上海，中国的经济、金融、贸易、航运中心，一直以变革、创新引领着中国企业的发展。在“互联网+”浪潮下，上海企业首当其冲，这座城市，一直用信息化手段推动着企业的高速发展。2016年10月28日，企业网D1net携手上海CIO联盟共同举办的CIO沙龙活动在上海盛大举行，来自各行业的CIO共聚一堂，共同探讨各行业在互联网+实践方面的信息化实践，涵盖大数据实践、互联网风控等领域。

以下为：饿了么风控及安全负责人王彬在上海CIO沙龙的演讲，题目是：《互联网风控与安全》

王彬：我是王彬，现在在饿了么负责风控和信息安全两个部门。

今天简单说一下三个方面，一个是趋势，然后说一下信息安全和风控，第三，简单说一下我们这个场景中的风控大数据怎么玩。

这个叫打码平台，有个企业说现在有钱，要推广一个服务，在这里注册一下，每注册一个人，拿一个可乐。现在整个互联网是一个产业化的东西，打码平台包括制作恶意软件的人、打码的人、撸羊毛的人和最后销赃的人，都是一批的产业化的人来做，它是一整个产业链，所以说防御的话，不是防御一个人，是防整个产业链。所以说对整个风控，或者整个安全的压力非常大。

还有一些业务风险等等，如果发现信息安全事件或者是风控事件，可以通过大数据去看哪个区域发生的频率比较高，在哪个地方可能会存在问题，这是防范业务风险的一个趋势。

从信息安全和风控角度来说，有很多系统漏洞，系统有很多问题，包括国家网站也有一些问题，包括我们自己的网站也有问题，要把这个东西解决掉。

这是相关的一些趋势。从我的角度来说，我一直说整个互联网的安全趋势不太好，所以它会有一个风险控制部门要产生。打个广告，我们大概16000人，然后整个IT部门1000多人，我们投入很多人去做安全。

我们风控做什么?我个人理解是你要把整个企业的所有风险覆盖起来，这是一个大风控的概念，包括业务风险和技术风险。这就是风控这个部门的价值，把所有风险覆盖掉，解决掉，说上去很容易，其实很难。

风控部门的现状是什么?躺枪的，每家做风控的企业都是这样的，我们部门最大的作用就是躺枪，背锅，那锅背得完吗?其实蛮难的。风控锅是永远填不完的。

那我们风控部门的一个概念，就是要把所有的风险兜一兜。比如，我在进饿了么之前，饿了么的刷单的成本是5毛钱，现在饿了么刷单成本是9块钱，这就是风险的一个控制力度。

我们能做什么?只要把所有的相关的信息收集起来，尽量不要把漏洞漏出去，这是我们能做的，把风险降到可接受的程度，要达到一个可量化的标准，这就是我们做风控做安全应该做的事情。这是我个人的理解。

当然，风控部门是跟整个业务部门绑在一起的，很多人做安全可能做得很累，为什么呢?因为没有跟业务结合起来，没有很好的把业务指标结合起来去做这件事情。

有人会问，做安全做风控到底做什么?我总结了一下，其实分两个部分，信息安全部分，就是可以做的很多东西，比如补丁管理、安全管理，一个公司的基础设施，可以把它认为是信息安全的一部分。

风控做的是应用层控制这一部分，包括一些合规等等，这两个加起来去做整体的风险控制，完成管理层的目标，这是我的想法。如果信息安全没做好，其实风控是没法做的，这是一个非常基本的点，举个简单例子，比如说网站上有一个漏洞，这个漏洞信息会被人偷走的，这种情况下，风控是做不好的，因为永远在漏，所以说第一个要做的事情，先把安全做好，防止底层出一些问题。

这是我们单位的风控跟开发之间的一些关系。一个单位如果要做好风控和信息安全，是通过两个轮子来走的，然后我们有威胁情报，产品和开发，把这两个部门串起来，整体来走，我相信一个部门做不好。然后有一个问题，是先做信息安全还是先做风控呢?我的理念是先要做信息安全，从简单的信息安全入手，然后慢慢做风控。

我个人认为，做信息安全风控应该执行的几条路，第一个要做舆情控制或做底层的信息安全控制，这是第一步，是很重要的。有很多漏洞你是没法快速修补的，也要从舆情上进行控制。

第二步，做一些漏洞修补，打一些补丁，从技术上去解决这个问题。第三步，要去做业务上面的一些场景的规则，做业务风险控制，再做一些其他的安全控制。这是我个人的一个思路。

这是我们公司的一个组织架构。我们把整个运营跟安全跟风控合在一起来做。我们分产品、研发、数据、运营，基础安全和相关的一些安全部门，合在一起来做整个风险控制措施。这个部门有个非常大的特色，我们是以安全产品经理为导向，产品经理负责整个企业的安全和风控的代理，这是以产品为导向的，而不是所谓的以运营为导向。

我们的风控，以前分为两道风控，现在是三道，实时风控跟非实时风控，为什么说我们是个大的风控概念呢?我们从所有的订单的登录、下单、支付、清结算、判罚和配送，都是以风控系统来兜底的。刚才一直说风控是一个兜底的部门，所有的数据都要到风控去兜一遍。

我们会根据每个业务场景来制定出不同的响应规则，订单能下和不能下，这家店回头能不能开，都是以风控规则为兜底的。

当然，我们会有一些数据平台去做相关的控制和收集数据，其实我们有很多的数据平台，可以不用去自建，可以在有很多平台，比如阿里云平台，不一定要自建，因为这是一个产业。

信息安全因为更底层，我们是以三个维度来区分的，一个是传统安全，一个是业务安全，一个是创新安全。如果我们做信息安全，一定要想着跟其他的数据做对接，要跟大家去share一些数据，或者是国家也有这方面的平台去share一些数据，要通过这些数据来帮助你更好地去做信息安全和风控，这是一个很重要的点。

传统安全大家都会做，业务安全大家要防止漏洞出现问题。第三个创新安全，特别是舆情、情报，一定要很好地去做下来。

这里有一个地方，很多人会忽略，据我个人的经验，大部分的问题发现都不是从公司内部发现的。其实公司内部很少能发现很多敏感性的问题，都是从外部去发现的，所以我们公司建了一个SRC的平台，帮助查找漏洞。国内有个非常知名的收集漏洞的地方叫乌云，现在已经没有了。

如果有能力的话，可以自己做一个舆情收集平台，把这些漏洞收集起来。如果没有的话，可以跟政府合作，比如说360，或者跟政府机构去合作，把舆情控制起来，是很重要的一点。

做风控，我个人最后一个理念是什么?就是要比最后一名跑得快，这是我一直的做法，举个例子，大家觉得风控做得好不好，去淘宝搜，比如今天淘宝首单美团10块钱一单，饿了么12块一单，那么我做的东西比美团好，大家都跑到美团去刷单去了。

另外一个方向，因为外面有很多刷单群，大家可以去打入这些群，CIO可以派一些小弟小妹，去这些群里面看一看，自己到底做得好不好，这是很好的验证的一种方式。

然后，我们有很多风险防范措施，但是还是很难，我们要通过一些大数据的方式来更好地保证它是有效的。大数据可以做什么?可以做防垃圾注册，用户识别，虚假交易，恶意注册，恶意评论，虚假店铺，信息泄露都可以做。作为一个CIO，要先往一个点打。

大数据怎么做?是自建?还是合作?合作的话，有很多共享的平台和数据可以用。如果是自建的话，很多地方要自己去采购。大数据平台一般只有采购跟自建两条路。

最后一点，做大数据要去想有多少数据可以做大数据?像银行、保险，有很多基础数据，可以做大数据。很多企业是没有这种数据的，怎么做?

大数据还有一个特征，就是高成本性，大数据非常贵，而且一个人是做不了的，一个团队要多少钱一年?

还有准确性，要保证大数据出来的东西是不能是虚假的。这是大数据的一个挑战。

还有，泛化的能力、解析的能力和更新速度能力，都是现在大数据的挑战。

简单总结一下，如果要做很信息安全和风控，第一步，要先把自身安全解决掉，把漏洞先填掉，然后从业务风险角度来说，做一个整体的风险控制。

第三，如果想做大数据的话，个人建议多采购一些相关的数据模型提供商。

我的演讲大概就这样，谢谢。

本文转自d1net（转载）