與鑒權；將API請求上

37、下文封裝，供零信任策略中心分析，并對風險行為實施流量限制、熔斷降級、灰度分流等處置措施。針對批量機器注冊、薅羊毛等業務風控行為進行用戶二次身份校驗、攔截等響應方式。網絡數據防泄漏能力：構建網絡數據文件分類分級，通過檢測、分析對郵件、網絡、IM6軟件識別出的敏感數據采取重定向、阻斷、加密、審批后發送等能力。從網絡層面防止數據泄漏。WAF能力：京東對提供Web服務的應用，部署WAF服務進行Web攻擊防護、CC攻擊防護、網頁防篡改、訪問控制等防護措施，同時基于AI+行為學習實現智能化安全策略，自動封禁攻擊源IP請求流量，實現自動防護效果。4.3.4 應用卡點京東應用卡點立足安全左移理念，嚴格限制不安

38、全的應用發布。同時在應用使用過程中，通過應用卡點持續評估應用安全性，觸發預置安全策略響應，并實施多重響應措施，或上報零信任策略中心進行決策。根據風險觸發自動安全策略，進行請求攔截、流量過濾、API請求阻斷等控制措施，實現用戶訪問應用、應用間相互訪問的動態持續訪問控制。應用權限管控：京東零信任在應用權限管控上，對請求主體安全性、請求客體安全性和訪問環境安全性進行綜合評估，分級授權。京東結合DevSecOps7理念在應用上線前基于安全編碼框架SAST（靜態代碼安全檢測）、SCA（開源組件漏洞檢測）檢測編碼安全，限制不安全的應用發布。同時通過DAST（動態應用程序安全檢測）能力在應用測試時和上線后持

39、續檢測應用安全狀態。當發現應用部分頁面或功能存在安全漏洞或風險時，零信任策略中心將通過應用卡點采取限制部分功能的使用等響應措施。此外，當用戶訪問時，如應用存在安全風險，零信任策略中心進行統一分析，提升用戶訪問終端設備的安全基線要求，杜絕未安裝安全補丁的設備資產訪問不安全的應用。RASP（Runtime Application Self Protection，應用運行時自我保護系統）：京東RASP結合應用的邏輯及上下文，通過內視的方式，對訪問應用請求的每一段代碼進行貼身檢測，基于威脅建模分析，精準識別并攔截命令注5 WAF:Web應用防護系統6 IM：即時通信7 DevSecOps：安全研發運維

40、一體化14入、0DAY未公開漏洞利用、反序列化漏洞利用、敏感文件非法訪問、反彈Shell等高危風險行為。并將入侵行為及時上報至零信任策略中心，由策略中心聯動零信任各卡點，對發起入侵行為的賬號、設備的權限進行限制，通過網關卡點阻斷風險請求，實現多維度的風險阻斷。Service Mesh東西向流量訪問控制：京東零信任落地了應用Mesh化改造，為應用搭建服務網格（Service Mesh），并在各應用的服務網格中建立零信任卡點。通過服務網格采集東西向流量傳輸至零信任策略中心。策略中心將請求上下文與數字化資產庫信息綜合分析，將IP之間的訪問關系轉化為應用身份與應用身份之間的主客體訪問關系，基于策略中心

41、的行為安全基線進行風險評估與動態授權，并由Mesh卡點執行放行、阻斷請求等響應動作。見【圖7】。4.3.5 服務器設備卡點京東零信任在服務器設備上部署了零信任主機客戶端，通過零信任主機客戶端為應用訪問主機、設備訪問主機、主機互訪提供動態持續的訪問控制。資料來源：京東圖 7 Service Mesh示意圖 微隔離：京東MSG（微隔離）基于資產數字化與身份化構建業務邏輯分組，并基于邏輯特征為流量建立主機行為基線。收集主機層面的網絡通信流量，獲取應用上下文數據，繪制流量主機、主機到端口、端口到工作負載的可視化訪問鏈路，并搭建工作負載級別訪問控制卡點。將流量數據上報至零信任策略中心，策略中心以主機安全

42、行為基線為基礎，進行異常行為檢測評估，將響應動作下發至工作負載卡點，在工作負載層級阻斷異常的請求，實現東西向流量安全控制。4.3.6 數據卡點 京東零信任數據網關通過數據行權限控制與數據列權限控制相結合的機制，實現了精細化數據權限管控。根據授權規則限制查詢的數據條目或數據內容，根據當前用戶角色、部門、崗位、地域、查詢時間等不同屬性作為限制條件，實現用戶之間的數據隔離以及用戶查看敏感數據的梯度控制。行權限：限制當前用戶查詢的數據范圍，避免用戶查詢與本人業務無關的的數據，同時對查詢頻次、單次查詢數據量進行限制。15 列權限：限制當前用戶查詢的數據內容，針對用戶無權限查詢的數據字段，以置空、屏蔽、變

43、形、替換、隨機、加密等多種方式進行脫敏，使用戶僅能查看脫敏后的數據。實現精細化管控員工查詢敏感數據的權限，規避數據泄漏隱患。4.4 多元化的策略中心是零信任的大腦京東安全把多元化的零信任策略中心作為零信任的大腦，什么樣的行為是安全的、不安全的行為應當如何處置，這均由零信任策略中心定義。零信任策略中心基于安全卡點采集的數據形成安全行為基線，并基于安全基線建立多重訪問控制模型與身份認證模型。對請求流量進行風險評估后，進行多重認證和分級訪問授權，并將響應動作下發至卡點執行。見【圖8】。4.4.1 構建行為安全基線，支撐訪問控制模型京東通過零信任網關與客戶端進行日志收集，采集高權限人員行為數據、接口調

44、用數據、主機和主機運行日志。從賬號歷史行為、接口調用數據、終端和主機請求日志進行觀察并對風險行為進行標記，將用戶行為畫像、接口使用畫像、終端運行畫像等與企業業務流程結合，將企業的安全管理要求映射到業務流程中，結合行為的風險集合聚類和異常模型檢資料來源：京東圖 8 零信任策略中心測等方式，對行為進行風險建模和分析，為電商、金融、物流、健康、供應鏈生態、企業辦公等多種業務場景建立不同的、符合業務流程的行為安全基線。將安全基線輸入至零信任策略引擎，用于風險評估。針對所有請求執行默認拒絕原則，僅對符合安全行為基線的請求放行。4.4.2 基于訪問控制模型，實現動態持續認證與響應零信任策略中心采用了多種訪

45、問控制模型相結合的方式來實現零信任的核心能力動態持續鑒權，其中包括RBAC、OBAC、ABAC、PBAC、TBAC等訪問控制模型?；诮巧脑L問控制(Role-based Access Control，RBAC)：用戶通過角色與權限進行關聯，在用戶集合與權限集合之間建立一個角色集合，為角色授權。如，允許物流站長訪問運單大盤數據和運單詳情數據，僅允許配送小哥訪問運單詳情數據，不允許小哥訪問大盤數據。實現精細化權限控制?；趯ο蟮脑L問控制（Object-based Access Control，OBAC）：將訪問控制列表與受控對象或受控對象的屬性相關聯，并進行授權。如，財務部門的財務系統等使用范圍

46、僅限財務部內部。16此類數據敏感等級高的系統，通過OBAC模型可以實現僅當用戶所屬部門與應用歸屬部門一致時，允許用戶訪問的控制策略，降低權限濫用導致的數據泄漏風險?；趯傩缘脑L問控制（Attribute-Based Access Control,ABAC）：通過實體的屬性、操作類型、相關的環境賦予操作權限。如，京東供應商管理系統需要用戶在京東內網環境下訪問，且使用時間多為工作日。通過ABAC可以實現，限制訪問主體用戶的屬性為京東內部員工、限制訪問環境屬性為內網且時間為工作日8:00-22:00，零信任網關僅對符合上述限制的請求放行?；谌蝿盏脑L問控制(Task-based Access Con

47、trol,TBAC)：對象的訪問權限控制并不是靜止不變的，而是隨著執行任務的上下文環境發生變化。依據任務和任務狀態的不同，對權限進行動態管理。如，外包人員僅在項目期間需要使用某些系統，通過TBAC模型可以將外包人員的權限與項目狀態關聯，項目結束自動回收權限，避免由于人工疏忽導致權限回收不及時而造成的權限濫用?；诓呗缘脑L問控制（Policy-based Access Control，PBAC）：一種將主客體角色和屬性與邏輯結合以創建靈活的動態控制策略的方法。如，當用戶使用VPN接入公司內網時并嘗試訪問敏感應用時，若用戶所處地理位置與用戶常住城市不一致，則要求用戶進行多因子二次認證；若用戶所處地

48、理位置與常住城市一致，則允許用戶訪問。4.4.3 聯動安全卡點能力，實現安全聯防聯控在用戶的登錄、用戶/設備訪問應用、應用訪問數 據 的過程中，零信任 策略中心的兩大引擎 對 請求數據進行綜合分析，評估當前請求的風險類型、風險等級并下發合適的響應動作。認證引擎：當用戶登錄設備、用戶登錄應用時，基于身份卡點、設備卡點采集的認證體系數據、網絡環境數據、設備身份可信狀態數據、設備基線數據等信息，進行綜合分析，評估當前應當采取何種認證方式并下發至賬號卡點執行。賬號卡點：基于認證引擎分析結果，執行帳密認證、掃碼認證、生物信息認證、無密碼登錄、第三方認證等多重認證方式。訪問控制引擎：通過安全卡點采集用戶賬

49、號、設備、網絡環境等數據，并與訪問客體的應用敏感屬性和數據敏感等級相對比，實現用戶訪問/設備訪問/應用訪問數據的分級授權，通過設備卡點、應用卡點、數據卡點執行。設備卡點：基于訪問控制引擎分析結果，執行限制終端設備入網、限制終端設備訪問、限制數據通過終端傳輸、限制跨邊界訪問等響應動作。應用卡點：基于訪問控制引擎分析結果，限制不安全的應用發布、當設備訪問存在安全漏洞的應用時提升設備安全基線要求、執行正常授權、降級授權、二次多因子認證和禁止訪問等響應動作。數據卡點：基于訪問控制引擎分析結果，對數據進行加密、脫敏、添加水印和限制訪問權限等響應動作。第五章 資產數字化的零信任駕駛艙零信任駕駛艙是在傳統零

50、信任三要素的基礎上，納入到京東零信任體系的一大特色。全域風險量化是零信任駕駛艙的重要組成部分，零信任駕駛艙通過打造全域風險量化管理體系，指導安全投資決策和安全建設，保障企業資產安全合規，保障企業業務可持續發展。175.1 京東零信任全域風險量化與風險治理的決策依據京東基于多年實踐與積累，逐步形成“京東零信任全域安全風險量化模型”。全域安全風險量化模型以提升資產合規評分，降低安全風險與安全事件為目標，通過合規分數提升避免已知風險事件的發生，通過盡早發現和治理安全風險，減少安全事件的發生的同時對資產合規性進行復盤；通過安全事件的發現，對安全風險、資產合規進行復盤；形成環環相扣的風險量化，幫助企業實

51、現安全建設與風險管控的整體評估。見【圖9】。資產合規評分：基于資產落實安全措施成熟度與安全措施覆蓋率，計算資產合規評分，反映企業資產整體安全水位。安全風險治理：基于過往風險消除比例、風險是否及時消除、風險是否帶來進一步事件、風險消除平均時長等指標，量化風險治理情況，反映企業存在哪些可能導致安全事件的風險和風險應對能力。安全事件管理：基于過往發生的安全事件平均止損時長、同根因安全事件重復發生次數等指標，資料來源：京東圖 9 零信任駕駛艙建立安全事件的止損庫與復盤庫，幫助企業評估在安全事件快速響應的能力與止損措施有效性。零信任駕駛艙通過應用資產卡點、設備資產卡點、數據資產卡點、賬號資產卡點對各類資

52、產進行數據采集，并根據資產安全評分模型為資產安全進行評分。同時通過駕駛艙安全運營平臺收集、分析安全風險與安全事件。零信任駕駛艙基于安全風險量化模型搭建了全局的資產風險視圖，以及每個業務的場景化資產風險視圖，幫助企業進行定期安全風險研判，通過“資產安全評分模型”的數據反映企業當前在安全建設過程中存在哪些缺口，缺少哪些安全能力。針對“安全風險”與“安全事件”進行根本原因分析，找出安全隱患和安全事件是由于“資產合規評分”中哪個部分缺失而產生的。以員工數據泄漏事件為例，針對“安全事件”，京東安全專家結合資產風險視圖在全域資產身份化的基礎上，定位該員工的身份、使用的設備身份以及與泄漏相關的應用身份、數據

53、身份，并查看相關資產的安全評分，對安全事件進行根因分析，分析后發現該數據泄漏事件是由于“資產合規評分”中的該員工訪18問權限過大風險、數據未進行加密、終端未部署DLP風險導致的。駕駛艙聯動安全運營平臺，自動化生成風險消除流程，對該事件進行跟進處置。同時，通過根因分析對企業風險進行研判，推進數據權限收斂、數據全鏈路加密與DLP的部署，對企業風險產生的源頭進行治理，而不是僅關注風險本身。當安全治理實施后，通過安全風險數字量化模型評估安全治理效果，通過安全卡點收集的數據，自動評估“資產合規評分模型”的提升，以及“安全風險治理”和“安全風險管理”的下降，量化評價安全治理措施的有效性，驗證安全治理效果。

54、5.2 零信任駕駛艙構建ROI評估體系，是安全投資決策依據在企業發展過程中，安全建設的價值往往由于缺少量化評估工具而難以體現。企業CXO8在進行安全決策時，由于無法了解當前安全資源如何投入，存在缺少明確安全目標的抓手，無從評估安全資源利用的有效性，導致安全投資不合理，在浪費安全資源的同時，為業務帶來安全風險。而企業數字化轉型則為安全投資體系提供了必要基礎，在數字化的基礎上，零信任駕駛艙基于安全風險數字量化模型幫助企業明確安全建設目標，并通過ROI評估體系輔助CXO進行合理安全投資決策，規劃安全建設路徑。從原有事后分攤安全建設成本轉變為事前規劃，降低資源浪費，提高安全建設收益，降低業務風險。駕駛

55、艙輔助確立安全建設目標：零信任駕駛艙基于安全卡點采集的數據，采用安全風險數字量化模型生成企業全局資產風險視圖。通過資產安全評分以及企業威脅面分析，幫助企業識別當前評分模型中分數最低安全建設缺口，研判安全隱患與事件的深層根因。同時結合行業屬性與業務特點，利用歷史安全事件數據與專家系統評估安全建設缺口對業務的影響，基于業務影響程度自動生成安全治理建議，輔助CXO制定安全建設目標。保障安全建設目標符合業務發展，做到安全建設來源于業務，服務于業務。構建安全投資數字化ROI評估體系：通過安全建設ROI評估體系，幫助企業CXO理解安全建設價值與收益。在CXO明確安全建設目標后，京東通過數字化ROI評估體系

56、對安全項目進行進一步拆解，確保安全項目與企業安全建設目標一致，實現資源利用最優解。安全投資數字化體系首先明確了安全項目的定義與類型，京東將安全建設項目分為安全能力建設、安全風險治理、安全產品打造、安全服務四個類型，并為每個類型項目構建了完整的評價指標體系：從項目資金收入、項目成本、效率提升、體驗提升、技術影響力五大維度30余個指標對項目進行評估，全面考慮了項目在資金收入、人力/資金/時間/運營/資源成本、管理/運營/流程效率、業務體驗方面的影響，并針對不同項目類型選取了差異化的評估指標，為每類項目組建指標池，用于評估單個項目ROI。在安全項目立項啟動前，首先明確項目商業模式，如安全能力建設類項

57、目商業模式為提升API安全爬蟲檢測準確率，從而減少外部灰黑產利用，提升零售業務收益；基于項目商業模式和企業安全建設最終目標選擇IT資源成本、信息及時性、由于反爬蟲策略導致的投訴率、差評率，以及策略可靠性、性能作為核心評估指標。根據ROI（項目建設收益-項目建設成本）/投資總額）測算并評估當前項目與安全建設目標吻合度以及項目的投資收益，并進行最終安全投資決策，實現安全投資體系化、數字化評價?；诎踩ㄔO項目ROI評估，幫助企業規劃實現安全目標的安全建設路徑。第六章 京東集團特色零信任實踐京東特色零信任理念已在集團零售電商、科技金融、物流、健康、供應鏈生態等場景落地應用。8 CXO：指企業CEO、

58、CTO、CSO等企業安全建設決策者19資料來源：京東圖 10 電商零信任實踐方案6.1 電商行業業務安全落地實踐1、業務場景京東零售作為電商行業的頭部企業，擁有著豐富的業務形態和龐大的生態體系，營銷風險是京東零售在一系列商業活動中面臨的最主要的安全風險。企業為拉取新用戶、促活沉默用戶、增加老用戶復購率等推出一系列營銷優惠活動，黑灰產利用不當技術手段進行非法獲利，直接影響營銷活動效果，對企業造成損失。見【圖10】。2、技術實施和效果1）識別保護對象，盤點電商業務系統：針對零售電商行業的營銷安全風險，京東首先依托ToC統一賬號體系，搭建C端個人用戶的賬號身份，保障用戶在主站、京喜等各業務系統均擁有

59、唯一的身份標識。為保障用戶隱私、滿足監管合規要求，C端場景下的零信任采用無端模式，通過瀏覽器指紋技術構建用戶端的可信身份，實現了用戶和設備身份關聯。維護了用戶和設備身份ID映射關系，落實了資產身份化。202）結合業務流，部署身份卡點和應用卡點：在身份化的基礎之上，依托賬號卡點和應用卡點在黃金流程9各環節所涉及的系統集成零信任卡點能力。如在用戶注冊和登錄環境部署零信任身份認證卡點，實現用戶身份驗證與授權。在電商業務系統部署應用卡點應用權限管控、在用戶商品瀏覽、評論、優惠券領取、下單和支付等功能接口部署零信任網關卡點的API防護與動態鑒權、分級響應能力。3）繪制安全行為基線，實現訪問控制與動態授權

60、：依托零信任卡點采集的數據，在零信任策略中心搭建電商風控場景的安全行為基線，結合專家經驗和機器學習生成賬號身份的風險畫像和異常行為指數，依據京東零信任訪問控制模型進行風險處置，例如利用統一身份認證卡點對異常賬號限制登錄，對抗黑產撞庫、群控機群等手段的攻擊。4）基于卡點采集數據及零信任策略中心的評估結果，生成零信任駕駛艙的電商業務視圖，幫助電商業務負責人及安全負責人了解電商業務當前的整體安全合規狀態、風險大盤及潛在的薄弱環節，及黑灰產的攻擊者畫像。由安全部門與電商業務部門合作，進行針對性的安全治理目標規劃與落地有效性評估。京東零售電商零信任安全體系，通過先進的零信任訪問控制模型和業務全鏈路安全卡

61、點實時布控，實現對黑產精準識別、實時處置，有效避免羊毛黨刷取平臺優質稀缺品倒賣牟利、機刷流量、裂變騙取平臺和商家補貼等風險。6.2 金融行業安全落地實踐1、業務場景金融業務復雜、迭代速度快，基于攻擊請求特征黑名單攔截防護的傳統安全防御手段已不能完全滿足金融科技的安全防護需求。如何保障金融業務安全的運轉，抵抗外部攻擊者的覬覦，是金融行業面臨的主要安全挑戰。見【圖11】。2、技術實施和效果1）識別需求，明確金融科技業務重點保護系統：京東金融科技業務選擇采用零信任的安全防御體系滿足企業用戶在金融業務中的數據需求?；诹阈湃蔚挠啦恍湃纬掷m驗證的核心原則，京東首先在金融業務使用了京東統一ToC與ToB賬

62、號體系，為個人用戶與企業客戶賦予唯一身份。2）結合業務流，部署零信任卡點：首先在金融的業務系統中部署了應用卡點，基于零信任的應用權限管控能力，嚴格限制不安全、不符合金融監管要求的應用發布。同時將自研的RASP卡點通過注入安全疫苗的方式嵌入到應用內部，在不依賴請求特征的情況下，實現對攻擊行為的免疫防護，自動化阻斷攻擊請求。依托于云原生能力，零信任安全體系與業務有機融合，作為基礎設施的一部分對業務實施持續性免疫防護，實現了對業務透明無感。零信任卡點下沉到容器鏡像和Pod10、網格層，貫穿服務的開發、發布、上線、運行全流程：在服務開發時，持續性代碼安全性掃描和供應鏈安全檢9 黃金流程：指消費者購物時

63、經過的商詳、購物車、結算等與交易相關且價值非常高的環節的統稱。10 Pod:Kubernetes基本調度單元21資料來源：京東圖 11 金融零信任實踐方案查保證了代碼的可信可控，并對上游供應鏈風險進行及時響應和處置，例如對上游FastJson等高風險組件實施零信任加固改造，消除風險源頭；在服務發布時，容器鏡像安全掃描和加固嚴格限制不安全、不符合金融監管要求的應用發布，對容器逃逸攻擊面進行消除，并自動將RASP等防護能力嵌入應用內部，實現對攻擊行為的細粒度防護；在服務上線時，服務默認無任何網絡權限，在服務所在Pod與發布上線平臺通過PKI11體系完成認證并授予身份后，基于Service Mesh

64、的零信任網格卡點模塊依照最小權限原則，對服務的網絡和數據訪問進行鑒權、控制、加密和監控，實現對服務的微 隔離。在微隔離方式之外，得益于eBPF12技術的成熟和運用，安全得以在內核視角以更靈活精細的方式實現同樣的零信任防護，實現進一步的多層縱深 防護。3）繪制安全行為基線，實現訪問控制與動態授權：京東在金融科技業務中采用微隔離卡點能力進行服務器卡點，零信任策略中心根據業務系統的敏感等級制定了服務器設備安全基線要求，并通過零信任網關的動態持續鑒權與風險響應能力，根據主機請求自動分析授權。如當金融業務邊緣非敏感系統相互訪問時，如果請求主機部署了防火墻則允許相互訪問；當非敏感系統訪問核心高敏應用時，若

65、請求主機僅開啟了防火墻，未安裝指定安全補丁、未部署堡壘機則阻斷主機的訪問。防止攻擊者利用服務器之間的請求進行橫向滲透，由此進入高敏系統，為金融業務系統提供原生安全能力。同時當用戶在金融系統中訪問敏感數據時，零信任也依托數據網關卡點進行了數據權限的精細化管控，使用降低風險用戶可查詢的數據條目；根據用戶網絡環境、瀏覽器指紋以及用戶歷史行為風險對敏感數據進行脫敏、加密等精細化權限管控措施。11 PKI：Public Key Infrastructure，即公開密鑰基礎設施12 eBPF：extended Berkeley Packet Filter,即擴展的伯克利包過濾器22資料來源：京東圖 12

66、物流零信任實踐4）基于卡點采集數據和零信任策略中心的評估結果，生成零信任駕駛艙的金融業務視圖，幫助金融業務負責人及安全負責人了解金融業務當前的整體安全合規狀態、數據流轉情況及潛在的薄弱環節，及外部攻擊者畫像。由安全部門與金融安全技術部門合作，進行針對性的安全治理目標規劃與落地有效性評估。京東金融科技零信任安全體系，護航京東金融科技業務系統歷經多次實踐檢驗，保障京東科技上億級用戶隱私數據的安全流轉。6.3 物流行業數據安全落地實踐1、業務場景 京東物流擁有國內企業中罕見的員工規模，物流倉揀配一線員工超30萬，遍布全國7大區域。同時京東物流有著錯綜復雜的自營業務線，快遞、快運、大件、冷鏈、3PL1

67、3、同城業務。如何在這復雜業務場景中做好數據資產盤點、敏感信息分類分級、數據加密傳輸、精細化權限管控，是京東物流在數據安全建設工作中面臨的主要挑戰。見【圖12】。2、技術實施和效果面對京東物流在數據安全建設中遇到的挑戰，京東零信任給出了解決方案：1）資產全面盤點，明確物流業務重點保護對象：首先通過零信任智能資產識別能力與京東資產管理系統合作，梳理出了物流復雜業務場景下的全量賬號資產（如一線物流配送人員、分揀人員、倉庫人員、貨運司機等）、設備資產（如配送站PC設備、移動設備、手持一體機設備、IOT設備等）、應用資產（如物流訂單、運單、倉庫管理、配送管理系統等），并為以上資產涉及的數據資產進行分類

68、分級、為四類資產賦予了唯一身份。在數據流動過程中通過敏感信息識別能力準確識別資產身份和受保護的對象，從而實現安全和高效的平衡。13 3PL：Third-Party Logistics，即第三方物流232）基于業務流，部署零信任身份認證卡點、應用卡點和數據卡點：首先繪制京東在物流的運單系統、訂單系統和倉配系統部署了零信任ToE身份認證卡點，并結合應用權限管控卡點和數據網關卡點采集物流業務下不同崗位的數據訪問行為，繪制了一條人到應用到數據的可視化請求鏈路。3）繪制基于不同角色的安全行為基線，實現訪問控制與動態授權：基于請求鏈路形成了快遞員、快遞站長、貨運司機、貨運組長、倉庫管理員、倉庫負責人等各一

69、線崗位的數據訪問環節的安全行為基線，定義了每個崗位可使用的查詢功能、可訪問的數據條目、運單數據所屬的地理區域、可訪問的用戶PII信息，依托數據網關卡點實現初步的數據授權。同時零信任策略中心結合當前用戶使用的設備類型和設備身份信息進行動態授權，如當物流員工使用京東統一發放的手持一體機和京東登記的PC設備訪問業務系統時，允許用戶查詢正常數據；使用個人PC或移動端設備訪問時，限制數據條數、并對數據進行進一步的脫敏與加密，實現數據的精細化權限管控。4）基于卡點采集數據和零信任策略中心的評估結果，生成零信任駕駛艙的物流業務視圖，幫助物流業務負責人及安全負責人了解物流業務當前的整體資產安全狀態、數據權限大

70、盤及潛在的薄弱環節，以及一線人員安全行為畫像和攻擊者行為畫像。由安全部門與物流治理部門合作，進行針對性的安全治理目標規劃與落地有效性評估。當前京東物流依托線上化平臺已建立完善的物流員工安全基線，實現動態持續訪問控制和數據脫敏，極大的節約安全治理成本，每年可以實現數十萬人的敏感權限精細化管控。6.4 健康行業數據安全落地實踐1、業務場景隨著京東健康在互聯網醫院、家庭醫生、智慧藥房、健康城市（智慧醫療一站式服務）等數智化創新業務場景的持續發展，用戶的健康數據在分級分類、數據鑒權、數據存儲與傳輸方面迎來新的安全挑戰。2、技術實施和效果1）識別需求，明確健康數據身份：京東互聯網健康選擇采用零信任的安全

71、防御體系滿足企業用戶在健康業務中的數據需求?；诮】禈I務在數據安全工作中面臨的挑戰，京東零信任管控體系首先通過元數據管理中心統一管理業務系統涉及的數據資產，將用戶身份證號、手機號等結構化數據資產以及如藥品處方、診斷說明等非結構化數據資產與問診場景、人員相關聯，針對業務身份、人員身份進行訪問校驗。2）基于業務流，部署應用卡點：京東將數字資產身份化技術嵌入健康業務系統，在數據產生環節對數據進行分類分級；零信任應用卡點集成了ACES14數據加密能力，通過應用網關自動化識別未進行敏感數據加密存儲的應用，限制未進行存儲加密的應用 發布。3）繪制基于不同角色的安全行為基線，實現訪問控制與動態授權：數據使用

72、環節基于在線醫生、醫生助手、藥劑師、患者等角色建立安全行為基線，例如用戶主動使用醫生助手進行科室選擇或轉診服務時，僅展示用戶的年齡區間和用戶填寫的病情描述，用戶的真實姓名會進行脫敏處理，并使用HTTPS加密協議進行數據傳輸；另外針對涉及敏感數據傳輸的瀏覽、導出等功能，依托數據網關卡點，根據用戶選擇的不同問診服務，進行數據分級，實現初步的動態授權和權限精細化管理。4）基于卡點采集數據和零信任策略中心的評估結果，生成零信任駕駛艙的健康業務視圖，幫助健康業務負責人及安全負責人了解健康業務當前的數據資產盤點情況、數據存儲及安全性評估分數、攻擊者行為畫像。由安全部門與健康技術部門合作，進行針對性的安全治

73、理目標規劃與落地有效性評估。目前京東健康依托線上化平臺已建立完善的敏感數據保護機制，實現每年保障數億活躍用戶在智慧問診、智慧購藥等多個環節的敏感數據機密性、完整性和可用性保障。同時，京東健康零信任安全體14 ACES：Access Control based Encryption Service，即基于訪問控制的加密服務24系護航健康業務系統獲得信息安全領域的數十項權威認證，是中國互聯網醫療領域首批通過BSI認證，被授予ISO 27799個人健康信息安全管理體系認證證書的企業。6.5 供應鏈生態數據安全落地實踐1、業務場景京東擁有著覆蓋數十萬平臺商家、供應商、獨立軟件開發商、廣告商等的供應鏈生

74、態體系。在業務合作方面，如何保障必要大量數據交互和共享的安全性，如何高效治理遍布各地、基數龐大、安全性參差不齊的生態系統，如何協調業務流程與體驗動態變化帶來的阻力，是京東供應鏈生態數據安全治理面臨的主要挑戰。京東針對以上挑戰不斷調整，逐步形成多維度的安全解決方案。2、技術實施和效果京東持續輸出零信任數據卡點、應用卡點和設備卡點能力，助力“生態伙伴安全成本最小化”和實現“京東數據安全性最大化”。1）識別需求，生成零信任SDK：京東為龐大的供應商提供了供應商業務系統，同時提供了零信任SDK幫助供應商自建系統通過SDK集成京東零信任的應用卡點、數據卡點安全能力，降低供應商的安全建設成本的同時，落地零

75、信任。2）基于業務流，部署數據卡點：數據離開京東時：京東建立了嚴密的數據審批機制，由數據卡點為審批通過的數據增加透明水印標識。當數據離開京東時，零信任統一對外數據網關將檢測特殊水印標識是否存在，針對通過審批的數據根據業務需求進行加密、脫敏，同時，自動阻止未經過審批的數據離開京東。數據達到供應商后：京東以零售商家管理系統為底座，通過數據網關卡點為零售業務供應商提供基于數據脫敏能力的面單、打印和虛擬號等工具，實現商家在訂單管理等業務環節無需觸碰到原始用戶隱私數據便可正常開展業務，極大減少數據在非安全環境泄漏的風險；同樣，京東零信任為京東物流運單管理系統提供了數據網關卡點，實現數據脫敏，保障運單隱私

76、信息在運輸過程中的高安全性。3）繪制覆蓋數百個角色的安全行為基線，實現訪問控制與動態授權：京東的零信任策略中心構建了基于供應商管理人員、供應商運營人員、倉管管理員、第三方快遞員、第三方客服等數百個角色的安全行為基線，結合終端設備卡點能力，實現百萬級人員在復雜應用場景下，保證高效工作的同時，持續性以最小權限收斂并進行訪問控制和風險評估。在人員角色轉換、調崗、離職時也對權限進行自動化回收和重新賦權評估。4）基于卡點采集數據和零信任策略中心的評估結果，生成零信任駕駛艙的供應鏈業務視圖，幫助京東業務負責人及安全負責人、生態伙伴了解當前合作業務的整體資產安全狀態、數據資產大盤及潛在的薄弱環節，以及攻擊者

77、行為畫像。由安全部門、業務部門與合作方技術部門，進行針對性的安全治理目標規劃與落地有效性評估。京東供應鏈生態零信任體系和業務深度融合，在幫助生態伙伴降低安全建設門檻的同時，保障京東數據安全合規的同時，發揮業務價值。目前處理敏感數據的三方系統均已接入京東零信任體系，安全風險顯著下降。第七章 展望助力更多企業落地零信任安全體系：京東將自身豐富的實踐經驗與京東特色的安全管理、安全技術能力相結合，總結出一套可復用的零信任體系。企業在安全建設過程中，可以參照京東零信任的實踐之路，以零信任的“永不信任，持續驗證”為核心指導思想，打造安全治理的閉環。京東希望通過京東零信任體系能夠幫助更多的企業解決在業務快速

78、發展與數字化轉型過程中遇到的信息安全問題。25構建緊跟時代變化的零信任安全基座：未來京東零信任安全體系將持續集成安全單點能力，將零信任平臺改造成一個通用的標準底座，通過一系列的行業標準的制定，實現京東零信任與業界第三方安全能力插拔式互通，實現安全數據統一分析、安全策略統一編排部署、安全風險統一處置、達到聯防聯控的效果，將安全能力的價值最大化。在最大程度上降低企業安全建設成本的同時，使企業自建或采購的安全能力持續發揮作用。通過零信任體系持續提升業務運行效率與用戶體驗，構建一個具有持續旺盛生命力的零信任安全體系，幫助企業在信息時代下能夠有效應對數字社會復雜多變的安全挑戰。以零信任思想建設企業全方位

79、安全：京東零信任體系將是信息安全、業務運營安全、監管安全與法律安全的技術底座。在全球經濟合作的發展趨勢下，伴隨大合規時代的來臨，京東致力于將零信任的思想體系擴大到各個安全領域，將傳統的發現問題解決問題的安全管理方針轉變為零信任的動態治理安全預防思想。京東未來將通過零信任思想服務于企業業務運營安全，在業務運營環節搭建運營卡點，通過卡點自動化采集業務運營數據，并搭建業務合規安全基線。同時基于京東法律知識庫與監管合規要求，繪制企業安全合規矩陣，構建京東零售、電商、物流、金融、保險、醫藥、廣告等各業務的合規評價模型，并通過卡點采集的數據實現自動合規評價與合規治理，限制不合規的資產與業務對外發布。在此基

80、礎上，京東將基于各安全領域的特性構建評價指標，建立安全風險評價體系，通過京東安全駕駛艙繪制出企業全局安全合規視圖，為企業CEO提供安全合規的全局視角，幫助企業負責人能夠快速、高效、可視化的了解企業大合規現狀，提升企業合規治理效率、降低企業合規成本。幫助企業在實現自身合法合規與企業健康運轉的基礎上，為社會提供蓬勃穩定的服務能力。參考文獻1 Lawrence.Orans,Best Practices for Implementing Zero Trust Network Access J,Gartner,2021.2 Scott.Rose,Zero Trust Architectur M,NIST

81、 Special Publication 800-207,2020.3實戰零信任架構J,CSA云安全聯,2022.4 軟件定義邊界(SDP)標準規范2.0S,CSA云安全聯盟,2022.5 Jeff.Peck,Migrating to Beyond CorpJ,Usenix.org,2017.6 零信任系統技術規范S,中國電子工業標準化技術協會,2021.7 Data Breach Investigations Report J,Verizon,2022.8 2022年數據泄露成本J,IBM,2022.資料來源：京東26Gartner的研究7個有效的零信任實施步驟 網絡訪問如今，企業通常會部署

82、零信任網絡訪問來取代遠程訪問VPN，但是過于復雜的策略阻礙了其采用。安全和風險管理部門負責人必須采用連續生命周期方案來進行遠程訪問管理，才能取得成功。概述主要發現 傳統架構行為在遠程訪問買家中保持一致，這種行為差距導致“零信任網絡訪問”(ZTNA)的采用存在挑戰。ZTNA并非一種“一勞永逸”的技術，它在本質上依賴于連續的迭代過程，該過程要求隨著業務和風險級別的變化而調整訪問策略。一些最終用戶組織報告指出，他們已經完全用云托管型ZTNA解決方案取代了傳統VPN，但是在實施過程中遇到了策略制定方面的挑戰。ZTNA可能比傳統VPN更有優勢；但是，其部署應符合企業的零信任策略，滿足企業負責人對其用戶群

83、的遠程訪問要求，并采用基于風險的方法來進行以優化企業的安全態勢。2022年，在商業環境中實施零信任戰略的強烈興趣和趨勢仍在持續。與2021年同期相比，在2022年的前6個月，對此主題的咨詢量增長了34%。建議負責基礎設施安全的安全和風險管理負責人應：使用連續生命周期方案，以更清楚地了解遠程訪問風險級別和必要策略要求，并能夠根據企業的風險偏好來調整訪問策略。利用零信任原則與企業負責人開展重要對話，這樣將能夠在實施任何ZTNA技術前提供指導并幫助實現其業務目標，而不是將該技術作為孤立的解決方案?；谟脩?、設備、應用程序和數據分類，構建策略治理范式，以幫助規定“誰有權訪問什么內容”。從身份和訪問要求

84、著手。定期進行評估以確認受保護資源的隔離狀況，并驗證用戶對資源的訪問權限。簡介作為一種為用戶提供最低業務應用程序權限的方案，ZTNA產品越來越受歡迎，其已取代傳統的遠程訪問VPN。傳統的遠程訪問VPN仍主要用于許可證更新和網關升級場景。但是，這些成熟的VPN技術將繼續存在，以應對ZTNA產品組合無法滿足集成技術要求的情況，或者ZTNA試點程序尚未說服重要決策者的情況。雖然許多客戶和供應商已將ZTNA整合到通過云交付的安全服務邊緣解決方案中，但是Gartner仍注意到此ZTNA功能被部署為一些特定用例的獨立解決方案，例如：用于確保負責遠程維護運營技術(OT)或物聯網基礎設施的外延工作人員獲得安全

85、的遠程訪問，或者用于需進行特定受監督會話管理的應用程序訪問的情況。盡管ZTNA具有安全方面的各種好處，也持續穩定地得到采用，但最終用戶組織仍難于制定適當策略來成功部署ZTNA。本研究報告闡述了一種適用于企業的實用方法，以幫助安全和風險管理負責人避免陷阱，并更加順利、更有效地完成ZTNA實施。ZTNA實施要求連續生命周期方案，此方案可以分為七個步驟，它們對成功的部署至關重要。這些步驟在圖1中進行了概述，并將在后面的“分析”部分中進行詳細說明。27圖 1 “零信任網絡訪問”生命周期分析與企業負責人一起確定目標和范圍要有效實施ZTNA，其中一個需應對的更大挑戰是，管理企業負責人和最終用戶群體的期望。

86、一些企業負責人會擔心ZTNA實施過程本身，及其對最終用戶體驗、策略管理員或變更管理流程產生的影響。安全和風險管理負責人必須與企業負責人合作，以了解后者的目標，從而制定強有力的基礎性零信任策略。為了幫助實現業務目標與最終目標（選擇、實現和配置ZTNA技術解決方案以實現預期結果）之間的最終映射，與企業負責人開展協作是“必要”基礎。在與企業負責人協商時，應強調ZTNA將如何降低業務風險，同時提高可用性和可管理性。告知這些企業負責人，相比于傳統訪問方法，新ZTNA模型可以更安全地連接到資源，同時為企業建立更強大的安全態勢。ZTNA解決方案中的安全性可以得到增強，并且可以靈活地進行策略調整，將有助于緩解

87、關于過渡到這項新技術的擔憂。在初始概念驗證期間，制定結構化的范圍，其中包括一組核心應用程序、用戶和設備（通常從“簡單用例”開始），就像完全以遠程方式工作的知識工作者一樣。然后，與企業負責人一起確定該組中最復雜的用戶，例如，進行遠程維護的特權承包商，或遠程工作的本地管理員。在確定ZTNA用戶范圍的兩端和部署復雜性后，安全和風險管理負責人將設定關于過渡步驟和時間框架的適當期望。在初始項目中，該小組將制定用于衡量進度的基準，并應確定將包括和不包括的應用程序（例如，大型機等不適合ZTNA的舊技術），以及將包括哪些用途。這種結構化分組將貫穿本研究中描述的每個部分，并且企業將隨著時間的推移使用更多應用程序

88、和用戶進行迭代。在選擇ZTNA技術供應商之前，最好不要與企業負責人進行策略規劃。策略規劃將最終生成功能需求，并有助于選擇針對潛在ZTNA技術供應商的評估指標。然而，Gartner已經發現一些例子，在其中，與ZTNA提供商進行的小規模試點程序幫助改善了預期，并豐富了內部知識。如果已經購買ZTNA產品，28請按照本研究中的建議進行，并根據產品的功能調整業務期望。使業務目標與零信任策略保持一致零信任是一種策略性方案，旨在以持續評估的顯性信任取代隱性信任。它基于由安全基礎設施提供支持的身份和環境，可適應組織的風險偏好，以提高安全成熟度。在最高的業務層面，零信任的幾個關鍵原則如下：在假定的折衷模型上運行

89、。將身份和環境用為訪問決策的基礎。絕不使用隱性信任；在允許訪問之前始終進行 驗證。僅提供對資源的足夠訪問權限。取消隱性信任；實施顯性信任。靜態和動態數據加密。實時監控并驗證所有操作。最終，零信任可以安全地將用戶與應用程序連接起來。安全和風險管理負責人必須在企業的安全和每個業務部門的業務目標之間實現平衡，并制定能夠提高業務生產力的策略。例如，根據極易變化的環境設置持續信任評估，或者采取二態（阻止、允許）操作，都會導致最終用戶感到沮喪。ZTNA必須依靠高質量的信號來建立可靠的信任評分，并向最終用戶提供良好的環境和消息傳遞功能，以說明訪問被限制或阻止的原因。該方法將根據行業類型、業務規模、監管要求、

90、云采用路線圖和內部數據分類而有所不同。零信任策略的構建塊如下：通用的身份管理結構，將定義：需訪問目標的用戶（帳戶）要用于訪問目標服務的設備（源端點）一組旨在規定權限的自適應訪問控制，其需要：與身份結構整合 建立與需要訪問的用戶相關聯的設備環境 識別和發現將作為目標的工作負載、系統和應用程序 基于風險承受能力的適當訪問控制在部署ZTNA和可能符合零信任原則的任何其他相關技術時，安全和風險管理負責人應將此方法及其原則作為指導。1關注身份和適當的訪問一些最終用戶組織報告指出，他們已將ZTNA配置為允許用戶訪問所有應用程序，這與其傳統VPN系統的配置類似。該做法存在的問題是，企業無法獲得ZTNA的全部

91、好處和價值。為了成功實現ZTNA的全部好處，企業應確定ZTNA將能夠在其中產生最大影響的“用戶-應用程序-數據”用例（例如，控制對敏感應用程序和數據的訪問，或向承包商等特殊用戶群授予訪問權限）。此外，還應對企業內需要安全訪問的相應領域應用特定策略。訪問用例在業務訪問策略中定義，訪問策略應是用戶和/或設備身份的組合，并且與支持背景數據相關聯。然后，這將根據業務的安全風險偏好映射到一系列控制措施或權限。身份和背景成為推動決策過程的關鍵元素，用例將基于它們來獲得應用程序和數據的訪問權限，以及被授予的訪問或權限的級別。ZTNA在很大程度上依賴于身份訪問管理，后者由多個管理時和運行時支柱提供支持，分別包

92、括“身份治理和管理”(IGA)以及“訪問管理”(AM)等等。IGA和其他管理時身份安全態勢工具（如云基礎設施權限管理）一起構成了基本要素，可減少攻擊面并 29確保相應身份只具有必要的權限，既不多，也不少。然后，在使用資源時，這些身份可以在運行時使用，由AM工具提供服務，用于執行身份驗證和授權。相關ZTNA技術依賴于在執行時AM所傳遞的信息（即帳戶權限、用戶行為和通過身份會話計算出的其他風險），以確定是否允許、拒絕訪問，或設置針對該ZTNA工具范圍內的受保護資源的身份驗證。在開始ZTNA實施前，記錄并制定應用程序的用途許多組織在等到實施ZTNA解決方案后才開始研究用戶和應用程序之間的關系。他們首

93、先使用ZTNA供應商提供的應用程序發現工具，或者使用其他現有的數據流映射工具。然而，一些早期采用者指出，他們在實施ZTNA解決方案之前就開始了發現流程，從而“實現領先”。Gartner觀察到下列兩種主要方法：1.全面但很耗時：在實施前通過映射應用程序和用戶來定義策略。如果計劃基于ZTNA部署來部署與零信任相一致的其他技術，則這是首選方法。示例：微分段或基于身份的分段。2.戰術性和漸進性：有目的地確定孤立的小型應用程序組，以及最先開始為其提供服務的小型用戶團隊。在評估所需總時間，以及工作流管理和文檔記錄流程的穩定性時，將其作為基準。利用最初與不同部門（市場、財務、銷售等）的業務負責人合作進行的工

94、作，確定您的團隊需要訪問哪些應用程序，包括承包商（如果有）。然后，安全負責人能夠制定理論上的訪問策略和相關的工作檔案。工作檔案應規定遠程工作訪問的功能，以及相關的安全要求（參見圖2）。圖 2 員工遠程工作檔案的重要組成部分30安全團隊的目標應是：收集足夠的信息，以了解基于用戶角色和團隊的遠程工作策略。列出每個用戶類別的主要應用程序和計算模型。確定數據私隱要求。通過基于員工角色的現有風險評估來映射這些遠程工作檔案。訪問策略和工作檔案應基于對零信任策略的支持，并且應與企業的訪問期望保持一致。這將為企業的每個團隊提供一組標準，從而確定將允許哪些應用程序，以及應授予對應于相應風險的哪種訪問權限級別。這

95、使安全團隊能夠更快地進行ZTNA部署。早期采用者報告指出，在部署ZTNA之前執行應用程序映射有助于驗證策略。應用程序映射工具可確定誰將使用每個應用程序以及如何訪問應用程序；可以映射應用程序之間的依賴關系。ZTNA項目經理報告指出，即使他們有可用的應用程序發現工具，在確定哪些用戶需要訪問哪些應用程序時也需要進行大量工作。一種建議是反向進行，確定單個應用程序，然后映射用戶。建議盡早開始這項工作，然后根據需要使用更多應用程序進行迭代。許多ZTNA供應商在解決方案（如果以“開放”或“監視”模式部署）中提供此功能，并且一些采用者已經利用了其優勢。其他一些方法，如使用已在組織中部署的工具集，可以協助進行此

96、過程。對應用程序執行基于工具的映射并非必需步驟；但是，如果有可用工具，這確實有助于完成ZTNA部署過程。通過排除流程，安全負責人可以利用這些映射工具來驗證所制定的理論策略是否滿足企業負責人的訪問期望。在此流程中確定可能未在開發訪問策略期間被發現的其他訪問用例，是很正常的行為。通過首先建立策略并隨后驗證應用程序使用情況，企業可以將理論與實際情況相映射并進行記錄。這將有可能彌補任何未預見到的差距，或者為企業沒有意識到的用例建立新策略。該方法將為產品確立強大的戰術地位，以滿足組織在整個企業中部署零信任技術這一主要目標。清理應用程序訪問在發現和映射階段，可能需要對很多現有應用程序訪問策略進行調整和調優

97、。這是一個很好的機會，可取消不再相關的應用程序訪問權限和權利。在流程中的此階段，安全負責人應深入了解：哪些用戶或系統需要訪問應用程序和數據源 哪些已建立的業務數據源受應用程序的保護，以及需要訪問的數據的分類 用戶應如何以及在何處訪問應用程序和數據 誰已獲得授權或者正在使用特權訪問，以及出于什么目的 哪些資源已由企業批準，以及驗證用戶是否以預期的方式使用這些資源 哪些應用程序未被批準，以及為什么要使用這些應用程序 哪些應用程序或工具應被取消或限制使用一些組織已向Gartner報告稱，他們將其遠程訪問升級與應用程序和服務現代化的總體路線圖保持一雖然許多組織都沒有用于修改訪問策略的流程，但這樣做很有

98、必要。在最初，使訪問策略相對寬泛，然后隨著時間的推移，根據企業的風險偏好提高策略的粒度。這樣，將縮短在部署過程初始階段的操作周期和故障排除時間。避免一勞永逸策略。31致。這促使企業推遲了對某些應用程序的訪問的更改，因為已計劃將應用程序遷移到SaaS模型。多個早期ZTNA采用者報告指出，他們能夠改變或取消已經過渡到不同角色或已經離開公司的用戶的訪問權限，這是用戶生命周期管理不善的一個例子。一些早期采用者還報告說，他們終止了不再與之有業務關系的相關方（承包商）的訪問權限。在這一應用程序清理過程中，應遵守IGA指南和訪問策略，并在必要時進行更新，以便基準業務策略不與所實施的變更脫節。準備好應對運營開

99、銷和復雜性安全性是連續的生命周期；它始終在演變，對ZTNA策略采取“一勞永逸”方案是不現實的。在ZTNA部署方面富有經驗的組織報告稱，他們正在不斷調整策略。隨著新應用程序或數據源（包括季節性應用程序）的部署，ZTNA團隊將需要增加新的訪問策略以適應業務的變化。隨著應用程序或數據源（類型）的演變，或者當安全負責人發現需要更加細化或更高限制性的策略時，也可能需要修改現有的訪問 策略。如果服務臺或ZTNA實施團隊沒有做好準備，并受困于大量訪問請求（要求開放以前可能可以訪問的其他資源的訪問權限），這也可能影響到對流程的更改。應充分利用ZTNA工具的功能，以促進和記錄任何策略更改。ZTNA團隊應采取這樣

100、一種心態：隨著時間的推移，隨時需要改進和完善訪問策略。很重要的一點是，要與應用程序和系統的所有者保持溝通，以了解：用戶應訪問業務部門中的哪些資源？哪些內部和外部用戶需要訪問權限，以及其應如何訪問系統？業務部門內的哪些資源需要提升后的權限，為 什么？哪些應用程序或數據應被限制，或需由業務部門額外批準？是否有任何新項目或即將進行的重大變更可能導致需要修改策略？對這些問題的回答將有可能促使對已確立的訪問策略進行修改，并推動在ZTNA生命周期內新修改、測試和驗證訪問策略這一過程。限制過多或粒度過細的策略最初會影響服務臺團隊或ZTNA實施團隊，因此必須開發明確的例外流程來處理訪問請求修改行為。企業必須確

101、定應授予支持團隊多大的自主權以進行任何訪問更改，以及允許進行什么級別的訪問更改。在例外流程中，必須進行驗證步驟，以便在訪問策略被修改時，繼續與業務預期保持一致，并且不會引入不必要的風險。ZTNA策略的部署可能會導致一些運營變化。例如，幫助臺和IT支持人員應意識到，將需要為典型端點管理（可能依賴于對端點的第3層VPN訪問，對應于打補丁或遠程支持等任務）采用其他管理方法。許多ZTNA提供商在應用層（第7層）引導流量，因此可基于傳統VPN成功完成的自動化更新任務在更新的ZTNA模式下可能不再有效。在實施ZTNA解決方案之前，與終端管理團隊合作，以使端點管理現代化。驗證訪問控制和資源隔離零信任的一個關

102、鍵原則是，絕不使用隱性信任，而是始終進行驗證。還應將該驗證思路或原則應用于企業的內部安全控制集，并在整個企業范圍內實施。32信息安全是連續的生命周期，其中包括戰略、架構、實施、運營和驗證。驗證階段經常被忽略；在此階段，企業應評估自己的安全控制，并每隔一年確立已知的“原樣”遵從狀態。對安全控制的驗證應成為ZTNA規劃過程的一部分，并納入整體安全計劃。安全負責人應制定計劃和流程，以測試和驗證ZTNA策略的有效性。保 障 評 估 可 具 有 不 同 的 形 式，如 內 部 自 我 評估、ZTNA解決方案以及/或者提供控制測試服務的外部咨詢公司內的安全報告工具。測試計劃旨在了解兩個方面：受保護資源的隔

103、離情況，以及確保系統中用戶的訪問權限符合組織的訪問策略。這種驗證確立了ZTNA環境的當前合規性狀態，并揭示了可能需要彌補的任何潛在差距。建議在ZTNA技術已部署并實現相對穩定后，企業對ZTNA環境進行保障評估。諸如此類的安全評估應定期執行，主要由組織的風險偏好推動。通常，大多數組織將與外部或第三方安全咨詢公司（這些公司的顧問精通現代攻擊技術）合作以執行此步驟。依據本研究基于Gartner對ZTNA技術的多個早期和成熟采用者的采訪。1 有關零信任成熟度模型的更多信息，請參閱美國網絡安全和基礎設施安全局的CISA零信任成熟度模型關于零信任架構的更多信息，請參閱美國國防部的零信任參考架構。來源：Ga

104、rtner調研報告，G00772715，Dale Koeppen、Neil MacDonald、John Watts，2022年10月3日33關于京東京東集團定位于“以供應鏈為基礎的技術與服務企業”，目前業務已涉及零售、科技、物流、健康、保險、產發、工業、自有品牌和國際等領域。作為同時具備實體企業基因和屬性、擁有數字技術和能力的新型實體企業，京東依托“有責任的供應鏈”，持續推進“鏈網融合”，實現了貨網、倉網、云網的“三網通”，不僅保障自身供應鏈穩定可靠，也帶動產業鏈上下游合作伙伴數字化轉型和降本增效，更好服務實體經濟高質量發展。京東集團奉行客戶為先、誠信、協作、感恩、拼搏、擔當的價值觀，以“技

105、術為本，致力于更高效和可持續的世界”為使命，目標是成為全球最值得信賴的 企業。京東零信任安全實踐白皮書由京東發布。由京東提供的編輯內容與Gartner的分析結果相互獨立。使用任何Gartner調研報告須獲得Gartner的許可，Gartner調研報告最初作為Gartner面向所有具備資格的Gartner客戶的聯合調研服務的一部分發布。2023 Gartner,Inc.和/或其關聯公司。保留所有權利。使用或者出版本出版物中的Gartner調研報告并不表示Gartner認可京東的產品和/或策略。未經Gartner事先書面許可，不得以任何形式復制或分發本出版物。本出版物中包含的信息均取自公認的可靠來

106、源。Gartner不對此類信息的準確性、完整性或適當性做出任何保證。此處表明的觀點隨時可能更改，恕不另行通知。雖然Gartner研究可能會討論相關的法律問題，但Gartner并不提供法律建議或法律服務，不應將其研究解釋為或用作法律建議或法律服務。Gartner是一家上市公司，其股東擁有的公司或基金可能與Gartner調研報告中涉及的實體有財務利益關系。Gartner的董事會成員可能包括這些公司或基金的高級管理人員。Gartner調研報告是由其調研機構獨立完成的，并沒有受到這些公司、基金或其管理人員的介入或影響。如需了解Gartner調研報告的獨立性和完整性的詳細信息，請參閱其網站上的“Guiding Principles on Independence and Objectivity（獨立性和客觀性的指導原則）”。