风控总则:以业务为导向
“利益是黑客攻击的本质,互联网企业所有的风险最终归根到底是为了“利”,因此,风险控制应该从业务层面出发,以业务为导向进行风控。”
以互联网企业为例。互联网风险控制主要应用于三个方面,首先是互联网金融,尤其是P2P领域,其风险非常高,早期发布的千万左右账款仅用了5分钟,但经过3-6个月的跟踪,发现这笔投资根本无法回收,这是当时的P2P行业真实的风险写照。
其次是互联网旅游,如携程,2011年几乎不存在安全问题,其内部风控人员仅十多人,但目前携程正遭遇很大的风险,携程礼品卡资金账户,黑客攻击成百倍的增长用来盗号。
再次是O2O行业,2015年O2O行业投资较多,但钱来的快,烧的也很快,定单造假等乱象丛生,风险较大,倒闭颇多。
构建风控架构
风控最简单的方法是风控回避、转移、保留等一系列的控制方法。比如一个网站今天开发了一个新的网页,网站最大的问题是盗号或者账户被盗,致使整个账户体系不安全。要保证账户安全,一般采取四种解决方案:
第一、风险控制,即采用必要的技术手段把风险控制住。
第二、风险接受,即对某些危害不太大的风险予以接收。
第三、风险回避,对某些高风险采取回避制度。
第四、风险转移,对某些风险很高的实行转移,比如可以把登录外包开放给腾讯QQ等三方登录接口等。
但风控最主要的目标是要比最后一个竞争对手跑得快,即要比同行业技术做的好,这是做风控最基本的依据。怎么样把攻击者的攻击流量导到别人身上,用一毛钱的成本可以产生十块钱的利益。
风控部门则发挥着为业务部门“挡枪”的功能,比如订单减少了,会有人分析因为风控的措施造成订单的减少,当然防止系统瘫痪更是风控的主要职能,风控对企业扮演着“把门神”角色。