上海,中國(guó)的經(jīng)濟(jì)、金融、貿(mào)易、航運(yùn)中心,一直以變革、創(chuàng)新引領(lǐng)著中國(guó)企業(yè)的發(fā)展。在“互聯(lián)網(wǎng)+”浪潮下,上海企業(yè)首當(dāng)其沖,這座城市,一直用信息化手段推動(dòng)著企業(yè)的高速發(fā)展。2016年10月28日,企業(yè)網(wǎng)D1net攜手上海CIO聯(lián)盟共同舉辦的CIO沙龍活動(dòng)在上海盛大舉行,來(lái)自各行業(yè)的CIO共聚一堂,共同探討各行業(yè)在互聯(lián)網(wǎng)+實(shí)踐方面的信息化實(shí)踐,涵蓋大數(shù)據(jù)實(shí)踐、互聯(lián)網(wǎng)風(fēng)控等領(lǐng)域。
以下為:餓了么風(fēng)控及安全負(fù)責(zé)人王彬在上海CIO沙龍的演講,題目是:《互聯(lián)網(wǎng)風(fēng)控與安全》
王彬:我是王彬,現(xiàn)在在餓了么負(fù)責(zé)風(fēng)控和信息安全兩個(gè)部門(mén)。
今天簡(jiǎn)單說(shuō)一下三個(gè)方面,一個(gè)是趨勢(shì),然后說(shuō)一下信息安全和風(fēng)控,第三,簡(jiǎn)單說(shuō)一下我們這個(gè)場(chǎng)景中的風(fēng)控大數(shù)據(jù)怎么玩。
這個(gè)叫打碼平臺(tái),有個(gè)企業(yè)說(shuō)現(xiàn)在有錢(qián),要推廣一個(gè)服務(wù),在這里注冊(cè)一下,每注冊(cè)一個(gè)人,拿一個(gè)可樂(lè)。現(xiàn)在整個(gè)互聯(lián)網(wǎng)是一個(gè)產(chǎn)業(yè)化的東西,打碼平臺(tái)包括制作惡意軟件的人、打碼的人、擼羊毛的人和最后銷(xiāo)贓的人,都是一批的產(chǎn)業(yè)化的人來(lái)做,它是一整個(gè)產(chǎn)業(yè)鏈,所以說(shuō)防御的話,不是防御一個(gè)人,是防整個(gè)產(chǎn)業(yè)鏈。所以說(shuō)對(duì)整個(gè)風(fēng)控,或者整個(gè)安全的壓力非常大。
還有一些業(yè)務(wù)風(fēng)險(xiǎn)等等,如果發(fā)現(xiàn)信息安全事件或者是風(fēng)控事件,可以通過(guò)大數(shù)據(jù)去看哪個(gè)區(qū)域發(fā)生的頻率比較高,在哪個(gè)地方可能會(huì)存在問(wèn)題,這是防范業(yè)務(wù)風(fēng)險(xiǎn)的一個(gè)趨勢(shì)。
從信息安全和風(fēng)控角度來(lái)說(shuō),有很多系統(tǒng)漏洞,系統(tǒng)有很多問(wèn)題,包括國(guó)家網(wǎng)站也有一些問(wèn)題,包括我們自己的網(wǎng)站也有問(wèn)題,要把這個(gè)東西解決掉。
這是相關(guān)的一些趨勢(shì)。從我的角度來(lái)說(shuō),我一直說(shuō)整個(gè)互聯(lián)網(wǎng)的安全趨勢(shì)不太好,所以它會(huì)有一個(gè)風(fēng)險(xiǎn)控制部門(mén)要產(chǎn)生。打個(gè)廣告,我們大概16000人,然后整個(gè)IT部門(mén)1000多人,我們投入很多人去做安全。
我們風(fēng)控做什么?我個(gè)人理解是你要把整個(gè)企業(yè)的所有風(fēng)險(xiǎn)覆蓋起來(lái),這是一個(gè)大風(fēng)控的概念,包括業(yè)務(wù)風(fēng)險(xiǎn)和技術(shù)風(fēng)險(xiǎn)。這就是風(fēng)控這個(gè)部門(mén)的價(jià)值,把所有風(fēng)險(xiǎn)覆蓋掉,解決掉,說(shuō)上去很容易,其實(shí)很難。
風(fēng)控部門(mén)的現(xiàn)狀是什么?躺槍的,每家做風(fēng)控的企業(yè)都是這樣的,我們部門(mén)最大的作用就是躺槍,背鍋,那鍋背得完嗎?其實(shí)蠻難的。風(fēng)控鍋是永遠(yuǎn)填不完的。
那我們風(fēng)控部門(mén)的一個(gè)概念,就是要把所有的風(fēng)險(xiǎn)兜一兜。比如,我在進(jìn)餓了么之前,餓了么的刷單的成本是5毛錢(qián),現(xiàn)在餓了么刷單成本是9塊錢(qián),這就是風(fēng)險(xiǎn)的一個(gè)控制力度。
我們能做什么?只要把所有的相關(guān)的信息收集起來(lái),盡量不要把漏洞漏出去,這是我們能做的,把風(fēng)險(xiǎn)降到可接受的程度,要達(dá)到一個(gè)可量化的標(biāo)準(zhǔn),這就是我們做風(fēng)控做安全應(yīng)該做的事情。這是我個(gè)人的理解。
當(dāng)然,風(fēng)控部門(mén)是跟整個(gè)業(yè)務(wù)部門(mén)綁在一起的,很多人做安全可能做得很累,為什么呢?因?yàn)闆](méi)有跟業(yè)務(wù)結(jié)合起來(lái),沒(méi)有很好的把業(yè)務(wù)指標(biāo)結(jié)合起來(lái)去做這件事情。
有人會(huì)問(wèn),做安全做風(fēng)控到底做什么?我總結(jié)了一下,其實(shí)分兩個(gè)部分,信息安全部分,就是可以做的很多東西,比如補(bǔ)丁管理、安全管理,一個(gè)公司的基礎(chǔ)設(shè)施,可以把它認(rèn)為是信息安全的一部分。
風(fēng)控做的是應(yīng)用層控制這一部分,包括一些合規(guī)等等,這兩個(gè)加起來(lái)去做整體的風(fēng)險(xiǎn)控制,完成管理層的目標(biāo),這是我的想法。如果信息安全沒(méi)做好,其實(shí)風(fēng)控是沒(méi)法做的,這是一個(gè)非常基本的點(diǎn),舉個(gè)簡(jiǎn)單例子,比如說(shuō)網(wǎng)站上有一個(gè)漏洞,這個(gè)漏洞信息會(huì)被人偷走的,這種情況下,風(fēng)控是做不好的,因?yàn)橛肋h(yuǎn)在漏,所以說(shuō)第一個(gè)要做的事情,先把安全做好,防止底層出一些問(wèn)題。
這是我們單位的風(fēng)控跟開(kāi)發(fā)之間的一些關(guān)系。一個(gè)單位如果要做好風(fēng)控和信息安全,是通過(guò)兩個(gè)輪子來(lái)走的,然后我們有威脅情報(bào),產(chǎn)品和開(kāi)發(fā),把這兩個(gè)部門(mén)串起來(lái),整體來(lái)走,我相信一個(gè)部門(mén)做不好。然后有一個(gè)問(wèn)題,是先做信息安全還是先做風(fēng)控呢?我的理念是先要做信息安全,從簡(jiǎn)單的信息安全入手,然后慢慢做風(fēng)控。
我個(gè)人認(rèn)為,做信息安全風(fēng)控應(yīng)該執(zhí)行的幾條路,第一個(gè)要做輿情控制或做底層的信息安全控制,這是第一步,是很重要的。有很多漏洞你是沒(méi)法快速修補(bǔ)的,也要從輿情上進(jìn)行控制。
第二步,做一些漏洞修補(bǔ),打一些補(bǔ)丁,從技術(shù)上去解決這個(gè)問(wèn)題。第三步,要去做業(yè)務(wù)上面的一些場(chǎng)景的規(guī)則,做業(yè)務(wù)風(fēng)險(xiǎn)控制,再做一些其他的安全控制。這是我個(gè)人的一個(gè)思路。
這是我們公司的一個(gè)組織架構(gòu)。我們把整個(gè)運(yùn)營(yíng)跟安全跟風(fēng)控合在一起來(lái)做。我們分產(chǎn)品、研發(fā)、數(shù)據(jù)、運(yùn)營(yíng),基礎(chǔ)安全和相關(guān)的一些安全部門(mén),合在一起來(lái)做整個(gè)風(fēng)險(xiǎn)控制措施。這個(gè)部門(mén)有個(gè)非常大的特色,我們是以安全產(chǎn)品經(jīng)理為導(dǎo)向,產(chǎn)品經(jīng)理負(fù)責(zé)整個(gè)企業(yè)的安全和風(fēng)控的代理,這是以產(chǎn)品為導(dǎo)向的,而不是所謂的以運(yùn)營(yíng)為導(dǎo)向。
我們的風(fēng)控,以前分為兩道風(fēng)控,現(xiàn)在是三道,實(shí)時(shí)風(fēng)控跟非實(shí)時(shí)風(fēng)控,為什么說(shuō)我們是個(gè)大的風(fēng)控概念呢?我們從所有的訂單的登錄、下單、支付、清結(jié)算、判罰和配送,都是以風(fēng)控系統(tǒng)來(lái)兜底的。剛才一直說(shuō)風(fēng)控是一個(gè)兜底的部門(mén),所有的數(shù)據(jù)都要到風(fēng)控去兜一遍。
我們會(huì)根據(jù)每個(gè)業(yè)務(wù)場(chǎng)景來(lái)制定出不同的響應(yīng)規(guī)則,訂單能下和不能下,這家店回頭能不能開(kāi),都是以風(fēng)控規(guī)則為兜底的。
當(dāng)然,我們會(huì)有一些數(shù)據(jù)平臺(tái)去做相關(guān)的控制和收集數(shù)據(jù),其實(shí)我們有很多的數(shù)據(jù)平臺(tái),可以不用去自建,可以在有很多平臺(tái),比如阿里云平臺(tái),不一定要自建,因?yàn)檫@是一個(gè)產(chǎn)業(yè)。
信息安全因?yàn)楦讓樱覀兪且匀齻€(gè)維度來(lái)區(qū)分的,一個(gè)是傳統(tǒng)安全,一個(gè)是業(yè)務(wù)安全,一個(gè)是創(chuàng)新安全。如果我們做信息安全,一定要想著跟其他的數(shù)據(jù)做對(duì)接,要跟大家去share一些數(shù)據(jù),或者是國(guó)家也有這方面的平臺(tái)去share一些數(shù)據(jù),要通過(guò)這些數(shù)據(jù)來(lái)幫助你更好地去做信息安全和風(fēng)控,這是一個(gè)很重要的點(diǎn)。
傳統(tǒng)安全大家都會(huì)做,業(yè)務(wù)安全大家要防止漏洞出現(xiàn)問(wèn)題。第三個(gè)創(chuàng)新安全,特別是輿情、情報(bào),一定要很好地去做下來(lái)。
這里有一個(gè)地方,很多人會(huì)忽略,據(jù)我個(gè)人的經(jīng)驗(yàn),大部分的問(wèn)題發(fā)現(xiàn)都不是從公司內(nèi)部發(fā)現(xiàn)的。其實(shí)公司內(nèi)部很少能發(fā)現(xiàn)很多敏感性的問(wèn)題,都是從外部去發(fā)現(xiàn)的,所以我們公司建了一個(gè)SRC的平臺(tái),幫助查找漏洞。國(guó)內(nèi)有個(gè)非常知名的收集漏洞的地方叫烏云,現(xiàn)在已經(jīng)沒(méi)有了。
如果有能力的話,可以自己做一個(gè)輿情收集平臺(tái),把這些漏洞收集起來(lái)。如果沒(méi)有的話,可以跟政府合作,比如說(shuō)360,或者跟政府機(jī)構(gòu)去合作,把輿情控制起來(lái),是很重要的一點(diǎn)。
做風(fēng)控,我個(gè)人最后一個(gè)理念是什么?就是要比最后一名跑得快,這是我一直的做法,舉個(gè)例子,大家覺(jué)得風(fēng)控做得好不好,去淘寶搜,比如今天淘寶首單美團(tuán)10塊錢(qián)一單,餓了么12塊一單,那么我做的東西比美團(tuán)好,大家都跑到美團(tuán)去刷單去了。
另外一個(gè)方向,因?yàn)橥饷嬗泻芏嗨稳海蠹铱梢匀ゴ蛉脒@些群,CIO可以派一些小弟小妹,去這些群里面看一看,自己到底做得好不好,這是很好的驗(yàn)證的一種方式。
然后,我們有很多風(fēng)險(xiǎn)防范措施,但是還是很難,我們要通過(guò)一些大數(shù)據(jù)的方式來(lái)更好地保證它是有效的。大數(shù)據(jù)可以做什么?可以做防垃圾注冊(cè),用戶識(shí)別,虛假交易,惡意注冊(cè),惡意評(píng)論,虛假店鋪,信息泄露都可以做。作為一個(gè)CIO,要先往一個(gè)點(diǎn)打。
大數(shù)據(jù)怎么做?是自建?還是合作?合作的話,有很多共享的平臺(tái)和數(shù)據(jù)可以用。如果是自建的話,很多地方要自己去采購(gòu)。大數(shù)據(jù)平臺(tái)一般只有采購(gòu)跟自建兩條路。
最后一點(diǎn),做大數(shù)據(jù)要去想有多少數(shù)據(jù)可以做大數(shù)據(jù)?像銀行、保險(xiǎn),有很多基礎(chǔ)數(shù)據(jù),可以做大數(shù)據(jù)。很多企業(yè)是沒(méi)有這種數(shù)據(jù)的,怎么做?
大數(shù)據(jù)還有一個(gè)特征,就是高成本性,大數(shù)據(jù)非常貴,而且一個(gè)人是做不了的,一個(gè)團(tuán)隊(duì)要多少錢(qián)一年?
還有準(zhǔn)確性,要保證大數(shù)據(jù)出來(lái)的東西是不能是虛假的。這是大數(shù)據(jù)的一個(gè)挑戰(zhàn)。
還有,泛化的能力、解析的能力和更新速度能力,都是現(xiàn)在大數(shù)據(jù)的挑戰(zhàn)。
簡(jiǎn)單總結(jié)一下,如果要做很信息安全和風(fēng)控,第一步,要先把自身安全解決掉,把漏洞先填掉,然后從業(yè)務(wù)風(fēng)險(xiǎn)角度來(lái)說(shuō),做一個(gè)整體的風(fēng)險(xiǎn)控制。
第三,如果想做大數(shù)據(jù)的話,個(gè)人建議多采購(gòu)一些相關(guān)的數(shù)據(jù)模型提供商。
我的演講大概就這樣,謝謝。
京公網(wǎng)安備 11010502049343號(hào)