最近,以央视为主的媒体一直在质疑互联网支付的安全性,各种各样的测试与案例让很多网民产生了担忧。2014年6月30日,支付宝召开了安全支付生态圈发布会,小微金福安全产品资深总监曹恺介绍了互联网支付的风控系统和流程设计,为整个互联网金融行业的安全性正名。
安全是科学也是艺术,主要解决三个问题
首先安全是一门科学,要求精确性,还要求复杂业务逻辑的严密性,还要求跨学科、跨领域的知识,它也是一门艺术。安全背后的大数据、知识、商业逻辑感知更是艺术。
安全主要解决几个问题:
第一个,老百姓的安全感的问题,如果没有感知也不行,觉得自己每天会被侵犯,这个时候是没有安全的。安全性是什么,实实在在的安全,而且安全性要解决的是没有风险短板,提高支付宝自身的抵抗力,让黑客、漏洞无处可密。
第二个很重要的东西是支付宝的反应能力,因为没有任何人可以说我不出问题,出现威胁征兆可以快速响应、快速解决,降低风险。
第三个重要的问题是要提高攻击成本,降低它的收益,提高威胁侵害者他们能够从中获得的收益。因为没有这样的打击,没有成本的提高和收益的降低,威胁的动机永远存在。
银行支付安全理念已经过时,移动互联网安全超越自身体系
支付宝现在的这种安全体系在互联网、金融领域,包括银行,都基于身份认证的控制,这一套体系它的理念基本上来自于90年代,国家建立了一套计算机保护等等,它其实是很好的,大大提升了支付宝国家网民的覆盖率。中国网银是最先进的,为支付宝创造了非常大的基础。到了今天,移动互联网的出现,互联网金融的出现,这样的安全不适应了。
支付宝看到越来越多的问题,其实盗用者他的犯罪行为没在你的体系里边,在线下已经把欺诈做完了,甚至受害者还配合行使这样的活动,拿着用户的帐号、密码,甚至用户给的校验码就可以实施犯罪了,所以靠原来的模式已经不行。所以,支付宝认为未来的安全不再是以前只是重视端的思路,它有几个特点:第一,通过端去产生数据,通过云去部署策略,通过云去识别风险。第二,用户的保障,用户的体验。第三,要注意的是它准入是要简单的,因为用户交易行为来的很快,去的也很快,一定要很容易,过程中不能置之不理。
支付宝的安全和风险控制流程是这样的
基于这样一套风险的产品和技术的理念,支付宝建立了一套多层次的闭环的安全产品技术体系。
首先一个用户想做一笔交易的时候,进到支付宝网站,看到的是什么,其实可能还什么没有看到,支付宝就通过一套端的控制体系,帮助用户保护环境的安全,同时有一套很强有力的系统保护机制,这套体系一方面可以帮助支付宝用户远离木马等等各种各样的针对系统攻击手段。进入到第二层次,就是用户身份认证的环节,主要解决用户知道这个网站是谁,是不是拥有者,大家耳熟能详的比较清楚的是数据证书,可能还有动态保密帐号密码。
大家不知道的是,支付宝很有意思做过一些研究,现在也在投入使用的是分析发现一个人有一些行为,除了社会行为,生物行为,就是与生俱来不受他控制的一些行为。支付宝发现用户熟悉了帐户和密码以后,它的敲击节奏是非常固定的,这个大家可以下去试一下,一共18个字节,每次击打键盘,松开各有两个,这里有35个节奏。每个人都不一样,大家可以尝试一下,通过大数据智能的分析,支付宝可以很好标识是不是用户本人,有人看到,但是记不走节奏。支付宝发现这个准确率超过85%,非常的有帮助,这也是支付宝所说的新的身份认证的方式。
通过身份认证支付宝解决了你是谁的问题,支付宝在后端帮用户开始监控比较敏感的操作,比如说输入密码,或者修改密码,或者包括支付,会有一定风险型动作的时候,支付宝有风险的识别和风险控制体系。
风险识别可以对用户的行为做刻划,做分析,可以去利用模型和规则去判断是不是高危的。一个简单的例子,比如三四十岁白领男性用户,平时比较关注家庭,比如买服装,或者买电商用品,今天想充值游戏卡,其实这是异常行为,支付宝会特别关注,支付宝会把它作为风险标识出来。支付宝认为没有风险,是可信的,就让它过了,这个用户完全没有感知,好的用户支付体验得到了保护。有风险怎么办,进入第四个环节。
支付宝风险的管控是多层次的管控体系,有几个手段可以做。第一,有风险的帐户保护起来,第二,有风险,限制它的额度和权限,第三,支付宝把风险更高的往下面一个环节推送,进入到最后一个环节,也就是是一个 的关联分析。一些专业团队,结合数据系统和非常复杂的分析体系,把有问题的数据跟网站都深入关联,发现更多有风险的帐户,发现更多可能会被受到损失的帐户,然后把它保护起来,这样每个层次都会产出结果,然后实施回馈到前面的步骤,这样就可以有这样一个非常强大的体系。
支付宝能够支持每秒3万笔交易
支付宝安全支付体系支付宝已经做到了每秒3万笔,这个数字意味着什么概念。北京首都机场,中国最繁忙的机场,一年客流量八千多万,通过支付宝这样的安全产品技术体系的能力,支付宝可以在45分钟完成所有北京机场的安检。交易一天什么概念,因为成本的原因,不需要这么多设备,增加服务器,可以让全中国所有老百姓每天到支付宝这里做一笔交易。
关于安全的风险和数据计算能力,支付宝有超过20亿风险敏感事件的处理能力。这是什么概念,假设一个人一天能够记住十件事,把它变成自己的知识沉下来,20亿需要这个人需要记60万年,支付宝可以在一天处理完。
数据能力才是安全能力的真正基石
数据能力是安全能力的基石,基于大数据的防控,要解决五个层面的能力。第一数据的商业认知,你对数据怎么看,怎么知道用什么数据解决支付宝的问题。第二数据采集,覆盖多少用户、终端或者多少种威胁的信息,这是所需要的。第三个是数据计算,有这么多数据怎么算,数据的可靠性是不是好,垃圾数据是解决不了什么问题。第四个层面,数据的分析能力,你能不能有你的思路,有你智能分析的团队,把数据变成你的知识、能力。最后是数据的应用,怎么用,怎么嵌入业务环节,怎么把数据发挥很重要的作用,这是五个层面非常关键的能力。
【首发于百度百家,沟通交流请 @马继华 或加公众号“北国骑士”】
免责声明:本网站内容主要来自原创、合作伙伴供稿和第三方自媒体作者投稿,凡在本网站出现的信息,均仅供参考。本网站将尽力确保所提供信息的准确性及可靠性,但不保证有关资料的准确性及可靠性,读者在使用前请进一步核实,并对任何自主决定的行为负责。本网站对有关资料所引致的错误、不确或遗漏,概不负任何法律责任。任何单位或个人认为本网站中的网页或链接内容可能涉嫌侵犯其知识产权或存在不实内容时,应及时向本网站提出书面权利通知或不实情况说明,并提供身份证明、权属证明及详细侵权或不实情况证明。本网站在收到上述法律文件后,将会依法尽快联系相关文章源头核实,沟通删除相关内容或断开相关链接。
