上海,中国的经济、金融、贸易、航运中心,一直以变革、创新引领着中国企业的发展。在“互联网+”浪潮下,上海企业首当其冲,这座城市,一直用信息化手段推动着企业的高速发展。2016年10月28日,企业网D1net携手上海CIO联盟共同举办的CIO沙龙活动在上海盛大举行,来自各行业的CIO共聚一堂,共同探讨各行业在互联网+实践方面的信息化实践,涵盖大数据实践、互联网风控等领域。
以下为:饿了么风控及安全负责人王彬在上海CIO沙龙的演讲,题目是:《互联网风控与安全》
王彬:我是王彬,现在在饿了么负责风控和信息安全两个部门。
今天简单说一下三个方面,一个是趋势,然后说一下信息安全和风控,第三,简单说一下我们这个场景中的风控大数据怎么玩。
这个叫打码平台,有个企业说现在有钱,要推广一个服务,在这里注册一下,每注册一个人,拿一个可乐。现在整个互联网是一个产业化的东西,打码平台包括制作恶意软件的人、打码的人、撸羊毛的人和最后销赃的人,都是一批的产业化的人来做,它是一整个产业链,所以说防御的话,不是防御一个人,是防整个产业链。所以说对整个风控,或者整个安全的压力非常大。
还有一些业务风险等等,如果发现信息安全事件或者是风控事件,可以通过大数据去看哪个区域发生的频率比较高,在哪个地方可能会存在问题,这是防范业务风险的一个趋势。
从信息安全和风控角度来说,有很多系统漏洞,系统有很多问题,包括国家网站也有一些问题,包括我们自己的网站也有问题,要把这个东西解决掉。
这是相关的一些趋势。从我的角度来说,我一直说整个互联网的安全趋势不太好,所以它会有一个风险控制部门要产生。打个广告,我们大概16000人,然后整个IT部门1000多人,我们投入很多人去做安全。
我们风控做什么?我个人理解是你要把整个企业的所有风险覆盖起来,这是一个大风控的概念,包括业务风险和技术风险。这就是风控这个部门的价值,把所有风险覆盖掉,解决掉,说上去很容易,其实很难。
风控部门的现状是什么?躺枪的,每家做风控的企业都是这样的,我们部门最大的作用就是躺枪,背锅,那锅背得完吗?其实蛮难的。风控锅是永远填不完的。
那我们风控部门的一个概念,就是要把所有的风险兜一兜。比如,我在进饿了么之前,饿了么的刷单的成本是5毛钱,现在饿了么刷单成本是9块钱,这就是风险的一个控制力度。
我们能做什么?只要把所有的相关的信息收集起来,尽量不要把漏洞漏出去,这是我们能做的,把风险降到可接受的程度,要达到一个可量化的标准,这就是我们做风控做安全应该做的事情。这是我个人的理解。
当然,风控部门是跟整个业务部门绑在一起的,很多人做安全可能做得很累,为什么呢?因为没有跟业务结合起来,没有很好的把业务指标结合起来去做这件事情。
有人会问,做安全做风控到底做什么?我总结了一下,其实分两个部分,信息安全部分,就是可以做的很多东西,比如补丁管理、安全管理,一个公司的基础设施,可以把它认为是信息安全的一部分。
风控做的是应用层控制这一部分,包括一些合规等等,这两个加起来去做整体的风险控制,完成管理层的目标,这是我的想法。如果信息安全没做好,其实风控是没法做的,这是一个非常基本的点,举个简单例子,比如说网站上有一个漏洞,这个漏洞信息会被人偷走的,这种情况下,风控是做不好的,因为永远在漏,所以说第一个要做的事情,先把安全做好,防止底层出一些问题。
这是我们单位的风控跟开发之间的一些关系。一个单位如果要做好风控和信息安全,是通过两个轮子来走的,然后我们有威胁情报,产品和开发,把这两个部门串起来,整体来走,我相信一个部门做不好。然后有一个问题,是先做信息安全还是先做风控呢?我的理念是先要做信息安全,从简单的信息安全入手,然后慢慢做风控。
我个人认为,做信息安全风控应该执行的几条路,第一个要做舆情控制或做底层的信息安全控制,这是第一步,是很重要的。有很多漏洞你是没法快速修补的,也要从舆情上进行控制。
第二步,做一些漏洞修补,打一些补丁,从技术上去解决这个问题。第三步,要去做业务上面的一些场景的规则,做业务风险控制,再做一些其他的安全控制。这是我个人的一个思路。
这是我们公司的一个组织架构。我们把整个运营跟安全跟风控合在一起来做。我们分产品、研发、数据、运营,基础安全和相关的一些安全部门,合在一起来做整个风险控制措施。这个部门有个非常大的特色,我们是以安全产品经理为导向,产品经理负责整个企业的安全和风控的代理,这是以产品为导向的,而不是所谓的以运营为导向。
我们的风控,以前分为两道风控,现在是三道,实时风控跟非实时风控,为什么说我们是个大的风控概念呢?我们从所有的订单的登录、下单、支付、清结算、判罚和配送,都是以风控系统来兜底的。刚才一直说风控是一个兜底的部门,所有的数据都要到风控去兜一遍。
我们会根据每个业务场景来制定出不同的响应规则,订单能下和不能下,这家店回头能不能开,都是以风控规则为兜底的。
当然,我们会有一些数据平台去做相关的控制和收集数据,其实我们有很多的数据平台,可以不用去自建,可以在有很多平台,比如阿里云平台,不一定要自建,因为这是一个产业。
信息安全因为更底层,我们是以三个维度来区分的,一个是传统安全,一个是业务安全,一个是创新安全。如果我们做信息安全,一定要想着跟其他的数据做对接,要跟大家去share一些数据,或者是国家也有这方面的平台去share一些数据,要通过这些数据来帮助你更好地去做信息安全和风控,这是一个很重要的点。
传统安全大家都会做,业务安全大家要防止漏洞出现问题。第三个创新安全,特别是舆情、情报,一定要很好地去做下来。
这里有一个地方,很多人会忽略,据我个人的经验,大部分的问题发现都不是从公司内部发现的。其实公司内部很少能发现很多敏感性的问题,都是从外部去发现的,所以我们公司建了一个SRC的平台,帮助查找漏洞。国内有个非常知名的收集漏洞的地方叫乌云,现在已经没有了。
如果有能力的话,可以自己做一个舆情收集平台,把这些漏洞收集起来。如果没有的话,可以跟政府合作,比如说360,或者跟政府机构去合作,把舆情控制起来,是很重要的一点。
做风控,我个人最后一个理念是什么?就是要比最后一名跑得快,这是我一直的做法,举个例子,大家觉得风控做得好不好,去淘宝搜,比如今天淘宝首单美团10块钱一单,饿了么12块一单,那么我做的东西比美团好,大家都跑到美团去刷单去了。
另外一个方向,因为外面有很多刷单群,大家可以去打入这些群,CIO可以派一些小弟小妹,去这些群里面看一看,自己到底做得好不好,这是很好的验证的一种方式。
然后,我们有很多风险防范措施,但是还是很难,我们要通过一些大数据的方式来更好地保证它是有效的。大数据可以做什么?可以做防垃圾注册,用户识别,虚假交易,恶意注册,恶意评论,虚假店铺,信息泄露都可以做。作为一个CIO,要先往一个点打。
大数据怎么做?是自建?还是合作?合作的话,有很多共享的平台和数据可以用。如果是自建的话,很多地方要自己去采购。大数据平台一般只有采购跟自建两条路。
最后一点,做大数据要去想有多少数据可以做大数据?像银行、保险,有很多基础数据,可以做大数据。很多企业是没有这种数据的,怎么做?
大数据还有一个特征,就是高成本性,大数据非常贵,而且一个人是做不了的,一个团队要多少钱一年?
还有准确性,要保证大数据出来的东西是不能是虚假的。这是大数据的一个挑战。
还有,泛化的能力、解析的能力和更新速度能力,都是现在大数据的挑战。
简单总结一下,如果要做很信息安全和风控,第一步,要先把自身安全解决掉,把漏洞先填掉,然后从业务风险角度来说,做一个整体的风险控制。
第三,如果想做大数据的话,个人建议多采购一些相关的数据模型提供商。
我的演讲大概就这样,谢谢。
本文转自d1net(转载)