1.5 企業數字業務安全風險的防控

1.5.1 技術防控手段

企業數字業務安全風險的防控就是運用機器學習、知識圖譜和大數據分析等技術手段，對用戶行為風險、業務邏輯風險、系統漏洞風險、數據泄露風險等進行智能評估，有效進行風險管理，通過優質的業務安全產品和服務，幫助企業有效抵御業務欺詐威脅，解決各個業務環節的安全問題，為業務的穩定、安全運行保駕護航。綜合來看，企業數字業務安全風險防控發展呈現三個階段，如圖1-5所示。

（1）基于策略規則進行防控

策略規則防控主要是基于業務規則、名單規則、行為規則等策略進行風險防范，是目前大量企業采用的一種手段。

所謂業務規則，即業務設定的規則和條件，例如注冊48小時才可以享受服務，新用戶才能夠享受優惠等；名單規則即對業務參與者的名單信息，包含風險IP、惡意手機號、欺詐者名單、逾期名單等的管理規則；行為規則即對業務參與者從登錄到交易結束的所有行為，包含進入平臺、登錄賬號、比較選購、交易下單、完成支付等的管理規則。

由于很多策略規則比較獨立，這就導致規則之間兼容協同性弱，甚至出現了“互相打架”的情況。此外，很多策略是人為設置的，主觀局限性明顯且靈活性不夠，有可能無法應對風險的快速變化。

（2）基于數據模型進行防控

基于數據模型進行防控已經廣泛應用于金融和電商等數字化水平較高的企業。作為整體業務防護的大腦，模型不僅可以防御已知風險，更能夠挖掘未知的威脅，未雨綢繆。

數據模型就是運用統計、機器學習甚至深度學習等算法開發的數學模型。例如，電商企業基于業務的數據采樣和數據分析，挖掘出數據中個體的全貌、個體間存在的關聯，并全面呈現業務中存在的問題或風險，然后對分析出的特征、本質，計算推演出的問題或風險的產生原因、防范問題或風險的策略、路徑進行整合，形成一套體系化的策略或規則集，生成模型，進而有效防控各類業務安全風險，數據模型示例如圖1-6所示。

數據模型建設是一個復雜的工程。由于專業建模人才少、模型建設成本高、建設周期長等原因，大部分企業并不具備建模的能力。而且各個企業的業務場景不同，流程標準和需求目標有差異，直接使用既有模型往往不盡如人意。Xintell等智能模型平臺可以有效解決建模難、升級/更新慢、專業人才匱乏等問題，讓模型建設和應用落地更加快捷。

（3）基于風控中臺進行防控

風控中臺目前主要應用在大型銀行和電商企業中，風控中臺打通企業內外部業務模塊，為企業構建一整套覆蓋全業務流程的、根據業務自動調整的業務安全防控體系。

風控中臺以人工智能、實時決策、全棧業務為核心，圍繞“感知、識別、決策、釋放”的風控運營閉環的理念，按照事前感知、事中決策、事后調查的三重架構建設，結合流計算引擎、變量中心、策略中心、分析中心、監控中心等中樞系統，以及風險探針、風控引擎、可信關系、智能核身等模塊，形成完備的業務安全風險防控閉環，為企業提供營銷、交易、信貸、交互、支付等業務場景提供技術全鏈路、業務全流程的解決方案。

風控中臺基于企業自身多年業務安全實踐經驗，打破“煙囪式”“項目制”系統之間的集成和協作壁壘，使數據、規則、策略的實現共融共享，實現整體的聯防聯控，讓策略、模型升級調優和配置更加靈活。

當前，用戶需求愈加多元化，業務更迭更為頻繁。風控中臺能夠根據業務進展的需求、變化、特性，迅速調整防控策略或措施，有效防范已知和潛在的未知的風險，迅速構建專屬業務安全系統，提高服務重用率，降低前臺業務的試錯成本，大幅降低部署建設成本，滿足業務快速變化的需要，風控中臺的架構如圖1-7所示。

1.5.2 制度與規范的防控

在業務安全防控上，除了技術手段之外，管理手段也是重要的一方面。企業必須建立良好的流程規范，明確的規章制度，通過嚴謹科學的管理體系，保證企業員工既專業又職業，通過練好內功，有效防范企業數字業務面臨的安全風險。

● 建立業務安全解決方案。企業應引入事前預防、事中檢測、事后分析的全業務、全流程的業務安全解決方案，構建多層次、全流程、縱深的防控體系。步步為營，層層設防，黑灰產即使入侵進來也只能在可控的范圍內造成影響。就好比在城堡周圍建設了好幾道防御網，城堡又分為外城和內城，攻擊者必須突破好幾層防御才能接觸到核心業務，讓其攻擊成本大大提高。事前預防、事中檢測、事后分析是目前主流的業務安全解決思路。通過覆蓋業務全流程、全過程，有效降低業務風險，平衡業務運營與安全管理，讓防控更精準高效且保持與時俱進。

● 建立全員安全責任意識。全體業務人員和安全人員應清楚明了地知道自己的職責，并將這種認知轉化到具體的工作行動中去。全員安全責任意識的形成需要從上至下的貫徹、長期不懈的堅持、事無巨細的踐行，才能使整個團隊建立起責任思維和行為定式，將風險控制在萌芽狀態。

● 嚴謹科學的管理體系。沒有良好的管理體系，再好的技術和防控體系，再專業的人才，也無法有效地發揮作用。完備的管理體系是保障安全技術手段發揮具體作用的最有效保障，建立健全安全管理體系不但是國家等級保護中的要求，對于數字業務開展越來越廣泛的各類企業來講，更是不可或缺的重要組成部分。企業的業務安全管理體系應該是系統的、嚴謹的、不斷創新且符合企業實際發展需求的，必須具有明確的戰略目標和嚴密的組織架構，適當的激勵機制以及有效的執行策略。

● 專業的安全團隊。人是技術的使用者，規范的制定者，也是最容易被忽略的風險點。縱然有銅墻鐵壁，如果業務安全人員不合格，再缺乏科學的管理規范和強有力的制度約束，那么再完善的風險防控體系也會功虧一簣。人在整個業務安全管理工作中既是管理的主體也是管理的客體，具有雙重身份。因此，人的管理在業務安全體系中尤為重要，需要建立日常規范制度，強化到公司全體人員行為規范中，既堵住了潛在的安全漏洞，又提升了全員安全意識。

● 標準規范。監管部門出臺了一系列規范標準用于防范數字業務安全風險，保障企業業務安全，保護用戶合法權益，這些標準與規范一方面為企業當前業務安全提供了指導，另一方面也為企業長遠發展奠定了基礎。

1.5.3 法律護航

除了技術手段和管理手段防范風險之外，法律也是企業有效防范數字業務風險的有力武器。導致各類數字業務風險的產生根源，一是抱有不良企圖的人（黑灰產），二是被這些人利用的技術手段。技術本身只是工具，沒有對錯之分，但是用技術實現各種惡意目的的人的行為是需要法律來約束的，必須通過法律約束規范技術的使用范圍。

黑灰產的各種欺詐行為不僅給個人和企業造成財產損失，帶來風險，也是違法犯罪行為。針對黑灰產的欺詐行為必須有相應的法律制裁手段，從而對其形成有效震懾。監管部門已經出臺了一系列法律法規，從法律角度有效防范數字業務安全風險，保障企業數字業務安全，為企業應對各類欺詐手段提供了保障，保護用戶的合法權益。

企業的相關部門應熟悉相關的法律法規，高效利用法律法規為武器，防范風險，應對風險。具體來說，我國的電商法、網絡安全法、刑法等法律法規，可以對網購交易、公平競爭、企業信息安全、網絡安全、信用卡安全、貸款資金安全等多個層面、多種類型的企業數字業務提供法律保障。