特別是在互聯網時代，企業的生存和發展離不開資金和數據，因此，保障資金和數據的安全成為重中之重。在2017 CIOC全國CIO大會上，圍繞資金和數據，餓了么 安全風控主管 王彬講了對企業安全和風控的了解和做法。

 

 

和之前相比，現在爆發的安全問題的原因發生了轉變，2000年以前的時候，攻擊者對目標的攻擊大多是為了彰顯自己的技術能力，現在，大多攻擊者是為了利益。例如前段時間的勒索病毒，繳納贖金才能換回被鎖住的數據。餓了么安全風控主管 王彬表示，現在大家面對的各類比較大的安全問題都跟利益有關。在企業中做風控，要圍繞利益所在的地方，比如為了獲得新用戶進行的一系列活動，舉個例子來說，賣飲料的機器，首單免費，刷一單，就付出2元。如果是攻擊者攻擊這個機器來進行刷單，他的成本是5分，那么這里面的利潤就是40倍，如果他去攻擊獲新成本更高的目標，其獲得利潤就會更高。因此，哪里有利益，哪里就要做好安全和風控，而且安全和風控是結合在一起的。

 

 

1.防止信息泄露。今年6月1日新的《網絡安全法》也發布了，其中提到國家要花大力氣做安全控制，任何關于公民的信息泄露問題都會遭到嚴查。

 

2.安全和風控都要抓，各司其職。IT部門擁有技術和工具，擅長保障安全，保障和提高業務的可靠性。讓風控部門提高業務的真實性，輔佐業務發展。

 

3.開發可以用外包，運營和產品一定要自建。

 

 

餓了么 安全風控主管 王彬講到，安全和風控都是為了降低企業的風險，但是這兩者有明確的分工和側重，傳統的安全做的是底層的漏洞、補丁、代碼管理、防泄漏等。風控做的是基于運營層和應用層的控制，風控的框架跟企業的業務目標有關系，如果要互聯網轉型，肯定有賬號，賬號里面如果有錢，就應該做賬戶的風控，如果做支付，要做支付的風控，如果做配送，要做配送的風控。

 

談到安全和風控的優先次序時，餓了么安全風控主管 王彬表示，當底層結實的時候，可以去做風控，向業務發展，如果安全沒有做好，風控一定做不好。

 

 

企業在做安全的風控的時候，需要圍繞利益，圍繞資金和數據，先把底層的安全做好，筑好安全的地基，然后再根據業務框架做風控，讓風控保障資金的安全，數據的真實性，助力業務的發展。