網際網路公司的風險控制

2016年1月16日，由企業網d1net和中國資訊化發展戰略與創新聯盟聯合舉辦的2016年北京部委央企及大型企業cio年會在北京隆重舉行，大咖雲集，幹貨爆棚，圍繞新it架構和資訊安全，cio們碰撞思想火花，最前沿的技術廠商交流最新的研究成果及創新産品。技術與實戰在這裡融合。

主持人：下面我們請出餓了麼進階風控專家王彬跟我們分享網際網路公司的風險控制，掌聲有請!

餓了麼進階風控專家王彬

王彬：首先很高興感謝主辦方給我這個機會，我們餓了麼還是一家很小的公司，希望大家給予支援。我是王彬，我以前在資訊安全做了蠻久，2003年就是在資訊安全，我見過萬老師，我們在很多場合碰過，最早在北京的一家資訊安全的企業啟明星辰待了五六年，然後去了上海的一家網際網路企業。前邊很多人說資訊安全事件都說到那家企業，就是那家做旅遊的企業，然後出來到一個o2o的企業當中做一些風險管理的事情。

萬老師從技術層面，從底層說了一些跟資訊安全有關的東西。剛才徐總也給我們介紹了一下資訊安全跟業務之間的關系。今天我會講一些跟業務，跟資訊安全之間的關系，我是以業務為出發點的。我們剛才說資訊安全怎麼做的好，或者風險控制怎麼做，風險控制應該從業務層面出發，風險是以業務為導向的。

首先，做個小廣告，這是我今天的一些目錄，一些公司介紹，或者一些背景介紹。這是我們公司的簡單介紹，其實我們公司是一個很年輕的一家公司，2009年剛剛成立，一家很小的公司。為什麼會有這家公司呢?我問過我們老闆，我們老闆說，以前經常打遊戲，沒有飯吃，後來想我成立一家公司，可以把飯給我送過來，沒有想到餓了麼這家公司能做的這麼大，這是網際網路的一個契機。大家可能都以為餓了麼是一家什麼公司?是一個快遞的，一個機車手幫助你送一個快遞，其實我們不僅送外賣，做分包，做衆包，做供應鍊，做物流，做金融，這都是一個非常大的導向。大家可以看，如果從物流網際網路來說它隻是一個入口，從整個網際網路來說有很大一塊利益的共享點。我相信餓了麼現在估值50億美金，我們可以知道餓了麼肯定不是專門做外賣的一個公司。這是簡單介紹一下我們最近融資的情況。餓了麼2013年開始發力，2013年融2500萬，2014年融8000萬，2015年融10億，第二輪還沒有曝出來，大概不會少10億，都是美金，餓了麼有17000在職員工，2015年被福布斯評為成長最快的科技公司。

聊一下大家關心的風控，我們風險控制或者風控做的最多，用的最廣的是在這四個行業。簡單舉幾個例子，金融。現在可能p2p的概念大家都知道，“網際網路+”，網際網路貸款，網際網路高效的貸款方式，現在比較熱鬧的一個方式。但是，這個風險是非常高的，如果在座有些人想踏入“網際網路+”，或者網際網路做p2p經營的時候你會看這個風險負責高。我以前去一家公司實地調研過，它第一批從網際網路發出去的金融賬款大概是千萬左右，5分鐘就出去了。回頭我們再看這一千萬的錢到哪裡去，經過3-6個月的跟蹤，發現這筆錢根本要不回來，這就是目前的p2p行業的一個風險和這個方面的一個問題。

大家再看撸羊毛，最早我在攜程上班的時候，2011年安全問題基本上沒有，控制風險大概十幾個人，為什麼有越來越多的風險出來呢?那時候攜程出了一個禮品卡，出了一個資金賬戶，你發現黑客攻擊從10倍到數10倍的增長，都是來盜号的。整個安全環境不是特别好，這些盜号的問題都是存在的。從票務出行這方面也有很多安全風險，包括業務風險點。像我們前兩天一直在說新公司的假票事件，其實說這是供應商的問題，攜程也在這方面進行了治理。其他的比如說亂扣費，亂計費方面是有傳統的一些風險。大家可以仔細去看，所謂的這些風險最終歸根到底是什麼?“利”。很多公司問我風險控制怎麼做，或者資訊安全怎麼做?我說找黑客或者供給者的獲利點在什麼地方?這就是本質的一個點。很簡單p2p的交易現在欺詐非常大，怎麼解決，從技術壟斷怎麼看這筆錢怎麼出去的，這就是這方面，特别是o2o電商的一個風險防護的一個本質。

我們知道在整個行業當中，黑客其實打到每個環節當中去的。像o2o行業，别看錢來的很快，燒的也很快。我們會把一些開放平台的資料給它接入，他們把訂單産到我們這裡來。我們發現有一個電商過來所有的資料，比如它訂單今天挂1000萬，我們看它所有訂單回來的時候發現其中900萬都是假訂單，這些訂單從哪兒來的，它的問題非常大，是以撸羊毛，怎麼把這些東西防範，這是很大的困難點。

左邊的圖網上有賣，滴滴也是o2o當中受災害非常大的一個網，它很多補貼，刷号都是通過這個做的。現在專業上都可以通過一些神器，隻要把這個裝置拆掉，整個羊毛就是你的。右邊一張圖，是一個短信屋，短信池，比如你可以花錢買打碼服務，或者撸羊毛服務，據我知道最便宜的一毛錢一條。你推薦一個新使用者最少20塊到30塊，這個一毛，一毛賺30塊，賺了很大錢。而且不管帶攜程也好，還是别的公司也好，我們多跟法律機構跟公安做了很多案例，但是打掉一個，打不掉一窩。以前有個點在廣西一個村就是做這種事情，造僞卡，就是撸羊毛。是以，我們目前面臨的風險非常高，如果大家想做o2o大家一定要想清楚。

這是我整理的一個資料，從今年8月份的一個資料，整個的企業的倒閉的情況，o2o行業倒閉的情況。餐飲有18個，其實還是比較少的。從整體行業來看，倒閉的最多是p2p。我看到一家公司沒有辦法，隻有不停的投錢把這個盤子做大，但是投的越多，風險越失控。為什麼網際網路p2p熱鬧，但是真正賺錢的不多，這就是這麼一個原因。其實說了一些行業内部的事情。我可以這麼說，很多這些企業真的不差錢，可能是被人堵死的，這些錢被其他人撸走了。這是我們的一些概念。大家可能認為做風控的有點唯命是聽。但是，我們有一些實質性的依據來看，其實行業整個風險狀況真的不好。

下面介紹一下風控架構。其實風控我們有很多種，大家可能在座cio已經做了很多年，可能有很多風險控制的理念和方法，相信大家都已經了解。風控最簡單的一些方法比如說風控回避、轉移、保留等一系列的一些控制方法。比如說，一個網站今天開發了一個新的網站，這個網站最大的問題是盜号，或者賬戶，我覺得整個賬戶體系不安全。不安全有很多原因，可能被人撞出來的，可能密碼有問題，或者各方面的技術問題。通常情況有四個方法解決這個問題。第一、風險控制，采用一定的技術手段把這些風險控制住，我們采用哪些技術去防護，做一些東西，這是通常我們會做的。第二、風險接受，我認為我的賬戶被人刷了就是被人刷了，12306以前不知道被人撞庫嗎?都知道，危害不太大。第三、風險回避。第四、風險轉移，風險很高，可以把登入外包，比如讓騰訊，很多網站有第三方登入接口。

但是，從我個人角度來說，這方面都不是事。大家看一下左右有沒有相關的競争對手，有沒有同行業的人。我相信大家可能有些競争性夥伴，應該會有這麼一些人。我說風控最主要的目标，這些事情都可以采用，但是最重要的目的要通過這方面來走，要比最後一個跑地快，如果大家都是cio，這方面做的東西要比你的同行業技術做的好，這是做風控最基本的依據。做風控怎麼樣把攻擊者的攻擊流量導到别人身上。我們最好的辦法就是這張網站做的安全要别的網站好。比如我花一毛錢的成本可以産生十塊錢的利益，就是這麼一個情況。當付一塊錢的時候，這就會好一點。

我認為不管采取任何控制方法，要在行業上比，要比隔壁的企業做的快一點，做的好一點，是我個人的想法。什麼是風控部門。其實最早的時候新公司的風控部門很小，同10個人到100個人，現在這家公司也有二三十個人了，風控部門是為業務部門檔槍的。什麼時候會遇到風控，比如訂單減少了，會說因為風控的措施造成訂單的減少，這是風控的問題。還有什麼可能?處理慢這是風控的問題，系統挂了，是風控的問題，所有問題都是風控的問題。我認為風控對一個企業來說是一個把門神。

那麼多年左風控坐下來，我說的最多的一句話就是對不起我錯了，我們可以改一改，但是每次改都是有成效的。我希望大家想做網際網路，把這個風控放到一個比較高的位置，因為它真的是幫大家頂包，或者幫大家解決實質性問題的。

做這麼多年風控，如果想招一個風控的人，需要懂哪些智能?第一、要懂技術，比如像萬總，這些人要跟它聊，哪些技術可以做一些風控的手段。第二、要知道業務的目标是什麼?才能知道通過哪些技術進行防護，要讓别人認可你的風控理念，風控最大的問題會對業務造成損失，不管是隐性的還是顯性的都會有一點損失，這都跟你的風險控制政策有關系，怎麼讓必須認同你這些損失，承擔這些風險，能溝通，能預判，你要知道未來幾年的安全趨勢或者是風險控制趨勢是怎麼樣，你可以進行一定的風險控制的提前的規劃和預判。出現大資料，大資料就是一個很大的問題，你要有一定的預判技能。最後，要有擔當，我下面有三個字可能比較小，叫出事能頂，不出事能抗，三觀要正，做風控的三觀一定要正，因為風險控制當中如果三觀不正，很可能造成企業資金流向的損失。我們發現很多做風險控制部門的人，如果手抖一抖就是幾千萬，幾百萬的損失。

舉個例子，比如我們的風控要承擔證件稽核的功能的，我們可以認定這個企業可以到餓了麼營銷或者不能餓了麼。如果稽核的人手抖一抖，很多假的企業都上來了，損失是非常巨大的，是以三觀一定要正，這是風控的一些必備技能。

簡單說一下風控跟企業業務之間的一些關系。大家可能認為風控其實不是那麼重要，但是我在那麼幾家公司感覺下來風控是非常重要的，因為一個企業來說，需要一個部門從技術和管理手段，或者從風險控制角度來說，幫助企業解決問題。大家發現最早的時候有些部門雖然是審計來做，你發現很多東西要從業務技術上來做，怎麼樣把它串起來，要懂技術，不要懂業務。不管每個産品的釋出風控都應該介入，做風控的人要懂技術和業務，相對來說溝通成本比較低。

這是簡單介紹一下我現在的這個地方，我下面人的主要的一些職能，可以給大家一個借鑒，看看以後能不能在一個公司當中用到。第一、下面的人做業務風險評估，在業務上線之前，對整個需求進行評估，風控一開始的時候要介入整個業務怎麼做，包括安息安全方面的風險，風險評估的時候都要評估出來，是不是要上驗證碼，是不是要加防護。然後賬戶，包括一些盜号，撞庫和資訊披露，大家如果去東南亞消費，去那些很窮的國家消費的時候回來記得把卡給消了。對于合規風險，還有對外的一些比如一直說的輿情，第三方資料的接入也是在這裡，包括跟萬總他們公司對接，了解本地行業的一些資訊資料也是在我們這個部門采集。回頭我會說這些資料怎麼用，跟大家簡單介紹一下。

這是我們下面的幾個團隊，大概分五個，技術團隊、産品團隊、市場應急團隊，營運團隊，審計團隊。我認為從風控來說兩個團隊是非常重要的，一個是産品團隊，一個是營運團隊。營運會給你資料，讓你的産品去改進，這是很重要的一點。簡單來說，這些團隊之間怎麼轉起來的?第一、如果你有一個新的業務要上線的時候，我們會有産品經理幫你去識别風險，然後産品經理識别好風險以後，讓技術開發開發風控識别子產品。風控開發子產品以後，由營運監控人員負責監控和處理，對可能發現的異常行為或者漏掉的行為進行二次送出，最後由産品經理再次review風險，并提出風險控制建議。我這裡一個是做資料産品經理，一個是做風控規則産品經理，對你的規則進行review，統一的送出進行整改。是以，不管外界的趨勢怎麼樣，風險環境怎麼樣，這裡都是持續改進的，就是這麼一個狀态。

這裡介紹一個比較好的績效，大家做100%流量的時候要留1%出來，就是1%的流量要導多黑洞裡面去，這樣人家不一定能看出你風控的規則是什麼，你不要把所有的風控規則都統一暴露出來，要有一些類似于黑洞的機制在裡面，這樣風控更好做一點。

風控有兩個流程，舉個事例。比方說，現在一筆交易是成功還是不能成功，有兩個判斷方式，大家可能用的比較多的。一個所謂是異常阻止，有一個規則發現異常的交易行為，就把這個異常交易行為阻止掉，這是一般性人做的做法。還有正常通過，我定了一個基線，一個人通過這筆交易應該走四個點，登入進來，打開頁面，選産品，支付，任意缺失一個點就認為這個人是異常行為，這是風控的兩個走向。

再舉個例子，比如說像o2o行業，覺得一個人的優惠能不能用，你怎麼做?第一、比如說我命中了我的一些規則，這個人不能享受優惠，這是比較長的一個。反過來推，會說我這個人沒有經過我設定的路徑，或者沒有送出我這個路徑，優惠就不能享用，是兩條路，大家回頭可以想一想這方面怎麼做，這兩個是有傷害的。第二個如果做的不好，對使用者體驗的傷害非常大，會把很多好的使用者殺掉，看你怎麼做。

我們每家處理企業都有實時風控和非實時風控兩塊。實時風控就是達到第一個目标要速度快，這個交易能不能成交，這個登入能不能登入，要求速度快，對使用者的幹擾少，這是實時風控要做的東西。非實時風控做一些線下的東西，比如大資料分析，模型建立，所有的電商或者o2o企業都是通過這兩個模型分析的。

簡單介紹一下，這是我們公司的實時風控處理流程，登入和注冊的時候用了一套賬戶風控的處理引擎，讓你可以注冊或者不能注冊。後面整個交易流程當中，會有一個業務訂單風控，下單、支付、配送和點評的各個環節當中都會對你的每個動作進行分析判别你這個訂單是否有問題。這是實時風控一個簡單的示意圖，下面一個紅點是我們的威脅情報分析，或者這部分資料，靠一個人的個人，或者一家企業的個人很難實作整個的風險控制。我個人推薦的做法，在有可能的情況下要引入外部資源做一些風險控制。比如第三方風險庫，還有烏雲、騰訊、阿裡，都會這些關系資料庫，這些兜底工作都做完以後，我們還是會到兩套風控系統當中，一個是基于賬戶的，一個是基于訂單的進行風險管理的措施，這是實時風控做的一些東西。據我們現在的一些分析來說，現在用下來，情報分析真的是比較有用的地方。

非實時風控處理流程，通過大資料的方式研判一些訂單是否有問題，或者看是不是有漏掉的資料，或者幫一個特定的使用者模組化，都是非實時風控做的一些事情，出來的結果會人工看這些訂單是不是有問題。在我們企業當中，如果發現商戶有刷單，或者惡意的行為，我們會直接把店鋪關掉，我們懲罰是非常嚴格，這是我們公司的特色，如果發現有人刷單，賬戶拉黑，商戶下線，員工也有處罰，如果你的客戶一個月有兩三單被查出來，員工被開掉。因為有些東西不是市場經理自己想這麼做的，但是有些地域的商戶就是這樣，他喜歡這麼幹，而且市場經理我們認為沒有盡到他自己督促的職責，也是有問題的。是以，這是線下非實時風控的一個處理流程，壓力也非常大，因為很多跟人有關。

我簡單介紹一下技術性的，各位可能有一些技術專家，我簡單介紹一些技術對抗的過程，非常簡單。比如在銀行，或者你到很多地方看，現在網上有兩個主流的模拟器對我們網站的威脅非常大，一個叫008，影響你的特征識别，如果識别使用者特征怎麼辦?你要通過其他方式來做。這是傳統的攻擊工具。第二、igrimace

v8，本身你的ios是越獄的，它的防護手段監測出來它是非越獄的，這個軟體對我們整個風險反欺詐影響非常大。

這是主流模拟器的一些監測方法，通過硬體裝置資訊來看，通過藍牙這種設施來看，通過系統屬性來看是有限的。前面兩個工具可以對這些資訊進行修改，那怎麼辦?我們有一個想法，是通過大資料分析來做的。我相信同時有十個攻擊者，他爸爸的手機号碼不可能是同一個吧，或者一個人的照片，我不相信十個人的照片都是同一個，你要通過大資料分析的方法來看哪些可以引用進去做風險識别和反欺詐識别，這是我們現在要做的一個很大的防護方式。在實時風控當中有很多不确定性和不穩定性，會誤殺一些人，這是通過大資料的模型來算的，這是一個比較重要的一點。

其實回過來，如果某一天大家做線上的一些交易，特别是線上反欺詐的時候，有些反欺詐是通過兩種方法。一個是讓你通過動态的一種方式來去錄像，或者在幾秒鐘之内做幾個姿勢，寫已經被破掉了，身份證也是被破掉了，要看新的反欺詐的一些行為，而且我們知道線上的手機是不安全的，root也是可以被破解的，怎麼保證線上交易的反欺詐，怎麼樣保證這些錢流到該去的人的手上呢?特别是做線上交易，跟錢有關的交易風險是蠻大的，很多東西沒有暴露出來，但是不相信它沒有。今天我們說的這個話，大家可以過半年再看，整個欺詐風險其實是非常嚴重的。

總結一下，從三個方向，部門、系統和行業來說。我認為一個企業要做大、做廣風控是必經之路，而且風控在一個機關的價值會越來越高，跟資訊安全一樣，是兩個相輔相成的%部門。風控更偏向于業務，安全更偏向于技術，兩個人能在一起，公司就安全了，安全是整體的安全，這是第一點。第二、風控和安全不是萬能的。第三、風控需要了解和支援。現在如果你企業更大，我相信大家應該把更多的資源，或者一部分資源投到輿情上面去，資料舞榭和輿情，是這兩年如果企業想投最有價值的兩塊點，當然風控這個部門本身也是。從web資料我們可以減少很多工作量和風控系統壓力。還有一點這是我個人的想法，如果你的風控系統想做好，我認為你要自建，采用自建系統才能跟整個行業或者整個業務串在一起，對你的業務影響最少。外界的風控系統不一定會用的那麼順手。我們以前都試過一些外邊的産品，最後風控還要自檢，你可以用外部的資源，但是你要自檢。

最終，說一下這個行業，o2o行業是一個燒錢的行業，大家如果看一些經濟報道，經濟的嚴冬已經來了，整個過程當中融到錢的會越來越少。特别是電商這個行業當中，誰能省錢，省到最後，這個公司就會活的越久，我相信風控和安全就是這麼一個部門，幫大家去省錢，是真正産生利益價值的一個部門。謝謝大家!

本文轉自d1net（原創）