京东&Gartner：2023京东零信任安全建设实践白皮书（33页）.pdf

1、京东零信任安全建设实践白皮书实现京东供应链生态安全防护核心五要素第1期2 26 33京东零信任安全建设实践白皮书Gartner的研究：7个有效的零信任实施步骤网络访问关于京东2京东零信任安全建设实践白皮书实现京东供应链生态安全防护核心五要素前言数字经济是继农业经济、工业经济之上诞生的新兴经济模式，2021年我国发布“十四五规划”加快数字化发展，强调了数字化转型的战略高度，企业数字化转型政策集中出台并在各产业取得显著效果。京东集团通过聚合商品供应链、服务供应链、物流供应链和数智供应链形成“数智化社会供应链”效应,以数据资源为关键生产要素，驱动数智化社会供应链业务，推动赋能实体经济，创造更大的社会

2、价值。京东集团在数字化演进的过程中秉承敏捷、高效的原则，逐步从“边界防护”的网络安全防护理念转向基于零信任治理架构，在保护供应链各类资产安全的基础上，安全能力不仅主动与大数据、人工智能、区块链、云计算等新兴技术深度融合，更能按照发展的需求精准投入，及时有效地应对多变的全球环境与市场需求。企业为应对面临的数据安全和隐私保护挑战，在业务打造一套健全的安全防护体系过程中通常会遇到安全风险在哪里、安全风险如何治理、治理效果如何评估、安全建设优先级如何建立四大难题。京东零信任框架能够有效应对企业数字化转型过程中的安全难题。为了帮助用户深入了解零信任技术在京东的发展与应用场景，帮助组织和企业更好地构建基于

3、零信任的安全防护体系，京东对企业数字化、零信任模型、安全框架等实现技术进行了分析研究，撰写本白皮书，旨在通过京东零信任安全的实践经验，为数字化企业构建企业安全能力提供参考，帮助降低安全部署成本，提升数据安全治理效果，落实国家安全法律法规中企业在安全方面需履行的相关义务。本白皮书由京东集团撰写，特别感谢业界专家们对编制工作提供的指导与支持。由于撰写时间有限，本白皮书内容难免存在疏漏，不足之处恳请各位专家、同仁批评指正。白皮书编制组特别鸣谢（按姓氏拼音排序）：陈志杰、邓二平、丁丽萍、弓峰敏、何艺、killer、kkqq、lake2、陆宝华、Lenx Wei、聂君、TK、Tony Lee、谭晓生、王

4、伟alter7、吴云坤、叶晓虎、周群专家顾问：何成锋、耿志峰、李欣、陶大程、郑瑜、刘明浩、熊壮、宋留坡、冯娜、何淇丹、尹承、沈华林、田欣、陈玉杰、高春燕、段阳阳参编人员：秦波、姚兴、赵波、徐看、李然、王红飞、张靖雯、蒋学、刘宇、罗达、李龙、张寒晖、王崇茗、杜凡、鲁一锋、杜航、杨鹏版权声明本白皮书版权属京东集团所有，并受法律保护。任何转载、编撰或其他方式使用本白皮书文字或观点，应注明“来源京东零信任安全建设实践白皮书”。违反上述声明者，将追究其相关法律责任。3目录前言 2第一章 企业安全建设的必要性 4第二章 企业数字化安全能力建设的挑战 5第三章 京东特色的数字化业务安全实践 京东零信任 6第

5、四章 零信任全链路动态持续鉴权 74.1 全域资产数字化是一切安全的基石 74.1.1 已知资产自动管理 74.1.2 未知资产智能识别 74.2 全域资产身份化是零信任的基石 84.2.1 全类型资产身份管理 94.2.2 身份的安全性 104.3 多元化零信任卡点是资产的贴身卫士 104.3.1.账号卡点 104.3.2 终端设备卡点 114.3.3 网关卡点 134.3.4 应用卡点 134.3.5 服务器设备卡点 144.3.6 数据卡点 144.4 多元化的策略中心是零信任的大脑 154.4.1 构建行为安全基线，支撑访问控制模型 154.4.2 基于访问控制模型，实现动态持续认证与

6、响应 154.4.3 联动安全卡点能力，实现安全联防联控 16第五章 资产数字化的零信任驾驶舱 165.1 京东安全风险数字量化与风险治理的决策依据 175.2 零信任驾驶舱构建ROI评估体系，是安全投资决策依据 18第六章 京东集团特色零信任实践 186.1 电商行业业务安全落地实践 196.2 金融行业安全落地实践 206.3 物流行业数据安全落地实践 226.4 健康行业数据安全落地实践 236.5 供应链生态数据安全落地实践 24第七章 展望 24参考文献 254第一章 企业安全建设的必要性国家层面积极推动信息安全法律法规出台。数字经济蓬勃发展，数据成为信息生产要素，我国数据安全领域的