云鼎信息安全管理规则(24年新版)
一 概述
1.1 目的
为营造规范、有序、安全的京东开放生态环境,提升云鼎内合作伙伴的安全防护能力,更好地保障消费者信息安全、提升开放市场及商家自研应用对于消费者个人信息的保护及应用自身的安全防护能力,保障商家及消费者的合法权益,根据国家相关法律法规,以及依据《京东集团三方合作伙伴信息安全管理细则》、《京东开放平台规则总则》 等内容,特制定此规则。如本规则与平台其它规则或规范有冲突,鼎内开发者的安全要求以本规则为准。
1.2 适用范围
本管理规则规定了开发者在云鼎内部署应用的安全防护能力、安全运营能力、安全日志、安全评分等方面的安全准则要求,适用于所有接入云鼎的合作伙伴,包括三方服务商和京东自研商家。
1.3 版本说明
版本号:1.0,发布时间:2024年03月18日。本规范自发布之日起执行。
二 安全要求
• 安全托管服务开通
为提升鼎内合作伙伴的安全防护和安全运营能力,云鼎平台为鼎内合作伙伴免费提供安全托管服务,非强制但建议免费开通。鼎内合作伙伴免费开通安全托管服务后,可免费开通主机安全(企业版)、Web应用防火墙、网站威胁扫描(企业版)、安全运营中心(企业版)、安全工单、DDoS基础防护、SSL数字证书等多项安全产品及日常运营服务,以及漏洞扫描与验证等服务。
• 安全防护能力要求
为提升鼎内合作伙伴应用安全防护能力,保障生态数据安全,云鼎平台要求接入鼎内的自研商家及服务商需具备主机安全防护、Web应用防护、网站威胁扫描、DDoS基础防护、传输通道加密(SSL数字证书)、安全运营中心、安全工单处理等七项安全防护能力。
• 安全责任人要求
接入鼎内的合作伙伴须在系统填报安全责任人,以对鼎内资产进行安全运营,处理安全工单。安全责任人信息须保证真实有效,如安全责任人发生变化,应及时在平台内对安全责任人信息进行更新维护,确保平台可随时联系到。
• 安全日志接入要求
鼎内部署应用的登录日志与订单操作日志须全部接入日志平台进行日志上报。应用需严格遵循京东日志规范,对整个应用中涉及敏感操作的功能点(包括但不限于登录、退出,订单明细查询、打印、导出,订单收货手机号、姓名、地址的查询、打印、导出等)需保证全部接入安全日志。
• 安全工单处理要求
鼎内安全运营中心会基于云主机及应用的安全运行情况产生安全工单,安全责任人应关注安全运营中心的工单情况,及时将安全工单在时效内进行处理。
• 安全评分标准
为了评价鼎内合作伙伴的安全防护及安全运营水平,平台推出安全水位评分机制,对安全状态进行量化评价。基于鼎内合作伙伴的安全水位评分情况,平台制定了对应的奖惩措施,以保障平台用户权益。
三 安全托管服务开通
为进一步强化鼎内环境的安全,提升鼎内合作伙伴的安全防护和安全运营能力,云鼎平台为鼎内合作伙伴免费提供安全托管服务及漏洞扫描和验证服务,建议鼎内合作伙伴免费开通安全托管服务。
安全托管服务旨在通过账号安全托管实现在重大活动保障期间,合作伙伴将账号内的资产安全运营进行托管,以保证专业安全团队集中处理告警事件、避免在重保期间遭受攻击及黑客入侵。
安全托管服务将提供:
1、安全产品免费接入和日常运维。
2、常规性安全产品告警运营处置。
3、业务系统风险巡查和处置指导。
4、高危风险监测预警与处置指导。
安全托管服务接入,将涉及如下安全产品的开通和服务的授权,包括安全产品的策略调整,安全日志的访问及分析,定期安全扫描等安全运营相关的工作。
3.1 安全托管服务免费开通方式
1、登录云鼎控制台,查看“云鼎安全托管服务免费开通说明”公告;
2、勾选“我已知晓”并点击“确认”,公告自动关闭。(点击“确认”后,平台将视为您申请开通安全托管服务,平台将在24小时内为您开通)。
3.2 安全产品开通及日常运营说明
1、安全托管服务接入后,鼎内合作伙伴将能免费使用主机安全(企业版)、Web应用防火墙、网站威胁扫描(企业版)、安全运营中心(企业版)、安全工单、DDoS基础防护、SSL数字证书等七款产品。
2、安全托管服务接入后,将授权云鼎团队安全产品的控制权限和对应安全日志的访问权限,用于实施安全产品的日常运营。所有权限均不涉及账号、云主机、数据库等产品或功能。
| 产品 | 数据接入 |
|---|---|
| 主机安全 | 异常告警、进程信息等安全数据。 |
| IP高防 | 异常告警等安全数据。 |
| 安全运营中心 | 各安全设备接入的告警数据。 |
| 安全工单 | 安全工单接受、处置。 |
| Web应用防火墙 | Web访问日志、攻击拦截日志等安全数据。 |
| Web应用防火墙 负载型 | Web访问日志、攻击拦截日志等安全数据。 |
| 网站威胁扫描 | 漏洞扫描结果等安全数据。 |
| 内容安全 | 内容安全审核违规记录数据。 |
| 数据库审计 | 数据库审计记录等安全数据。 |
| 堡垒机 | 堡垒机种用户操作审计等安全数据。 |
| NAT网关 | NAT转换日志。 |
3.3 漏洞扫描与漏洞验证说明
安全托管服务将授权云鼎团队实施安全漏洞扫描和验证。
漏洞扫描技术,属于黑盒测试技术。鉴于操作系统及其他应用产品技术的复杂性,扫描过程可能会对业务的产生一定影响,为了保证业务连续性,授权方应做好数据备份及制定恢复计划。授权方或被授权方在测试中如检测到系统出现异常情况,可沟通立即停止测试,双方协商共同配合解决。
安全漏洞扫描可能产生的风险不限于:异常请求增多、服务负载升高、安全设备告警、被写入脏数据、潜在的业务功能受损等。
云鼎团队承诺:
1)被授权方承诺在扫描测试过程中将采取风险规避策略,尽量避免测试出现异常情况。
2)为避免导致目标系统的不正常行为及影响正常的应用,被授权方不使用DDoS攻击,不使用具有感染与自动复制功能的病毒等攻击方式。
3)对于授权方系统的扫描测试结果,被授权方有保密的义务,未经授权方书面授权,被授权方不会向第三方透露。
四 安全防护能力要求
为提升鼎内合作伙伴的运营体验、降低维护成本,云鼎平台为合作伙伴提供了一套安全防护能力供合作伙伴接入使用,包括本规则第2部分提到的七项安全防护能力。开启后的安全防护措施,不允许擅自关闭。其中,
• 主机安全防护,所有主机均须安装京东云鼎主机安全产品。云上镜像中默认安装主机安全agent,如使用自定义镜像或存在离线情况,需手动安装。
• Web应用防护,对外提供Web服务的站点均须接入Web应用防火墙产品,开发者可自购三方商业Web应用防火墙产品,也可接入京东云鼎提供的Web应用防火墙产品(负载均衡版或云WAF(托管版)),配合进行业务流量接入。
• 网站威胁扫描,须授权云鼎团队使用漏洞扫描类产品对鼎内资产及京东业务关联域名实施安全扫描。
• DDoS防护,对外提供服务的站点均须接入DDoS防护,可沿用已购买的商业DDoS防护产品,也可直接使用平台提供的DDoS基础防护,无需额外配置。
• 传输通道加密(SSL数字证书),对外提供Web服务的站点均须对传输通道进行加密,使用HTTPS对外提供服务。服务所需的SSL数字证书需自行购买/申请并维护。若同时使用京东云鼎提供的Web应用防护产品,须协助云鼎团队进行相关SSL证书的配置。
• 安全运营中心,须授权接入京东云鼎安全运营中心产品,授权云鼎团队对云鼎内资源进行安全运营。
• 安全工单处理,须配合云鼎团队配置安全责任人,并及时配合处理安全工单。
4.1 主机安全
• 安装要求:京东安全团队为每一位合作伙伴免费开通主机安全企业版,要求每1台鼎内的云主机各安装1个主机安全Agent。使用公有云镜像创建的主机默认会安装主机安全。
• 如何判断是否需要手动安装主机安全:
方式1: 通过SSH/RDP登录到云主机, 查看系统进程是否有jdog-monitor相关进程,如果没有则需要手动安装。
方式2: 进入主机安全控制台-资产管理,查看是否有离线/未安装状态的主机,如果有则需要手动安装。
• 安装方法:主机安全在官方镜像中默认安装,如使用私有镜像,则需要手动安装;安装步骤参考主机安全控制台-系统设置-Agent安装。
• 付费方式:合作伙伴开通鼎内安全托管服务后,由京东免费升级到企业版, 等同于免费使用。
4.2 Web应用防火墙
4.2.1 接入要求
鼎内对外提供Web服务的站点均须接入Web应用防火墙产品,开发者可自购三方商业Web应用防火墙产品,也可接入京东云鼎提供的Web应用防火墙(负载均衡版)或云WAF(托管版),开发者可根据自身业务情况选择接入的WAF方式,或参考【安全评分】云鼎免费WAF安装指南进行选型。
4.2.2 Web应用防火墙(负载型)+负载均衡
4.2.2.1 Web应用防火墙(负载型)
• 安装要求:使用负载均衡提供Web服务的站点且未使用云WAF产品,均需要接入Web应用防火墙(负载型),每个负载均衡需要独立安装1个Web应用防火墙(负载型)。
• 如何判断是否需要手动安装Web应用防火墙:进入Web应用防火墙(负载型)控制台,查看是否有已开通的具体实例,如果没有则需要安装。
• 具体安装方法:产品使用前,先创建负载均衡,将Web服务器流量通过负载均衡进行转发。创建完成并授权云鼎团队进行安全运营后,由云鼎团队进行创建和配置。
• 付费方式:Web应用防火墙(负载型)限时免费,负载均衡产品需开发者自行付费购买。
4.2.2.2 负载均衡
• 安装要求:使用Web应用防火墙(负载型)的站点,需要接入负载均衡,所有站点的流量必须全部接入负载均衡。
• 如何判断是否需要手动安装负载均衡:进入负载均衡控制台, 查看是否有具体实例,如果没有则需要安装。
• 安装方法:Web站点的负载均衡监听协议需要选择HTTPS、HTTP,详见https://docs.jdcloud.com/cn/application-load-balancer/realize-IPv4-load-balancing-rapidly
• 付费方式:根据业务需求,自行付费购买。
4.2.3 云WAF(托管版)
• 接入要求:账号仅使用单实例,峰值带宽较低,无负载均衡使用需求,但同时需要对外提供Web业务时,可接入云WAF(托管版)。接入云WAF需要将域名解析CNAME记录解析到指定的地址。无域名访问者需自行购买域名或使用Web应用防火墙(负载型)(见4.2.2)。
• 接入方法:接入须自行申请域名,具体步骤见:https://docs.jdcloud.com/cn/web-application-firewall/prepare
• 付费方式:免费。申请后由云鼎平台评估,满足“少实例小流量用户”条件的用户,由云鼎平台免费接入。
• 补充说明:仅少实例小流量用户,可申请接入云WAF(托管版),多实例、大流量用户、已使用LB的用户不支持接入。该版本仅提供防护能力,不提供防护实例的管理功能。若后期因业务发展流量带宽峰值增加或实例增加, 需配合平台在1周内将云WAF(托管版)切换为WAF(负载型)或其他自购的WAF产品。
4.2.4 第三方WAF
如鼎内Web服务均无法接入以上两种WAF,开发者可自行选择购买安装第三方WAF,并于安装后登录云鼎控制台,进入安全运营中心,“我的安全分”版块右上角点击“问题反馈”,反馈已安装的第三方WAF信息(包括:云账号名、域名、服务端口、服务端IP地址、峰值带宽、WAF服务商)。
4.3 SSL数字证书
• 安装要求:使用域名对外提供Web服务的业务,需要使用HTTPS提供服务,绑定合法的SSL数字证书。所有域名必须全部安装SSL数字证书。
• 证书申购方法:证书须自行申购并维护。如选择从京东云渠道申购,可进入SSL数字证书控制台, 申购证书。
• 付费方式:可自行选择证书类型并付费申购。如业务域名单一,可选择申购免费单域名证书。申购SSL数字证书时选择自定义配置,申购“TrustAsia, 域名类型单类型”类型SSL数字证书限额内免费,单账号限制申请25次(每次申请有效期90天,即单域名每年消耗4个额度)
• 补充说明: SSL数字证书根据自身情况合理选择, 可自行上传已自购的SSL数字证书或使用京东云免费SSL数字证书。SSL数字证书需定期进行更新,该工作须开发者自行维护,因证书到期未更新带来的业务影响由开发者自行承担。
五 安全责任人要求
5.1 安全责任人要求
在云鼎平台填报的安全责任人须遵循以下要求:
- 人员数量要求:至少填报1名安全责任人。
- 填报信息要求:上报姓名、电话、邮箱等信息。
- 响应时效要求:平台通知发出后,特大和重大事件类要求4小时响应,其他类型工单要求48小时内响应。
5.2 安全责任人职责
1.制定网络安全策略和规章制度:网络安全负责人需要与公司高层管理人员共同制定网络安全策略,确保公司的网络安全与业务目标相一致。需要制定相关的规章制度,规范员工在网络使用方面的行为,提高整体安全意识。
2.监测网络安全风险和威胁:网络安全负责人需实时监测网络环境,发现潜在的安全风险和威胁。通过分析安全设备日志、流量数据等,及时发现异常行为,并采取相应的措施应对。
3.部署和维护安全设备和软件:网络安全负责人需根据公司的业务需求,选择合适的安全设备和软件,并进行部署。需定期对安全设备和软件进行更新和维护,确保其正常工作并有效防护网络。
4.防范恶意软件和网络攻击:针对各种恶意软件和网络攻击,网络安全负责人需制定相应的防范措施。这包括部署防病毒软件、防火墙、入侵检测系统等,及时隔离和清除恶意软件,减少安全风险。
5.保护客户和公司数据隐私:网络安全负责人需采取有效措施,保护客户和公司的敏感数据不被非法获取和使用。需实施加密技术、访问控制等措施,确保数据的安全性和隐私性。
6.定期进行安全审计和风险评估:网络安全负责人需定期进行安全审计,检查安全策略的执行情况、安全设备的有效性等。通过风险评估,识别潜在的安全风险,及时调整安全策略,提高网络安全防护能力。
7.培训员工提高安全意识:网络安全负责人需定期开展安全培训,提高员工的安全意识。通过培训,使员工了解常见的网络威胁和攻击手段,掌握基本的安全操作规范,降低人为因素导致的安全风险。
8.与其他部门协作确保网络安全:网络安全负责人需与其他部门保持密切沟通与协作,共同维护公司的网络安全。例如与IT部门合作解决技术问题,与人事部门合作开展安全培训等。
9.应对安全事件和故障:一旦发生安全事件或故障,网络安全负责人需迅速响应,采取有效措施解决问题。需及时收集和分析相关信息,定位问题原因,采取相应的解决措施,并对此次事件进行总结和反思,提高应对能力。
10.跟踪最新的安全技术和趋势:网络安全是一个动态发展的领域,新的安全威胁和技术不断涌现。网络安全负责人需保持对最新安全技术和趋势的了解,不断更新和完善网络安全防护体系,提高企业的整体安全水平。
作为网络安全负责人,需要具备高度的责任心、敏锐的洞察力、专业的技术知识和良好的沟通协调能力。通过不断努力和学习新的知识,为企业创造一个更加安全、可靠的网络环境。
5.3 安全责任人报备方式
开发者可在云鼎控制台或商家开放平台后台填报安全联系人。
1、云鼎控制台
1)登录云鼎控制台,进入安全评分,点击“添加安全联系人”;
2)填写联系人信息:包括姓名、手机号、电子邮箱
2、商家开放平台后台
1、登录商家开放平台后台,进入控制台-安全概览-安全责任人-JDO/云鼎,点击“添加”;
2、填写联系人信息:包括姓名、手机号、邮箱地址,建议填写“云账号名”(请登录云鼎控制台右上角查看);如安全责任人>1名,请为主要安全责任人勾选“优先联系”。
3、请安全责任人添加官方安全咚咚群(三方服务商群号:10207227969,自研商家群号:10207987631),以便及时与平台对接安全事宜。
六 安全日志接入要求
6.1 接入要求
整个应用中涉及敏感操作的功能点(包括但不限于登录、退出,订单明细查询、打印、导出,订单收货手机号、姓名、地址的查询、打印、导出等)需保证全部接入安全日志。
6.2 日志接入方式
日志接入技术规范:https://jos.jd.com/commondoc.html?listId=104
登录日志上报接口:jingdong.isv.uploadLoginLog
订单日志上报接口:jingdong.security.orderinfo.log.upload
七 安全工单处理要求
鼎内合作伙伴须及时登录安全运营中心,按照工单处理时限要求处理收到的安全工单并经平台复测关单。
处理完成的安全工单会由平台安全管理人员复测,复核发现问题仍存在,需要重新修复;复核发现问题已消除,关单结束。
| 安全工单类型 | 安全工单类型说明 | 分级 | 最长修复时限 |
|---|---|---|---|
| 漏洞工单 | 用于记录、跟踪和验证已确认存在的网络安全漏洞修复情况。如:业务服务器数据库存在弱口令漏洞。 | 严重 | 2个工作日 |
| 高危 | 6个工作日 | ||
| 中危 | 8个工作日 | ||
| 低危 | 10个工作日 | ||
| 事件工单 | 用于记录、跟踪和验证已产生影响的安全事件的处置情况。如:
1. 数据泄露事件:包含数据泄露、账号泄露,事件定级依据泄露的数据量级。 2. 入侵事件:因外部入侵,导致业务系统被攻击者控制,接触到数据信息,事件定级依据攻击者能接触到的数据量级。 3. 外部安全合规事件:被约谈、通报等,对京东品牌、声誉等造成影响。 4. 业务安全事件:因安全事件,导致业务最终用户受损,事件定级依据影响业务数量、订单损失等 5. 内部安全合规事件:在使用云鼎资源过程中,违反相关安全要求。 较大及以上事件,采用直接沟通机制。 |
特大(Ⅰ级) | 一次性扣3分 |
| 重大(Ⅱ级) | 6个工作日 | ||
| 较大(Ⅲ级) | 8个工作日 | ||
| 一般(Ⅳ级) | 10个工作日 | ||
| 风险工单 | 用于记录、跟踪和验证需要排查确认的潜在风险的处置情况。如:突发漏洞影响面排查、服务器可疑行为排查等。 | 严重 | 2个工作日 |
| 高危 | 6个工作日 | ||
| 中危 | 8个工作日 | ||
| 低危 | 10个工作日 |
八 安全评分标准
安全评分采用扣分机制,审核入驻后,默认拥有满分5分的安全分,之后以不同能力项对应安全分值进行扣减,若满足所有能力项要求,则不扣分。扣分机制根据不同的能力要求及运营要求按日更新。
8.1 分数更新频度
每日系统自动更新,T+1数据展示
8.2 扣分标准
扣分标准如下,如对分数有质疑,可申诉自证。
申诉渠道:
1)登录云鼎控制台,进入安全评分,“我的安全分”版块右上角点击“问题反馈”,提交问题;
2)添加官方安全咚咚群(三方服务商群号:10207227969,自研商家群号:10207987631)反馈。
8.3 奖惩措施
奖惩措施依据云鼎平台安全水位评分标准,具体措施如下:
| 安全评级 | 安全评分 | 平台举措 | 备注 |
|---|---|---|---|
| 不合格 | <4分 | 应用冻结 | 存量应用:4分以下应用,安全分正式上线后针对存量应用进行冻结,待评分达到4分可以申请上线运营 |
| 新应用正式上线起,10个自然日内需达到4分以上,未达到4分执行冻结;下一个10个自然日仍未达到4分将停止接口调用 | |||
| 合格 | ≥4分<5分 | 无 | 此分值的应用,可在平台正常调用对应的权限包接口 |
| 优秀 | 5分 | 奖励 |
1、达到5分的应用可根据自己业务场景与业务线运营进行高级接口申请; 2、季度沙龙会邀请定向沟通; 3、服务市场安全卫士徽章(目前开发中) |