精品国产一级在线观看,国产成人综合久久精品亚洲,免费一级欧美大片在线观看

2016年1月16日，由企業網D1Net和中國信息化發展戰略與創新聯盟聯合舉辦的2016年北京部委央企及大型企業CIO年會在北京隆重舉行，大咖云集，干貨爆棚，圍繞新IT架構和信息安全，CIO們碰撞思想火花，最前沿的技術廠商交流最新的研究成果及創新產品。技術與實戰在這里融合。

主持人：下面我們請出餓了么高級風控專家王彬跟我們分享互聯網公司的風險控制，掌聲有請!

餓了么高級風控專家王彬

王彬：首先很高興感謝主辦方給我這個機會，我們餓了么還是一家很小的公司，希望大家給予支持。我是王彬，我以前在信息安全做了蠻久，2003年就是在信息安全，我見過萬老師，我們在很多場合碰過，最早在北京的一家信息安全的企業啟明星辰待了五六年，然后去了上海的一家互聯網企業。前邊很多人說信息安全事件都說到那家企業，就是那家做旅游的企業，然后出來到一個O2O的企業當中做一些風險管理的事情。

萬老師從技術層面，從底層說了一些跟信息安全有關的東西。剛才徐總也給我們介紹了一下信息安全跟業務之間的關系。今天我會講一些跟業務，跟信息安全之間的關系，我是以業務為出發點的。我們剛才說信息安全怎么做的好，或者風險控制怎么做，風險控制應該從業務層面出發，風險是以業務為導向的。

首先，做個小廣告，這是我今天的一些目錄，一些公司介紹，或者一些背景介紹。這是我們公司的簡單介紹，其實我們公司是一個很年輕的一家公司，2009年剛剛成立，一家很小的公司。為什么會有這家公司呢?我問過我們老板，我們老板說，以前經常打游戲，沒有飯吃，后來想我成立一家公司，可以把飯給我送過來，沒有想到餓了么這家公司能做的這么大，這是互聯網的一個契機。大家可能都以為餓了么是一家什么公司?是一個快遞的，一個摩托車手幫助你送一個快遞，其實我們不僅送外賣，做分包，做眾包，做供應鏈，做物流，做金融，這都是一個非常大的導向。大家可以看，如果從物流互聯網來說它只是一個入口，從整個互聯網來說有很大一塊利益的共享點。我相信餓了么現在估值50億美金，我們可以知道餓了么肯定不是專門做外賣的一個公司。這是簡單介紹一下我們最近融資的情況。餓了么2013年開始發力，2013年融2500萬，2014年融8000萬，2015年融10億，第二輪還沒有曝出來，大概不會少10億，都是美金，餓了么有17000在職員工，2015年被福布斯評為成長最快的科技公司。

聊一下大家關心的風控，我們風險控制或者風控做的最多，用的最廣的是在這四個行業。簡單舉幾個例子，金融?，F在可能P2P的概念大家都知道，“互聯網+”，互聯網貸款，互聯網高效的貸款方式，現在比較熱鬧的一個方式。但是，這個風險是非常高的，如果在座有些人想踏入“互聯網+”，或者互聯網做P2P經營的時候你會看這個風險負責高。我以前去一家公司實地調研過，它第一批從互聯網發出去的金融賬款大概是千萬左右，5分鐘就出去了?；仡^我們再看這一千萬的錢到哪里去，經過3-6個月的跟蹤，發現這筆錢根本要不回來，這就是當前的P2P行業的一個風險和這個方面的一個問題。

大家再看擼羊毛，最早我在攜程上班的時候，2011年安全問題基本上沒有，控制風險大概十幾個人，為什么有越來越多的風險出來呢?那時候攜程出了一個禮品卡，出了一個資金賬戶，你發現黑客攻擊從10倍到數10倍的增長，都是來盜號的。整個安全環境不是特別好，這些盜號的問題都是存在的。從票務出行這方面也有很多安全風險，包括業務風險點。像我們前兩天一直在說新公司的假票事件，其實說這是供應商的問題，攜程也在這方面進行了治理。其他的比如說亂扣費，亂計費方面是有傳統的一些風險。大家可以仔細去看，所謂的這些風險最終歸根到底是什么?“利”。很多公司問我風險控制怎么做，或者信息安全怎么做?我說找黑客或者供給者的獲利點在什么地方?這就是本質的一個點。很簡單P2P的交易現在欺詐非常大，怎么解決，從技術壟斷怎么看這筆錢怎么出去的，這就是這方面，特別是O2O電商的一個風險防護的一個本質。

我們知道在整個行業當中，黑客其實打到每個環節當中去的。像O2O行業，別看錢來的很快，燒的也很快。我們會把一些開放平臺的數據給它接入，他們把訂單產到我們這里來。我們發現有一個電商過來所有的數據，比如它訂單今天掛1000萬，我們看它所有訂單回來的時候發現其中900萬都是假訂單，這些訂單從哪兒來的，它的問題非常大，所以擼羊毛，怎么把這些東西防范，這是很大的困難點。

左邊的圖網上有賣，滴滴也是O2O當中受災害非常大的一個網，它很多補貼，刷號都是通過這個做的?，F在專業上都可以通過一些神器，只要把這個設備拆掉，整個羊毛就是你的。右邊一張圖，是一個短信屋，短信池，比如你可以花錢買打碼服務，或者擼羊毛服務，據我知道最便宜的一毛錢一條。你推薦一個新用戶最少20塊到30塊，這個一毛，一毛賺30塊，賺了很大錢。而且不管帶攜程也好，還是別的公司也好，我們多跟法律機構跟公安做了很多案例，但是打掉一個，打不掉一窩。以前有個點在廣西一個村就是做這種事情，造偽卡，就是擼羊毛。所以，我們當前面臨的風險非常高，如果大家想做O2O大家一定要想清楚。

這是我整理的一個數據，從今年8月份的一個數據，整個的企業的倒閉的情況，O2O行業倒閉的情況。餐飲有18個，其實還是比較少的。從整體行業來看，倒閉的最多是P2P。我看到一家公司沒有辦法，只有不停的投錢把這個盤子做大，但是投的越多，風險越失控。為什么互聯網P2P熱鬧，但是真正賺錢的不多，這就是這么一個原因。其實說了一些行業內部的事情。我可以這么說，很多這些企業真的不差錢，可能是被人堵死的，這些錢被其他人擼走了。這是我們的一些概念。大家可能認為做風控的有點唯命是聽。但是，我們有一些實質性的依據來看，其實行業整個風險狀況真的不好。

下面介紹一下風控架構。其實風控我們有很多種，大家可能在座CIO已經做了很多年，可能有很多風險控制的理念和方法，相信大家都已經了解。風控最簡單的一些方法比如說風控回避、轉移、保留等一系列的一些控制方法。比如說，一個網站今天開發了一個新的網站，這個網站最大的問題是盜號，或者賬戶，我覺得整個賬戶體系不安全。不安全有很多原因，可能被人撞出來的，可能密碼有問題，或者各方面的技術問題。通常情況有四個方法解決這個問題。第一、風險控制，采用一定的技術手段把這些風險控制住，我們采用哪些技術去防護，做一些東西，這是通常我們會做的。第二、風險接受，我認為我的賬戶被人刷了就是被人刷了，12306以前不知道被人撞庫嗎?都知道，危害不太大。第三、風險回避。第四、風險轉移，風險很高，可以把登錄外包，比如讓騰訊，很多網站有第三方登錄接口。

但是，從我個人角度來說，這方面都不是事。大家看一下左右有沒有相關的競爭對手，有沒有同行業的人。我相信大家可能有些競爭性伙伴，應該會有這么一些人。我說風控最主要的目標，這些事情都可以采用，但是最重要的目的要通過這方面來走，要比最后一個跑地快，如果大家都是CIO，這方面做的東西要比你的同行業技術做的好，這是做風控最基本的依據。做風控怎么樣把攻擊者的攻擊流量導到別人身上。我們最好的辦法就是這張網站做的安全要別的網站好。比如我花一毛錢的成本可以產生十塊錢的利益，就是這么一個情況。當付一塊錢的時候，這就會好一點。

我認為不管采取任何控制方法，要在行業上比，要比隔壁的企業做的快一點，做的好一點，是我個人的想法。什么是風控部門。其實最早的時候新公司的風控部門很小，同10個人到100個人，現在這家公司也有二三十個人了，風控部門是為業務部門檔槍的。什么時候會遇到風控，比如訂單減少了，會說因為風控的措施造成訂單的減少，這是風控的問題。還有什么可能?處理慢這是風控的問題，系統掛了，是風控的問題，所有問題都是風控的問題。我認為風控對一個企業來說是一個把門神。

那么多年左風控坐下來，我說的最多的一句話就是對不起我錯了，我們可以改一改，但是每次改都是有成效的。我希望大家想做互聯網，把這個風控放到一個比較高的位置，因為它真的是幫大家頂包，或者幫大家解決實質性問題的。

做這么多年風控，如果想招一個風控的人，需要懂哪些智能?第一、要懂技術，比如像萬總，這些人要跟它聊，哪些技術可以做一些風控的手段。第二、要知道業務的目標是什么?才能知道通過哪些技術進行防護，要讓別人認可你的風控理念，風控最大的問題會對業務造成損失，不管是隱性的還是顯性的都會有一點損失，這都跟你的風險控制策略有關系，怎么讓必須認同你這些損失，承擔這些風險，能溝通，能預判，你要知道未來幾年的安全趨勢或者是風險控制趨勢是怎么樣，你可以進行一定的風險控制的提前的規劃和預判。出現大數據，大數據就是一個很大的問題，你要有一定的預判技能。最后，要有擔當，我下面有三個字可能比較小，叫出事能頂，不出事能抗，三觀要正，做風控的三觀一定要正，因為風險控制當中如果三觀不正，很可能造成企業資金流向的損失。我們發現很多做風險控制部門的人，如果手抖一抖就是幾千萬，幾百萬的損失。

舉個例子，比如我們的風控要承擔證件審核的功能的，我們可以認定這個企業可以到餓了么營銷或者不能餓了么。如果審核的人手抖一抖，很多假的企業都上來了，損失是非常巨大的，所以三觀一定要正，這是風控的一些必備技能。

簡單說一下風控跟企業業務之間的一些關系。大家可能認為風控其實不是那么重要，但是我在那么幾家公司感覺下來風控是非常重要的，因為一個企業來說，需要一個部門從技術和管理手段，或者從風險控制角度來說，幫助企業解決問題。大家發現最早的時候有些部門雖然是審計來做，你發現很多東西要從業務技術上來做，怎么樣把它串起來，要懂技術，不要懂業務。不管每個產品的發布風控都應該介入，做風控的人要懂技術和業務，相對來說溝通成本比較低。

這是簡單介紹一下我現在的這個地方，我下面人的主要的一些職能，可以給大家一個借鑒，看看以后能不能在一個公司當中用到。第一、下面的人做業務風險評估，在業務上線之前，對整個需求進行評估，風控一開始的時候要介入整個業務怎么做，包括安息安全方面的風險，風險評估的時候都要評估出來，是不是要上驗證碼，是不是要加防護。然后賬戶，包括一些盜號，撞庫和信息披露，大家如果去東南亞消費，去那些很窮的國家消費的時候回來記得把卡給消了。對于合規風險，還有對外的一些比如一直說的輿情，第三方數據的接入也是在這里，包括跟萬總他們公司對接，了解本地行業的一些信息數據也是在我們這個部門采集。回頭我會說這些數據怎么用，跟大家簡單介紹一下。

這是我們下面的幾個團隊，大概分五個，技術團隊、產品團隊、市場應急團隊，運營團隊，審計團隊。我認為從風控來說兩個團隊是非常重要的，一個是產品團隊，一個是運營團隊。運營會給你數據，讓你的產品去改進，這是很重要的一點。簡單來說，這些團隊之間怎么轉起來的?第一、如果你有一個新的業務要上線的時候，我們會有產品經理幫你去識別風險，然后產品經理識別好風險以后，讓技術開發開發風控識別模塊。風控開發模塊以后，由運營監控人員負責監控和處理，對可能發現的異常行為或者漏掉的行為進行二次提交，最后由產品經理再次Review風險，并提出風險控制建議。我這里一個是做數據產品經理，一個是做風控規則產品經理，對你的規則進行Review，統一的提交進行整改。所以，不管外界的趨勢怎么樣，風險環境怎么樣，這里都是持續改進的，就是這么一個狀態。

這里介紹一個比較好的績效，大家做100%流量的時候要留1%出來，就是1%的流量要導多黑洞里面去，這樣人家不一定能看出你風控的規則是什么，你不要把所有的風控規則都統一暴露出來，要有一些類似于黑洞的機制在里面，這樣風控更好做一點。

風控有兩個流程，舉個事例。比方說，現在一筆交易是成功還是不能成功，有兩個判斷方式，大家可能用的比較多的。一個所謂是異常阻止，有一個規則發現異常的交易行為，就把這個異常交易行為阻止掉，這是一般性人做的做法。還有正常通過，我定了一個基線，一個人通過這筆交易應該走四個點，登錄進來，打開頁面，選產品，支付，任意缺失一個點就認為這個人是異常行為，這是風控的兩個走向。

再舉個例子，比如說像O2O行業，覺得一個人的優惠能不能用，你怎么做?第一、比如說我命中了我的一些規則，這個人不能享受優惠，這是比較長的一個。反過來推，會說我這個人沒有經過我設定的路徑，或者沒有提交我這個路徑，優惠就不能享用，是兩條路，大家回頭可以想一想這方面怎么做，這兩個是有傷害的。第二個如果做的不好，對用戶體驗的傷害非常大，會把很多好的用戶殺掉，看你怎么做。

我們每家處理企業都有實時風控和非實時風控兩塊。實時風控就是達到第一個目標要速度快，這個交易能不能成交，這個登錄能不能登錄，要求速度快，對用戶的干擾少，這是實時風控要做的東西。非實時風控做一些線下的東西，比如大數據分析，模型建立，所有的電商或者O2O企業都是通過這兩個模型分析的。

簡單介紹一下，這是我們公司的實時風控處理流程，登錄和注冊的時候用了一套賬戶風控的處理引擎，讓你可以注冊或者不能注冊。后面整個交易流程當中，會有一個業務訂單風控，下單、支付、配送和點評的各個環節當中都會對你的每個動作進行分析判別你這個訂單是否有問題。這是實時風控一個簡單的示意圖，下面一個紅點是我們的威脅情報分析，或者這部分數據，靠一個人的個人，或者一家企業的個人很難實現整個的風險控制。我個人推薦的做法，在有可能的情況下要引入外部資源做一些風險控制。比如第三方風險庫，還有烏云、騰訊、阿里，都會這些關系數據庫，這些兜底工作都做完以后，我們還是會到兩套風控系統當中，一個是基于賬戶的，一個是基于訂單的進行風險管理的措施，這是實時風控做的一些東西。據我們現在的一些分析來說，現在用下來，情報分析真的是比較有用的地方。

非實時風控處理流程，通過大數據的方式研判一些訂單是否有問題，或者看是不是有漏掉的數據，或者幫一個特定的用戶建模，都是非實時風控做的一些事情，出來的結果會人工看這些訂單是不是有問題。在我們企業當中，如果發現商戶有刷單，或者惡意的行為，我們會直接把店鋪關掉，我們懲罰是非常嚴格，這是我們公司的特色，如果發現有人刷單，賬戶拉黑，商戶下線，員工也有處罰，如果你的客戶一個月有兩三單被查出來，員工被開掉。因為有些東西不是市場經理自己想這么做的，但是有些地域的商戶就是這樣，他喜歡這么干，而且市場經理我們認為沒有盡到他自己督促的職責，也是有問題的。所以，這是線下非實時風控的一個處理流程，壓力也非常大，因為很多跟人有關。

我簡單介紹一下技術性的，各位可能有一些技術專家，我簡單介紹一些技術對抗的過程，非常簡單。比如在銀行，或者你到很多地方看，現在網上有兩個主流的模擬器對我們網站的威脅非常大，一個叫008，影響你的特征識別，如果識別用戶特征怎么辦?你要通過其他方式來做。這是傳統的攻擊工具。第二、iGrimace V8，本身你的iOS是越獄的，它的防護手段監測出來它是非越獄的，這個軟件對我們整個風險反欺詐影響非常大。

這是主流模擬器的一些監測方法，通過硬件設備信息來看，通過藍牙這種設施來看，通過系統屬性來看是有限的。前面兩個工具可以對這些信息進行修改，那怎么辦?我們有一個想法，是通過大數據分析來做的。我相信同時有十個攻擊者，他爸爸的手機號碼不可能是同一個吧，或者一個人的照片，我不相信十個人的照片都是同一個，你要通過大數據分析的方法來看哪些可以引用進去做風險識別和反欺詐識別，這是我們現在要做的一個很大的防護方式。在實時風控當中有很多不確定性和不穩定性，會誤殺一些人，這是通過大數據的模型來算的，這是一個比較重要的一點。

其實回過來，如果某一天大家做線上的一些交易，特別是線上反欺詐的時候，有些反欺詐是通過兩種方法。一個是讓你通過動態的一種方式來去錄像，或者在幾秒鐘之內做幾個姿勢，寫已經被破掉了，身份證也是被破掉了，要看新的反欺詐的一些行為，而且我們知道線上的手機是不安全的，Root也是可以被破解的，怎么保證線上交易的反欺詐，怎么樣保證這些錢流到該去的人的手上呢?特別是做線上交易，跟錢有關的交易風險是蠻大的，很多東西沒有暴露出來，但是不相信它沒有。今天我們說的這個話，大家可以過半年再看，整個欺詐風險其實是非常嚴重的。

總結一下，從三個方向，部門、系統和行業來說。我認為一個企業要做大、做廣風控是必經之路，而且風控在一個單位的價值會越來越高，跟信息安全一樣，是兩個相輔相成的%部門。風控更偏向于業務，安全更偏向于技術，兩個人能在一起，公司就安全了，安全是整體的安全，這是第一點。第二、風控和安全不是萬能的。第三、風控需要理解和支持?，F在如果你企業更大，我相信大家應該把更多的資源，或者一部分資源投到輿情上面去，數據舞榭和輿情，是這兩年如果企業想投最有價值的兩塊點，當然風控這個部門本身也是。從Web數據我們可以減少很多工作量和風控系統壓力。還有一點這是我個人的想法，如果你的風控系統想做好，我認為你要自建，采用自建系統才能跟整個行業或者整個業務串在一起，對你的業務影響最少。外界的風控系統不一定會用的那么順手。我們以前都試過一些外邊的產品，最后風控還要自檢，你可以用外部的資源，但是你要自檢。

最終，說一下這個行業，O2O行業是一個燒錢的行業，大家如果看一些經濟報道，經濟的嚴冬已經來了，整個過程當中融到錢的會越來越少。特別是電商這個行業當中，誰能省錢，省到最后，這個公司就會活的越久，我相信風控和安全就是這么一個部門，幫大家去省錢，是真正產生利益價值的一個部門。謝謝大家!