1.5 企业数字业务安全风险的防控

1.5.1 技术防控手段

企业数字业务安全风险的防控就是运用机器学习、知识图谱和大数据分析等技术手段，对用户行为风险、业务逻辑风险、系统漏洞风险、数据泄露风险等进行智能评估，有效进行风险管理，通过优质的业务安全产品和服务，帮助企业有效抵御业务欺诈威胁，解决各个业务环节的安全问题，为业务的稳定、安全运行保驾护航。综合来看，企业数字业务安全风险防控发展呈现三个阶段，如图1-5所示。

（1）基于策略规则进行防控

策略规则防控主要是基于业务规则、名单规则、行为规则等策略进行风险防范，是目前大量企业采用的一种手段。

所谓业务规则，即业务设定的规则和条件，例如注册48小时才可以享受服务，新用户才能够享受优惠等；名单规则即对业务参与者的名单信息，包含风险IP、恶意手机号、欺诈者名单、逾期名单等的管理规则；行为规则即对业务参与者从登录到交易结束的所有行为，包含进入平台、登录账号、比较选购、交易下单、完成支付等的管理规则。

由于很多策略规则比较独立，这就导致规则之间兼容协同性弱，甚至出现了“互相打架”的情况。此外，很多策略是人为设置的，主观局限性明显且灵活性不够，有可能无法应对风险的快速变化。

（2）基于数据模型进行防控

基于数据模型进行防控已经广泛应用于金融和电商等数字化水平较高的企业。作为整体业务防护的大脑，模型不仅可以防御已知风险，更能够挖掘未知的威胁，未雨绸缪。

数据模型就是运用统计、机器学习甚至深度学习等算法开发的数学模型。例如，电商企业基于业务的数据采样和数据分析，挖掘出数据中个体的全貌、个体间存在的关联，并全面呈现业务中存在的问题或风险，然后对分析出的特征、本质，计算推演出的问题或风险的产生原因、防范问题或风险的策略、路径进行整合，形成一套体系化的策略或规则集，生成模型，进而有效防控各类业务安全风险，数据模型示例如图1-6所示。

数据模型建设是一个复杂的工程。由于专业建模人才少、模型建设成本高、建设周期长等原因，大部分企业并不具备建模的能力。而且各个企业的业务场景不同，流程标准和需求目标有差异，直接使用既有模型往往不尽如人意。Xintell等智能模型平台可以有效解决建模难、升级/更新慢、专业人才匮乏等问题，让模型建设和应用落地更加快捷。

（3）基于风控中台进行防控

风控中台目前主要应用在大型银行和电商企业中，风控中台打通企业内外部业务模块，为企业构建一整套覆盖全业务流程的、根据业务自动调整的业务安全防控体系。

风控中台以人工智能、实时决策、全栈业务为核心，围绕“感知、识别、决策、释放”的风控运营闭环的理念，按照事前感知、事中决策、事后调查的三重架构建设，结合流计算引擎、变量中心、策略中心、分析中心、监控中心等中枢系统，以及风险探针、风控引擎、可信关系、智能核身等模块，形成完备的业务安全风险防控闭环，为企业提供营销、交易、信贷、交互、支付等业务场景提供技术全链路、业务全流程的解决方案。

风控中台基于企业自身多年业务安全实践经验，打破“烟囱式”“项目制”系统之间的集成和协作壁垒，使数据、规则、策略的实现共融共享，实现整体的联防联控，让策略、模型升级调优和配置更加灵活。

当前，用户需求愈加多元化，业务更迭更为频繁。风控中台能够根据业务进展的需求、变化、特性，迅速调整防控策略或措施，有效防范已知和潜在的未知的风险，迅速构建专属业务安全系统，提高服务重用率，降低前台业务的试错成本，大幅降低部署建设成本，满足业务快速变化的需要，风控中台的架构如图1-7所示。

1.5.2 制度与规范的防控

在业务安全防控上，除了技术手段之外，管理手段也是重要的一方面。企业必须建立良好的流程规范，明确的规章制度，通过严谨科学的管理体系，保证企业员工既专业又职业，通过练好内功，有效防范企业数字业务面临的安全风险。

● 建立业务安全解决方案。企业应引入事前预防、事中检测、事后分析的全业务、全流程的业务安全解决方案，构建多层次、全流程、纵深的防控体系。步步为营，层层设防，黑灰产即使入侵进来也只能在可控的范围内造成影响。就好比在城堡周围建设了好几道防御网，城堡又分为外城和内城，攻击者必须突破好几层防御才能接触到核心业务，让其攻击成本大大提高。事前预防、事中检测、事后分析是目前主流的业务安全解决思路。通过覆盖业务全流程、全过程，有效降低业务风险，平衡业务运营与安全管理，让防控更精准高效且保持与时俱进。

● 建立全员安全责任意识。全体业务人员和安全人员应清楚明了地知道自己的职责，并将这种认知转化到具体的工作行动中去。全员安全责任意识的形成需要从上至下的贯彻、长期不懈的坚持、事无巨细的践行，才能使整个团队建立起责任思维和行为定式，将风险控制在萌芽状态。

● 严谨科学的管理体系。没有良好的管理体系，再好的技术和防控体系，再专业的人才，也无法有效地发挥作用。完备的管理体系是保障安全技术手段发挥具体作用的最有效保障，建立健全安全管理体系不但是国家等级保护中的要求，对于数字业务开展越来越广泛的各类企业来讲，更是不可或缺的重要组成部分。企业的业务安全管理体系应该是系统的、严谨的、不断创新且符合企业实际发展需求的，必须具有明确的战略目标和严密的组织架构，适当的激励机制以及有效的执行策略。

● 专业的安全团队。人是技术的使用者，规范的制定者，也是最容易被忽略的风险点。纵然有铜墙铁壁，如果业务安全人员不合格，再缺乏科学的管理规范和强有力的制度约束，那么再完善的风险防控体系也会功亏一篑。人在整个业务安全管理工作中既是管理的主体也是管理的客体，具有双重身份。因此，人的管理在业务安全体系中尤为重要，需要建立日常规范制度，强化到公司全体人员行为规范中，既堵住了潜在的安全漏洞，又提升了全员安全意识。

● 标准规范。监管部门出台了一系列规范标准用于防范数字业务安全风险，保障企业业务安全，保护用户合法权益，这些标准与规范一方面为企业当前业务安全提供了指导，另一方面也为企业长远发展奠定了基础。

1.5.3 法律护航

除了技术手段和管理手段防范风险之外，法律也是企业有效防范数字业务风险的有力武器。导致各类数字业务风险的产生根源，一是抱有不良企图的人（黑灰产），二是被这些人利用的技术手段。技术本身只是工具，没有对错之分，但是用技术实现各种恶意目的的人的行为是需要法律来约束的，必须通过法律约束规范技术的使用范围。

黑灰产的各种欺诈行为不仅给个人和企业造成财产损失，带来风险，也是违法犯罪行为。针对黑灰产的欺诈行为必须有相应的法律制裁手段，从而对其形成有效震慑。监管部门已经出台了一系列法律法规，从法律角度有效防范数字业务安全风险，保障企业数字业务安全，为企业应对各类欺诈手段提供了保障，保护用户的合法权益。

企业的相关部门应熟悉相关的法律法规，高效利用法律法规为武器，防范风险，应对风险。具体来说，我国的电商法、网络安全法、刑法等法律法规，可以对网购交易、公平竞争、企业信息安全、网络安全、信用卡安全、贷款资金安全等多个层面、多种类型的企业数字业务提供法律保障。