饿了么风控及安全负责人王彬:互联网风控与安全

本文涉及的产品
云原生大数据计算服务 MaxCompute,5000CU*H 100GB 3个月
云原生大数据计算服务MaxCompute,500CU*H 100GB 3个月
简介:

上海,中国的经济、金融、贸易、航运中心,一直以变革、创新引领着中国企业的发展。在“互联网+”浪潮下,上海企业首当其冲,这座城市,一直用信息化手段推动着企业的高速发展。2016年10月28日,企业网D1net携手上海CIO联盟共同举办的CIO沙龙活动在上海盛大举行,来自各行业的CIO共聚一堂,共同探讨各行业在互联网+实践方面的信息化实践,涵盖大数据实践、互联网风控等领域。

以下为:饿了么风控及安全负责人王彬在上海CIO沙龙的演讲,题目是:《互联网风控与安全》

王彬:我是王彬,现在在饿了么负责风控和信息安全两个部门。

今天简单说一下三个方面,一个是趋势,然后说一下信息安全和风控,第三,简单说一下我们这个场景中的风控大数据怎么玩。

这个叫打码平台,有个企业说现在有钱,要推广一个服务,在这里注册一下,每注册一个人,拿一个可乐。现在整个互联网是一个产业化的东西,打码平台包括制作恶意软件的人、打码的人、撸羊毛的人和最后销赃的人,都是一批的产业化的人来做,它是一整个产业链,所以说防御的话,不是防御一个人,是防整个产业链。所以说对整个风控,或者整个安全的压力非常大。

还有一些业务风险等等,如果发现信息安全事件或者是风控事件,可以通过大数据去看哪个区域发生的频率比较高,在哪个地方可能会存在问题,这是防范业务风险的一个趋势。

从信息安全和风控角度来说,有很多系统漏洞,系统有很多问题,包括国家网站也有一些问题,包括我们自己的网站也有问题,要把这个东西解决掉。

这是相关的一些趋势。从我的角度来说,我一直说整个互联网的安全趋势不太好,所以它会有一个风险控制部门要产生。打个广告,我们大概16000人,然后整个IT部门1000多人,我们投入很多人去做安全。

我们风控做什么?我个人理解是你要把整个企业的所有风险覆盖起来,这是一个大风控的概念,包括业务风险和技术风险。这就是风控这个部门的价值,把所有风险覆盖掉,解决掉,说上去很容易,其实很难。

风控部门的现状是什么?躺枪的,每家做风控的企业都是这样的,我们部门最大的作用就是躺枪,背锅,那锅背得完吗?其实蛮难的。风控锅是永远填不完的。

那我们风控部门的一个概念,就是要把所有的风险兜一兜。比如,我在进饿了么之前,饿了么的刷单的成本是5毛钱,现在饿了么刷单成本是9块钱,这就是风险的一个控制力度。

我们能做什么?只要把所有的相关的信息收集起来,尽量不要把漏洞漏出去,这是我们能做的,把风险降到可接受的程度,要达到一个可量化的标准,这就是我们做风控做安全应该做的事情。这是我个人的理解。

当然,风控部门是跟整个业务部门绑在一起的,很多人做安全可能做得很累,为什么呢?因为没有跟业务结合起来,没有很好的把业务指标结合起来去做这件事情。

有人会问,做安全做风控到底做什么?我总结了一下,其实分两个部分,信息安全部分,就是可以做的很多东西,比如补丁管理、安全管理,一个公司的基础设施,可以把它认为是信息安全的一部分。

风控做的是应用层控制这一部分,包括一些合规等等,这两个加起来去做整体的风险控制,完成管理层的目标,这是我的想法。如果信息安全没做好,其实风控是没法做的,这是一个非常基本的点,举个简单例子,比如说网站上有一个漏洞,这个漏洞信息会被人偷走的,这种情况下,风控是做不好的,因为永远在漏,所以说第一个要做的事情,先把安全做好,防止底层出一些问题。

这是我们单位的风控跟开发之间的一些关系。一个单位如果要做好风控和信息安全,是通过两个轮子来走的,然后我们有威胁情报,产品和开发,把这两个部门串起来,整体来走,我相信一个部门做不好。然后有一个问题,是先做信息安全还是先做风控呢?我的理念是先要做信息安全,从简单的信息安全入手,然后慢慢做风控。

我个人认为,做信息安全风控应该执行的几条路,第一个要做舆情控制或做底层的信息安全控制,这是第一步,是很重要的。有很多漏洞你是没法快速修补的,也要从舆情上进行控制。

第二步,做一些漏洞修补,打一些补丁,从技术上去解决这个问题。第三步,要去做业务上面的一些场景的规则,做业务风险控制,再做一些其他的安全控制。这是我个人的一个思路。

这是我们公司的一个组织架构。我们把整个运营跟安全跟风控合在一起来做。我们分产品、研发、数据、运营,基础安全和相关的一些安全部门,合在一起来做整个风险控制措施。这个部门有个非常大的特色,我们是以安全产品经理为导向,产品经理负责整个企业的安全和风控的代理,这是以产品为导向的,而不是所谓的以运营为导向。

我们的风控,以前分为两道风控,现在是三道,实时风控跟非实时风控,为什么说我们是个大的风控概念呢?我们从所有的订单的登录、下单、支付、清结算、判罚和配送,都是以风控系统来兜底的。刚才一直说风控是一个兜底的部门,所有的数据都要到风控去兜一遍。

我们会根据每个业务场景来制定出不同的响应规则,订单能下和不能下,这家店回头能不能开,都是以风控规则为兜底的。

当然,我们会有一些数据平台去做相关的控制和收集数据,其实我们有很多的数据平台,可以不用去自建,可以在有很多平台,比如阿里云平台,不一定要自建,因为这是一个产业。

信息安全因为更底层,我们是以三个维度来区分的,一个是传统安全,一个是业务安全,一个是创新安全。如果我们做信息安全,一定要想着跟其他的数据做对接,要跟大家去share一些数据,或者是国家也有这方面的平台去share一些数据,要通过这些数据来帮助你更好地去做信息安全和风控,这是一个很重要的点。

传统安全大家都会做,业务安全大家要防止漏洞出现问题。第三个创新安全,特别是舆情、情报,一定要很好地去做下来。

这里有一个地方,很多人会忽略,据我个人的经验,大部分的问题发现都不是从公司内部发现的。其实公司内部很少能发现很多敏感性的问题,都是从外部去发现的,所以我们公司建了一个SRC的平台,帮助查找漏洞。国内有个非常知名的收集漏洞的地方叫乌云,现在已经没有了。

如果有能力的话,可以自己做一个舆情收集平台,把这些漏洞收集起来。如果没有的话,可以跟政府合作,比如说360,或者跟政府机构去合作,把舆情控制起来,是很重要的一点。

做风控,我个人最后一个理念是什么?就是要比最后一名跑得快,这是我一直的做法,举个例子,大家觉得风控做得好不好,去淘宝搜,比如今天淘宝首单美团10块钱一单,饿了么12块一单,那么我做的东西比美团好,大家都跑到美团去刷单去了。

另外一个方向,因为外面有很多刷单群,大家可以去打入这些群,CIO可以派一些小弟小妹,去这些群里面看一看,自己到底做得好不好,这是很好的验证的一种方式。

然后,我们有很多风险防范措施,但是还是很难,我们要通过一些大数据的方式来更好地保证它是有效的。大数据可以做什么?可以做防垃圾注册,用户识别,虚假交易,恶意注册,恶意评论,虚假店铺,信息泄露都可以做。作为一个CIO,要先往一个点打。

大数据怎么做?是自建?还是合作?合作的话,有很多共享的平台和数据可以用。如果是自建的话,很多地方要自己去采购。大数据平台一般只有采购跟自建两条路。

最后一点,做大数据要去想有多少数据可以做大数据?像银行、保险,有很多基础数据,可以做大数据。很多企业是没有这种数据的,怎么做?

大数据还有一个特征,就是高成本性,大数据非常贵,而且一个人是做不了的,一个团队要多少钱一年?

还有准确性,要保证大数据出来的东西是不能是虚假的。这是大数据的一个挑战。

还有,泛化的能力、解析的能力和更新速度能力,都是现在大数据的挑战。

简单总结一下,如果要做很信息安全和风控,第一步,要先把自身安全解决掉,把漏洞先填掉,然后从业务风险角度来说,做一个整体的风险控制。

第三,如果想做大数据的话,个人建议多采购一些相关的数据模型提供商。

我的演讲大概就这样,谢谢。

本文转自d1net(转载)

相关实践学习
基于MaxCompute的热门话题分析
本实验围绕社交用户发布的文章做了详尽的分析,通过分析能得到用户群体年龄分布,性别分布,地理位置分布,以及热门话题的热度。
SaaS 模式云数据仓库必修课
本课程由阿里云开发者社区和阿里云大数据团队共同出品,是SaaS模式云原生数据仓库领导者MaxCompute核心课程。本课程由阿里云资深产品和技术专家们从概念到方法,从场景到实践,体系化的将阿里巴巴飞天大数据平台10多年的经过验证的方法与实践深入浅出的讲给开发者们。帮助大数据开发者快速了解并掌握SaaS模式的云原生的数据仓库,助力开发者学习了解先进的技术栈,并能在实际业务中敏捷的进行大数据分析,赋能企业业务。 通过本课程可以了解SaaS模式云原生数据仓库领导者MaxCompute核心功能及典型适用场景,可应用MaxCompute实现数仓搭建,快速进行大数据分析。适合大数据工程师、大数据分析师 大量数据需要处理、存储和管理,需要搭建数据仓库?学它! 没有足够人员和经验来运维大数据平台,不想自建IDC买机器,需要免运维的大数据平台?会SQL就等于会大数据?学它! 想知道大数据用得对不对,想用更少的钱得到持续演进的数仓能力?获得极致弹性的计算资源和更好的性能,以及持续保护数据安全的生产环境?学它! 想要获得灵活的分析能力,快速洞察数据规律特征?想要兼得数据湖的灵活性与数据仓库的成长性?学它! 出品人:阿里云大数据产品及研发团队专家 产品 MaxCompute 官网 https://www.aliyun.com/product/odps 
目录
相关文章
|
机器学习/深度学习 新零售 人工智能
案例酷丨1688平台:场景服务赋能金融普惠,让交易更安心
案例酷丨1688平台:场景服务赋能金融普惠,让交易更安心
783 0
|
机器学习/深度学习 人工智能 运维
客户分享:智能风控 未来已来|学习笔记
快速学习客户分享:智能风控 未来已来。
258 0
客户分享:智能风控 未来已来|学习笔记
《阿里云图智能平台助力上海华瑞银行打造智慧风控》电子版地址
《阿里云图智能平台助力上海华瑞银行打造智慧风控》PDF
92 0
《阿里云图智能平台助力上海华瑞银行打造智慧风控》电子版地址
|
云安全 安全 数据安全/隐私保护
金融安全资讯精选 2018年第一期:2017年P2P网贷行业年报,风控成保险业转型新四大关键词之一,央行发布条码支付规范
2017年P2P网贷行业年报,风控成保险业转型新四大关键词之一,央行发布条码支付规范
2188 0
|
安全 大数据 云计算
芝麻信用 在阿里金融云上向P2P行业开放
本文讲的是芝麻信用 在阿里金融云上向P2P行业开放“芝麻信用马上就会在阿里金融云上开放试用”。日前,芝麻信用产品经理向宜在阿里金融云的一场沙龙上透露了这一消息。
1691 0
|
安全 云计算
阿里云银行关键业务破冰 邢台银行首家
本文讲的是阿里云银行关键业务破冰 邢台银行首家,12月16日消息,阿里云计算宣布邢台银行手机银行业务已完成上云部署。这意味着邢台银行将成为国内首家将关键业务放到公共云计算平台上的银行。
1158 0
下一篇
DataWorks