一大批互聯(lián)網(wǎng)企業(yè)崛起的同時(shí)也在迅速死亡����,互聯(lián)網(wǎng)各個(gè)細(xì)分市場(chǎng)交足了學(xué)費(fèi)��,堪稱“永嘆調(diào)”����。從互聯(lián)網(wǎng)金融P2P到餐飲O2O,這個(gè)市場(chǎng)���,從不相信眼淚���,它只相信系統(tǒng)性風(fēng)控體系。
王彬��,餓了么高級(jí)風(fēng)控專家�����,立足于互聯(lián)網(wǎng)公司風(fēng)險(xiǎn)控制(以下簡(jiǎn)稱風(fēng)控)研究多年��,他為我們揭密餓了么風(fēng)控絕秘��。
上圖為:餓了么高級(jí)風(fēng)控專家王彬
風(fēng)控總則:以業(yè)務(wù)為導(dǎo)向
王彬認(rèn)為:“利益是黑客攻擊的本質(zhì)�����,互聯(lián)網(wǎng)企業(yè)所有的風(fēng)險(xiǎn)最終歸根到底是為了“利”�����,因此�����,風(fēng)險(xiǎn)控制應(yīng)該從業(yè)務(wù)層面出發(fā)���,以業(yè)務(wù)為導(dǎo)向進(jìn)行風(fēng)控�?����!?/p>
互聯(lián)網(wǎng)風(fēng)險(xiǎn)控制主要應(yīng)用于三個(gè)方面���,首先是互聯(lián)網(wǎng)金融�����,尤其是P2P領(lǐng)域���,其風(fēng)險(xiǎn)非常高����,早期發(fā)布的千萬(wàn)左右賬款僅用了5分鐘��,但經(jīng)過(guò)3-6個(gè)月的跟蹤����,發(fā)現(xiàn)這筆投資根本無(wú)法回收,這是當(dāng)時(shí)的P2P行業(yè)真實(shí)的風(fēng)險(xiǎn)寫(xiě)照��。
其次是互聯(lián)網(wǎng)旅游��,如攜程���,2011年幾乎不存在安全問(wèn)題���,其內(nèi)部風(fēng)控人員僅十多人,但目前攜程正遭遇很大的風(fēng)險(xiǎn)�,攜程禮品卡資金賬戶,黑客攻擊成百倍的增長(zhǎng)用來(lái)盜號(hào)���。
再次是O2O行業(yè)��,2015年O2O行業(yè)投資較多��,但錢(qián)來(lái)的快���,燒的也很快,定單造假等亂象叢生�����,風(fēng)險(xiǎn)較大���,倒閉頗多���。
構(gòu)建風(fēng)控架構(gòu)
風(fēng)控最簡(jiǎn)單的方法是風(fēng)控回避、轉(zhuǎn)移��、保留等一系列的控制方法��。比如一個(gè)網(wǎng)站今天開(kāi)發(fā)了一個(gè)新的網(wǎng)頁(yè),網(wǎng)站最大的問(wèn)題是盜號(hào)或者賬戶被盜�����,致使整個(gè)賬戶體系不安全�。要保證賬戶安全,一般采取四種解決方案:
第一��、風(fēng)險(xiǎn)控制���,即采用必要的技術(shù)手段把風(fēng)險(xiǎn)控制住�����。
第二���、風(fēng)險(xiǎn)接受,即對(duì)某些危害不太大的風(fēng)險(xiǎn)予以接收���。
第三��、風(fēng)險(xiǎn)回避����,對(duì)某些高風(fēng)險(xiǎn)采取回避制度。
第四����、風(fēng)險(xiǎn)轉(zhuǎn)移�,對(duì)某些風(fēng)險(xiǎn)很高的實(shí)行轉(zhuǎn)移,比如可以把登錄外包開(kāi)放給騰訊QQ等三方登錄接口等���。
但風(fēng)控最主要的目標(biāo)是要比最后一個(gè)競(jìng)爭(zhēng)對(duì)手跑得快���,即要比同行業(yè)技術(shù)做的好,這是做風(fēng)控最基本的依據(jù)����。怎么樣把攻擊者的攻擊流量導(dǎo)到別人身上,用一毛錢(qián)的成本可以產(chǎn)生十塊錢(qián)的利益���。
風(fēng)控部門(mén)則發(fā)揮著為業(yè)務(wù)部門(mén)“擋槍”的功能�����,比如訂單減少了����,會(huì)有人分析因?yàn)轱L(fēng)控的措施造成訂單的減少,當(dāng)然防止系統(tǒng)癱瘓更是風(fēng)控的主要職能���,風(fēng)控對(duì)企業(yè)扮演著“把門(mén)神”角色�����。
風(fēng)控人應(yīng)具備的四項(xiàng)能力
風(fēng)控人需要具備哪些能力?
第一���、要懂技術(shù),哪些技術(shù)手段可以幫助企業(yè)實(shí)現(xiàn)風(fēng)控管理���。
第二���、明確企業(yè)業(yè)務(wù)的目標(biāo),只能清楚了解企業(yè)業(yè)務(wù)目標(biāo)��,才能知道通過(guò)哪些技術(shù)進(jìn)行防護(hù)��,風(fēng)控最大的問(wèn)題是會(huì)對(duì)業(yè)務(wù)造成損失���,不管是隱性的還是顯性損失;
第三����,制定風(fēng)險(xiǎn)控制策略,根據(jù)未來(lái)幾年的安全趨勢(shì)或者是風(fēng)險(xiǎn)控制趨勢(shì)制定風(fēng)險(xiǎn)控制策略;
第四���,要有擔(dān)當(dāng)�����,即出事能頂����,不出事能抗����,三觀要正�����。風(fēng)控人員三觀一定要正���,如果三觀不正����,很可能造成企業(yè)資金流向損失,風(fēng)險(xiǎn)控制部門(mén)手抖一抖就是幾千萬(wàn)����,幾百萬(wàn)的損失。
明確風(fēng)控部門(mén)職能
風(fēng)控部門(mén)可以從技術(shù)和管理手段�����,或者從風(fēng)險(xiǎn)控制角度來(lái)幫助企業(yè)解決問(wèn)題�,不管每個(gè)產(chǎn)品的發(fā)布風(fēng)控都應(yīng)該介入,風(fēng)控人員要懂技術(shù)和業(yè)務(wù)��。
餓了么風(fēng)控部門(mén)職能如下:
第一��、 業(yè)務(wù)風(fēng)險(xiǎn)評(píng)估���,在業(yè)務(wù)上線之前�����,對(duì)整個(gè)需求進(jìn)行評(píng)估���,風(fēng)控從業(yè)務(wù)規(guī)劃開(kāi)始,便會(huì)參與其中����,評(píng)估信息安全方面的風(fēng)險(xiǎn)��,包括是否要上驗(yàn)證碼�,是否要加防護(hù)��,如何防范賬戶盜號(hào)�����,撞庫(kù)和信息披露等���。
第二�、 評(píng)估合規(guī)風(fēng)險(xiǎn)��,是否滿足各種法律法規(guī);
第三���、 第三方數(shù)據(jù)接入評(píng)估;
第四、 了解本地行業(yè)信息數(shù)據(jù)�����。
重視風(fēng)控部門(mén)管理
餓了么風(fēng)控包括五個(gè)團(tuán)隊(duì)�����,分別為技術(shù)團(tuán)隊(duì)、產(chǎn)品團(tuán)隊(duì)��、市場(chǎng)應(yīng)急團(tuán)隊(duì)����,運(yùn)營(yíng)團(tuán)隊(duì),審計(jì)團(tuán)隊(duì)����。其中,產(chǎn)品團(tuán)隊(duì)及運(yùn)營(yíng)團(tuán)隊(duì)尤其重要�����。運(yùn)營(yíng)團(tuán)隊(duì)提供運(yùn)營(yíng)數(shù)據(jù)����,從而改進(jìn)產(chǎn)品。
上述團(tuán)隊(duì)如何運(yùn)轉(zhuǎn)管理?其業(yè)務(wù)運(yùn)程如下:
新業(yè)務(wù)上線前����,產(chǎn)品經(jīng)理識(shí)別風(fēng)險(xiǎn),產(chǎn)品經(jīng)理識(shí)別好風(fēng)險(xiǎn)后���,讓技術(shù)開(kāi)發(fā)風(fēng)控識(shí)別模塊風(fēng)險(xiǎn)����。風(fēng)控開(kāi)發(fā)模塊認(rèn)可后,由運(yùn)營(yíng)監(jiān)控人員負(fù)責(zé)監(jiān)控和處理��,對(duì)可能發(fā)現(xiàn)的異常行為或者漏掉的行為進(jìn)行二次提交�,最后由產(chǎn)品經(jīng)理再次識(shí)別風(fēng)險(xiǎn),并提出風(fēng)險(xiǎn)控制建議��。也就是不管外界的趨勢(shì)如何變化����,風(fēng)險(xiǎn)環(huán)境怎樣,便形成了持續(xù)改進(jìn)狀態(tài)����。
王彬重點(diǎn)指出:“企業(yè)也不能把所有的風(fēng)控規(guī)則都統(tǒng)一暴露�,并應(yīng)預(yù)留黑洞機(jī)制,才能更好控制風(fēng)險(xiǎn)�����?���!?/p>
制定風(fēng)控流程
風(fēng)控有兩個(gè)流程�����,一是異常阻止;二是正常通過(guò)���。一筆交易是成功還是不能成功,有兩個(gè)判斷方式��,一個(gè)是異常阻止��,即發(fā)現(xiàn)異常的交易行為,就把這個(gè)異常交易行為阻止掉�����,這是一般性的做法�����。如果交易行業(yè)正常����,風(fēng)控正常通過(guò)即可���。
風(fēng)控根據(jù)處理速度分為實(shí)時(shí)風(fēng)控和非實(shí)時(shí)風(fēng)控兩塊���。實(shí)時(shí)風(fēng)控就是達(dá)到目標(biāo)需要速度快���,交易能不能成交�,是否能正常登錄,速度快則對(duì)用戶的干擾少�����。非實(shí)時(shí)風(fēng)控主要應(yīng)用于線下����,比如大數(shù)據(jù)分析��,模型建立等。
餓了么擬定的基線是全部流程均正常����,即一筆交易完成需先登錄����,打開(kāi)頁(yè)面,選產(chǎn)品���,支付�����,任意缺失均認(rèn)為是異常行為。餓了么擁有兩套風(fēng)控系統(tǒng)�,一是基于賬戶,二是基于訂單的風(fēng)險(xiǎn)管理系統(tǒng)���,實(shí)時(shí)風(fēng)控處理流程是當(dāng)?shù)卿浐妥?cè)的時(shí)使用了賬戶風(fēng)控的處理引擎�����,在交易流程當(dāng)中�,會(huì)有業(yè)務(wù)訂單風(fēng)控����,下單、支付�����、配送和點(diǎn)評(píng)的各個(gè)環(huán)節(jié)當(dāng)中都會(huì)對(duì)客戶的每個(gè)動(dòng)作進(jìn)行分析判別訂單是否有問(wèn)題。通過(guò)風(fēng)險(xiǎn)系統(tǒng)�����,如果發(fā)現(xiàn)商戶有刷單以及其它惡意行為�,餓了么會(huì)進(jìn)行嚴(yán)厲懲罰甚至直接把店鋪關(guān)掉��。
王彬最后強(qiáng)調(diào):“一個(gè)互聯(lián)網(wǎng)企業(yè)要做大�����,做廣風(fēng)控是必經(jīng)之路,風(fēng)控與信息安全一樣���,是兩個(gè)相輔相成的部門(mén)��。風(fēng)控更偏向于業(yè)務(wù),安全更偏向于技術(shù)�,兩者緊密聯(lián)系,企業(yè)才能安全��。但風(fēng)控和安全不是萬(wàn)能的����,風(fēng)控更需要理解和支持���?����!?/p>
