互联网公司的风险控制

2016年1月16日，由企业网D1Net和中国信息化发展战略与创新联盟联合举办的2016年北京部委央企及大型企业CIO年会在北京隆重举行，大咖云集，干货爆棚，围绕新IT架构和信息安全，CIO们碰撞思想火花，最前沿的技术厂商交流最新的研究成果及创新产品。技术与实战在这里融合。

主持人：下面我们请出饿了么高级风控专家王彬跟我们分享互联网公司的风险控制，掌声有请!

饿了么高级风控专家王彬

王彬：首先很高兴感谢主办方给我这个机会，我们饿了么还是一家很小的公司，希望大家给予支持。我是王彬，我以前在信息安全做了蛮久，2003年就是在信息安全，我见过万老师，我们在很多场合碰过，最早在北京的一家信息安全的企业启明星辰待了五六年，然后去了上海的一家互联网企业。前边很多人说信息安全事件都说到那家企业，就是那家做旅游的企业，然后出来到一个O2O的企业当中做一些风险管理的事情。

万老师从技术层面，从底层说了一些跟信息安全有关的东西。刚才徐总也给我们介绍了一下信息安全跟业务之间的关系。今天我会讲一些跟业务，跟信息安全之间的关系，我是以业务为出发点的。我们刚才说信息安全怎么做的好，或者风险控制怎么做，风险控制应该从业务层面出发，风险是以业务为导向的。

首先，做个小广告，这是我今天的一些目录，一些公司介绍，或者一些背景介绍。这是我们公司的简单介绍，其实我们公司是一个很年轻的一家公司，2009年刚刚成立，一家很小的公司。为什么会有这家公司呢?我问过我们老板，我们老板说，以前经常打游戏，没有饭吃，后来想我成立一家公司，可以把饭给我送过来，没有想到饿了么这家公司能做的这么大，这是互联网的一个契机。大家可能都以为饿了么是一家什么公司?是一个快递的，一个摩托车手帮助你送一个快递，其实我们不仅送外卖，做分包，做众包，做供应链，做物流，做金融，这都是一个非常大的导向。大家可以看，如果从物流互联网来说它只是一个入口，从整个互联网来说有很大一块利益的共享点。我相信饿了么现在估值50亿美金，我们可以知道饿了么肯定不是专门做外卖的一个公司。这是简单介绍一下我们最近融资的情况。饿了么2013年开始发力，2013年融2500万，2014年融8000万，2015年融10亿，第二轮还没有曝出来，大概不会少10亿，都是美金，饿了么有17000在职员工，2015年被福布斯评为成长最快的科技公司。

聊一下大家关心的风控，我们风险控制或者风控做的最多，用的最广的是在这四个行业。简单举几个例子，金融。现在可能P2P的概念大家都知道，“互联网+”，互联网贷款，互联网高效的贷款方式，现在比较热闹的一个方式。但是，这个风险是非常高的，如果在座有些人想踏入“互联网+”，或者互联网做P2P经营的时候你会看这个风险负责高。我以前去一家公司实地调研过，它第一批从互联网发出去的金融账款大概是千万左右，5分钟就出去了。回头我们再看这一千万的钱到哪里去，经过3-6个月的跟踪，发现这笔钱根本要不回来，这就是当前的P2P行业的一个风险和这个方面的一个问题。

大家再看撸羊毛，最早我在携程上班的时候，2011年安全问题基本上没有，控制风险大概十几个人，为什么有越来越多的风险出来呢?那时候携程出了一个礼品卡，出了一个资金账户，你发现黑客攻击从10倍到数10倍的增长，都是来盗号的。整个安全环境不是特别好，这些盗号的问题都是存在的。从票务出行这方面也有很多安全风险，包括业务风险点。像我们前两天一直在说新公司的假票事件，其实说这是供应商的问题，携程也在这方面进行了治理。其他的比如说乱扣费，乱计费方面是有传统的一些风险。大家可以仔细去看，所谓的这些风险最终归根到底是什么?“利”。很多公司问我风险控制怎么做，或者信息安全怎么做?我说找黑客或者供给者的获利点在什么地方?这就是本质的一个点。很简单P2P的交易现在欺诈非常大，怎么解决，从技术垄断怎么看这笔钱怎么出去的，这就是这方面，特别是O2O电商的一个风险防护的一个本质。

我们知道在整个行业当中，黑客其实打到每个环节当中去的。像O2O行业，别看钱来的很快，烧的也很快。我们会把一些开放平台的数据给它接入，他们把订单产到我们这里来。我们发现有一个电商过来所有的数据，比如它订单今天挂1000万，我们看它所有订单回来的时候发现其中900万都是假订单，这些订单从哪儿来的，它的问题非常大，所以撸羊毛，怎么把这些东西防范，这是很大的困难点。

左边的图网上有卖，滴滴也是O2O当中受灾害非常大的一个网，它很多补贴，刷号都是通过这个做的。现在专业上都可以通过一些神器，只要把这个设备拆掉，整个羊毛就是你的。右边一张图，是一个短信屋，短信池，比如你可以花钱买打码服务，或者撸羊毛服务，据我知道最便宜的一毛钱一条。你推荐一个新用户最少20块到30块，这个一毛，一毛赚30块，赚了很大钱。而且不管带携程也好，还是别的公司也好，我们多跟法律机构跟公安做了很多案例，但是打掉一个，打不掉一窝。以前有个点在广西一个村就是做这种事情，造伪卡，就是撸羊毛。所以，我们当前面临的风险非常高，如果大家想做O2O大家一定要想清楚。

这是我整理的一个数据，从今年8月份的一个数据，整个的企业的倒闭的情况，O2O行业倒闭的情况。餐饮有18个，其实还是比较少的。从整体行业来看，倒闭的最多是P2P。我看到一家公司没有办法，只有不停的投钱把这个盘子做大，但是投的越多，风险越失控。为什么互联网P2P热闹，但是真正赚钱的不多，这就是这么一个原因。其实说了一些行业内部的事情。我可以这么说，很多这些企业真的不差钱，可能是被人堵死的，这些钱被其他人撸走了。这是我们的一些概念。大家可能认为做风控的有点唯命是听。但是，我们有一些实质性的依据来看，其实行业整个风险状况真的不好。

下面介绍一下风控架构。其实风控我们有很多种，大家可能在座CIO已经做了很多年，可能有很多风险控制的理念和方法，相信大家都已经了解。风控最简单的一些方法比如说风控回避、转移、保留等一系列的一些控制方法。比如说，一个网站今天开发了一个新的网站，这个网站最大的问题是盗号，或者账户，我觉得整个账户体系不安全。不安全有很多原因，可能被人撞出来的，可能密码有问题，或者各方面的技术问题。通常情况有四个方法解决这个问题。第一、风险控制，采用一定的技术手段把这些风险控制住，我们采用哪些技术去防护，做一些东西，这是通常我们会做的。第二、风险接受，我认为我的账户被人刷了就是被人刷了，12306以前不知道被人撞库吗?都知道，危害不太大。第三、风险回避。第四、风险转移，风险很高，可以把登录外包，比如让腾讯，很多网站有第三方登录接口。

但是，从我个人角度来说，这方面都不是事。大家看一下左右有没有相关的竞争对手，有没有同行业的人。我相信大家可能有些竞争性伙伴，应该会有这么一些人。我说风控最主要的目标，这些事情都可以采用，但是最重要的目的要通过这方面来走，要比最后一个跑地快，如果大家都是CIO，这方面做的东西要比你的同行业技术做的好，这是做风控最基本的依据。做风控怎么样把攻击者的攻击流量导到别人身上。我们最好的办法就是这张网站做的安全要别的网站好。比如我花一毛钱的成本可以产生十块钱的利益，就是这么一个情况。当付一块钱的时候，这就会好一点。

我认为不管采取任何控制方法，要在行业上比，要比隔壁的企业做的快一点，做的好一点，是我个人的想法。什么是风控部门。其实最早的时候新公司的风控部门很小，同10个人到100个人，现在这家公司也有二三十个人了，风控部门是为业务部门档枪的。什么时候会遇到风控，比如订单减少了，会说因为风控的措施造成订单的减少，这是风控的问题。还有什么可能?处理慢这是风控的问题，系统挂了，是风控的问题，所有问题都是风控的问题。我认为风控对一个企业来说是一个把门神。

那么多年左风控坐下来，我说的最多的一句话就是对不起我错了，我们可以改一改，但是每次改都是有成效的。我希望大家想做互联网，把这个风控放到一个比较高的位置，因为它真的是帮大家顶包，或者帮大家解决实质性问题的。

做这么多年风控，如果想招一个风控的人，需要懂哪些智能?第一、要懂技术，比如像万总，这些人要跟它聊，哪些技术可以做一些风控的手段。第二、要知道业务的目标是什么?才能知道通过哪些技术进行防护，要让别人认可你的风控理念，风控最大的问题会对业务造成损失，不管是隐性的还是显性的都会有一点损失，这都跟你的风险控制策略有关系，怎么让必须认同你这些损失，承担这些风险，能沟通，能预判，你要知道未来几年的安全趋势或者是风险控制趋势是怎么样，你可以进行一定的风险控制的提前的规划和预判。出现大数据，大数据就是一个很大的问题，你要有一定的预判技能。最后，要有担当，我下面有三个字可能比较小，叫出事能顶，不出事能抗，三观要正，做风控的三观一定要正，因为风险控制当中如果三观不正，很可能造成企业资金流向的损失。我们发现很多做风险控制部门的人，如果手抖一抖就是几千万，几百万的损失。

举个例子，比如我们的风控要承担证件审核的功能的，我们可以认定这个企业可以到饿了么营销或者不能饿了么。如果审核的人手抖一抖，很多假的企业都上来了，损失是非常巨大的，所以三观一定要正，这是风控的一些必备技能。

简单说一下风控跟企业业务之间的一些关系。大家可能认为风控其实不是那么重要，但是我在那么几家公司感觉下来风控是非常重要的，因为一个企业来说，需要一个部门从技术和管理手段，或者从风险控制角度来说，帮助企业解决问题。大家发现最早的时候有些部门虽然是审计来做，你发现很多东西要从业务技术上来做，怎么样把它串起来，要懂技术，不要懂业务。不管每个产品的发布风控都应该介入，做风控的人要懂技术和业务，相对来说沟通成本比较低。

这是简单介绍一下我现在的这个地方，我下面人的主要的一些职能，可以给大家一个借鉴，看看以后能不能在一个公司当中用到。第一、下面的人做业务风险评估，在业务上线之前，对整个需求进行评估，风控一开始的时候要介入整个业务怎么做，包括安息安全方面的风险，风险评估的时候都要评估出来，是不是要上验证码，是不是要加防护。然后账户，包括一些盗号，撞库和信息披露，大家如果去东南亚消费，去那些很穷的国家消费的时候回来记得把卡给消了。对于合规风险，还有对外的一些比如一直说的舆情，第三方数据的接入也是在这里，包括跟万总他们公司对接，了解本地行业的一些信息数据也是在我们这个部门采集。回头我会说这些数据怎么用，跟大家简单介绍一下。

这是我们下面的几个团队，大概分五个，技术团队、产品团队、市场应急团队，运营团队，审计团队。我认为从风控来说两个团队是非常重要的，一个是产品团队，一个是运营团队。运营会给你数据，让你的产品去改进，这是很重要的一点。简单来说，这些团队之间怎么转起来的?第一、如果你有一个新的业务要上线的时候，我们会有产品经理帮你去识别风险，然后产品经理识别好风险以后，让技术开发开发风控识别模块。风控开发模块以后，由运营监控人员负责监控和处理，对可能发现的异常行为或者漏掉的行为进行二次提交，最后由产品经理再次Review风险，并提出风险控制建议。我这里一个是做数据产品经理，一个是做风控规则产品经理，对你的规则进行Review，统一的提交进行整改。所以，不管外界的趋势怎么样，风险环境怎么样，这里都是持续改进的，就是这么一个状态。

这里介绍一个比较好的绩效，大家做100%流量的时候要留1%出来，就是1%的流量要导多黑洞里面去，这样人家不一定能看出你风控的规则是什么，你不要把所有的风控规则都统一暴露出来，要有一些类似于黑洞的机制在里面，这样风控更好做一点。

风控有两个流程，举个事例。比方说，现在一笔交易是成功还是不能成功，有两个判断方式，大家可能用的比较多的。一个所谓是异常阻止，有一个规则发现异常的交易行为，就把这个异常交易行为阻止掉，这是一般性人做的做法。还有正常通过，我定了一个基线，一个人通过这笔交易应该走四个点，登录进来，打开页面，选产品，支付，任意缺失一个点就认为这个人是异常行为，这是风控的两个走向。

再举个例子，比如说像O2O行业，觉得一个人的优惠能不能用，你怎么做?第一、比如说我命中了我的一些规则，这个人不能享受优惠，这是比较长的一个。反过来推，会说我这个人没有经过我设定的路径，或者没有提交我这个路径，优惠就不能享用，是两条路，大家回头可以想一想这方面怎么做，这两个是有伤害的。第二个如果做的不好，对用户体验的伤害非常大，会把很多好的用户杀掉，看你怎么做。

我们每家处理企业都有实时风控和非实时风控两块。实时风控就是达到第一个目标要速度快，这个交易能不能成交，这个登录能不能登录，要求速度快，对用户的干扰少，这是实时风控要做的东西。非实时风控做一些线下的东西，比如大数据分析，模型建立，所有的电商或者O2O企业都是通过这两个模型分析的。

简单介绍一下，这是我们公司的实时风控处理流程，登录和注册的时候用了一套账户风控的处理引擎，让你可以注册或者不能注册。后面整个交易流程当中，会有一个业务订单风控，下单、支付、配送和点评的各个环节当中都会对你的每个动作进行分析判别你这个订单是否有问题。这是实时风控一个简单的示意图，下面一个红点是我们的威胁情报分析，或者这部分数据，靠一个人的个人，或者一家企业的个人很难实现整个的风险控制。我个人推荐的做法，在有可能的情况下要引入外部资源做一些风险控制。比如第三方风险库，还有乌云、腾讯、阿里，都会这些关系数据库，这些兜底工作都做完以后，我们还是会到两套风控系统当中，一个是基于账户的，一个是基于订单的进行风险管理的措施，这是实时风控做的一些东西。据我们现在的一些分析来说，现在用下来，情报分析真的是比较有用的地方。

非实时风控处理流程，通过大数据的方式研判一些订单是否有问题，或者看是不是有漏掉的数据，或者帮一个特定的用户建模，都是非实时风控做的一些事情，出来的结果会人工看这些订单是不是有问题。在我们企业当中，如果发现商户有刷单，或者恶意的行为，我们会直接把店铺关掉，我们惩罚是非常严格，这是我们公司的特色，如果发现有人刷单，账户拉黑，商户下线，员工也有处罚，如果你的客户一个月有两三单被查出来，员工被开掉。因为有些东西不是市场经理自己想这么做的，但是有些地域的商户就是这样，他喜欢这么干，而且市场经理我们认为没有尽到他自己督促的职责，也是有问题的。所以，这是线下非实时风控的一个处理流程，压力也非常大，因为很多跟人有关。

我简单介绍一下技术性的，各位可能有一些技术专家，我简单介绍一些技术对抗的过程，非常简单。比如在银行，或者你到很多地方看，现在网上有两个主流的模拟器对我们网站的威胁非常大，一个叫008，影响你的特征识别，如果识别用户特征怎么办?你要通过其他方式来做。这是传统的攻击工具。第二、iGrimace V8，本身你的iOS是越狱的，它的防护手段监测出来它是非越狱的，这个软件对我们整个风险反欺诈影响非常大。

这是主流模拟器的一些监测方法，通过硬件设备信息来看，通过蓝牙这种设施来看，通过系统属性来看是有限的。前面两个工具可以对这些信息进行修改，那怎么办?我们有一个想法，是通过大数据分析来做的。我相信同时有十个攻击者，他爸爸的手机号码不可能是同一个吧，或者一个人的照片，我不相信十个人的照片都是同一个，你要通过大数据分析的方法来看哪些可以引用进去做风险识别和反欺诈识别，这是我们现在要做的一个很大的防护方式。在实时风控当中有很多不确定性和不稳定性，会误杀一些人，这是通过大数据的模型来算的，这是一个比较重要的一点。

其实回过来，如果某一天大家做线上的一些交易，特别是线上反欺诈的时候，有些反欺诈是通过两种方法。一个是让你通过动态的一种方式来去录像，或者在几秒钟之内做几个姿势，写已经被破掉了，身份证也是被破掉了，要看新的反欺诈的一些行为，而且我们知道线上的手机是不安全的，Root也是可以被破解的，怎么保证线上交易的反欺诈，怎么样保证这些钱流到该去的人的手上呢?特别是做线上交易，跟钱有关的交易风险是蛮大的，很多东西没有暴露出来，但是不相信它没有。今天我们说的这个话，大家可以过半年再看，整个欺诈风险其实是非常严重的。

总结一下，从三个方向，部门、系统和行业来说。我认为一个企业要做大、做广风控是必经之路，而且风控在一个单位的价值会越来越高，跟信息安全一样，是两个相辅相成的%部门。风控更偏向于业务，安全更偏向于技术，两个人能在一起，公司就安全了，安全是整体的安全，这是第一点。第二、风控和安全不是万能的。第三、风控需要理解和支持。现在如果你企业更大，我相信大家应该把更多的资源，或者一部分资源投到舆情上面去，数据舞榭和舆情，是这两年如果企业想投最有价值的两块点，当然风控这个部门本身也是。从Web数据我们可以减少很多工作量和风控系统压力。还有一点这是我个人的想法，如果你的风控系统想做好，我认为你要自建，采用自建系统才能跟整个行业或者整个业务串在一起，对你的业务影响最少。外界的风控系统不一定会用的那么顺手。我们以前都试过一些外边的产品，最后风控还要自检，你可以用外部的资源，但是你要自检。

最终，说一下这个行业，O2O行业是一个烧钱的行业，大家如果看一些经济报道，经济的严冬已经来了，整个过程当中融到钱的会越来越少。特别是电商这个行业当中，谁能省钱，省到最后，这个公司就会活的越久，我相信风控和安全就是这么一个部门，帮大家去省钱，是真正产生利益价值的一个部门。谢谢大家!

本文转自d1net（原创）