最近，以央視為主的媒體一直在質(zhì)疑互聯(lián)網(wǎng)支付的安全性，各種各樣的測試與案例讓很多網(wǎng)民產(chǎn)生了擔憂。2014年6月30日，支付寶召開了安全支付生態(tài)圈發(fā)布會，小微金福安全產(chǎn)品資深總監(jiān)曹愷介紹了互聯(lián)網(wǎng)支付的風控系統(tǒng)和流程設計，為整個互聯(lián)網(wǎng)金融行業(yè)的安全性正名。

安全是科學也是藝術，主要解決三個問題

首先安全是一門科學，要求精確性，還要求復雜業(yè)務邏輯的嚴密性，還要求跨學科、跨領域的知識，它也是一門藝術。安全背后的大數(shù)據(jù)、知識、商業(yè)邏輯感知更是藝術。

安全主要解決幾個問題：

第一個，老百姓的安全感的問題，如果沒有感知也不行，覺得自己每天會被侵犯，這個時候是沒有安全的。安全性是什么，實實在在的安全，而且安全性要解決的是沒有風險短板，提高支付寶自身的抵抗力，讓黑客、漏洞無處可密。

第二個很重要的東西是支付寶的反應能力，因為沒有任何人可以說我不出問題，出現(xiàn)威脅征兆可以快速響應、快速解決，降低風險。

第三個重要的問題是要提高攻擊成本，降低它的收益，提高威脅侵害者他們能夠從中獲得的收益。因為沒有這樣的打擊，沒有成本的提高和收益的降低，威脅的動機永遠存在。

銀行支付安全理念已經(jīng)過時，移動互聯(lián)網(wǎng)安全超越自身體系

支付寶現(xiàn)在的這種安全體系在互聯(lián)網(wǎng)、金融領域，包括銀行，都基于身份認證的控制，這一套體系它的理念基本上來自于90年代，國家建立了一套計算機保護等等，它其實是很好的，大大提升了支付寶國家網(wǎng)民的覆蓋率。中國網(wǎng)銀是最先進的，為支付寶創(chuàng)造了非常大的基礎。到了今天，移動互聯(lián)網(wǎng)的出現(xiàn)，互聯(lián)網(wǎng)金融的出現(xiàn)，這樣的安全不適應了。

支付寶看到越來越多的問題，其實盜用者他的犯罪行為沒在你的體系里邊，在線下已經(jīng)把欺詐做完了，甚至受害者還配合行使這樣的活動，拿著用戶的帳號、密碼，甚至用戶給的校驗碼就可以實施犯罪了，所以靠原來的模式已經(jīng)不行。所以，支付寶認為未來的安全不再是以前只是重視端的思路，它有幾個特點：第一，通過端去產(chǎn)生數(shù)據(jù)，通過云去部署策略，通過云去識別風險。第二，用戶的保障，用戶的體驗。第三，要注意的是它準入是要簡單的，因為用戶交易行為來的很快，去的也很快，一定要很容易，過程中不能置之不理。

支付寶的安全和風險控制流程是這樣的

基于這樣一套風險的產(chǎn)品和技術的理念，支付寶建立了一套多層次的閉環(huán)的安全產(chǎn)品技術體系。

首先一個用戶想做一筆交易的時候，進到支付寶網(wǎng)站，看到的是什么，其實可能還什么沒有看到，支付寶就通過一套端的控制體系，幫助用戶保護環(huán)境的安全，同時有一套很強有力的系統(tǒng)保護機制，這套體系一方面可以幫助支付寶用戶遠離木馬等等各種各樣的針對系統(tǒng)攻擊手段。進入到第二層次，就是用戶身份認證的環(huán)節(jié)，主要解決用戶知道這個網(wǎng)站是誰，是不是擁有者，大家耳熟能詳?shù)谋容^清楚的是數(shù)據(jù)證書，可能還有動態(tài)保密帳號密碼。

大家不知道的是，支付寶很有意思做過一些研究，現(xiàn)在也在投入使用的是分析發(fā)現(xiàn)一個人有一些行為，除了社會行為，生物行為，就是與生俱來不受他控制的一些行為。支付寶發(fā)現(xiàn)用戶熟悉了帳戶和密碼以后，它的敲擊節(jié)奏是非常固定的，這個大家可以下去試一下，一共18個字節(jié)，每次擊打鍵盤，松開各有兩個，這里有35個節(jié)奏。每個人都不一樣，大家可以嘗試一下，通過大數(shù)據(jù)智能的分析，支付寶可以很好標識是不是用戶本人，有人看到，但是記不走節(jié)奏。支付寶發(fā)現(xiàn)這個準確率超過85%，非常的有幫助，這也是支付寶所說的新的身份認證的方式。

通過身份認證支付寶解決了你是誰的問題，支付寶在后端幫用戶開始監(jiān)控比較敏感的操作，比如說輸入密碼，或者修改密碼，或者包括支付，會有一定風險型動作的時候，支付寶有風險的識別和風險控制體系。

風險識別可以對用戶的行為做刻劃，做分析，可以去利用模型和規(guī)則去判斷是不是高危的。一個簡單的例子，比如三四十歲白領男性用戶，平時比較關注家庭，比如買服裝，或者買電商用品，今天想充值游戲卡，其實這是異常行為，支付寶會特別關注，支付寶會把它作為風險標識出來。支付寶認為沒有風險，是可信的，就讓它過了，這個用戶完全沒有感知，好的用戶支付體驗得到了保護。有風險怎么辦，進入第四個環(huán)節(jié)。

支付寶風險的管控是多層次的管控體系，有幾個手段可以做。第一，有風險的帳戶保護起來，第二，有風險，限制它的額度和權限，第三，支付寶把風險更高的往下面一個環(huán)節(jié)推送，進入到最后一個環(huán)節(jié)，也就是是一個深度的關聯(lián)分析。一些專業(yè)團隊，結合數(shù)據(jù)系統(tǒng)和非常復雜的分析體系，把有問題的數(shù)據(jù)跟網(wǎng)站都深入關聯(lián)，發(fā)現(xiàn)更多有風險的帳戶，發(fā)現(xiàn)更多可能會被受到損失的帳戶，然后把它保護起來，這樣每個層次都會產(chǎn)出結果，然后實施回饋到前面的步驟，這樣就可以有這樣一個非常強大的體系。

支付寶能夠支持每秒3萬筆交易

支付寶安全支付體系支付寶已經(jīng)做到了每秒3萬筆，這個數(shù)字意味著什么概念。北京首都機場，中國最繁忙的機場，一年客流量八千多萬，通過支付寶這樣的安全產(chǎn)品技術體系的能力，支付寶可以在45分鐘完成所有北京機場的安檢。交易一天什么概念，因為成本的原因，不需要這么多設備，增加服務器，可以讓全中國所有老百姓每天到支付寶這里做一筆交易。

關于安全的風險和數(shù)據(jù)計算能力，支付寶有超過20億風險敏感事件的處理能力。這是什么概念，假設一個人一天能夠記住十件事，把它變成自己的知識沉下來，20億需要這個人需要記60萬年，支付寶可以在一天處理完。

數(shù)據(jù)能力才是安全能力的真正基石

數(shù)據(jù)能力是安全能力的基石，基于大數(shù)據(jù)的防控，要解決五個層面的能力。第一數(shù)據(jù)的商業(yè)認知，你對數(shù)據(jù)怎么看，怎么知道用什么數(shù)據(jù)解決支付寶的問題。第二數(shù)據(jù)采集，覆蓋多少用戶、終端或者多少種威脅的信息，這是所需要的。第三個是數(shù)據(jù)計算，有這么多數(shù)據(jù)怎么算，數(shù)據(jù)的可靠性是不是好，垃圾數(shù)據(jù)是解決不了什么問題。第四個層面，數(shù)據(jù)的分析能力，你能不能有你的思路，有你智能分析的團隊，把數(shù)據(jù)變成你的知識、能力。最后是數(shù)據(jù)的應用，怎么用，怎么嵌入業(yè)務環(huán)節(jié)，怎么把數(shù)據(jù)發(fā)揮很重要的作用，這是五個層面非常關鍵的能力。

【首發(fā)于百度百家，溝通交流請 @馬繼華 或加公眾號“北國騎士”】

生成海報

免責聲明：本網(wǎng)站內(nèi)容主要來自原創(chuàng)、合作伙伴供稿和第三方自媒體作者投稿，凡在本網(wǎng)站出現(xiàn)的信息，均僅供參考。本網(wǎng)站將盡力確保所提供信息的準確性及可靠性，但不保證有關資料的準確性及可靠性，讀者在使用前請進一步核實，并對任何自主決定的行為負責。本網(wǎng)站對有關資料所引致的錯誤、不確或遺漏，概不負任何法律責任。任何單位或個人認為本網(wǎng)站中的網(wǎng)頁或鏈接內(nèi)容可能涉嫌侵犯其知識產(chǎn)權或存在不實內(nèi)容時，應及時向本網(wǎng)站提出書面權利通知或不實情況說明，并提供身份證明、權屬證明及詳細侵權或不實情況證明。本網(wǎng)站在收到上述法律文件后，將會依法盡快聯(lián)系相關文章源頭核實，溝通刪除相關內(nèi)容或斷開相關鏈接。