蚂蚁金服邵晓东：大数据时代的金融安全

数据观现场报道 2016年11月17日，第三届世界互联网大会“大数据论坛”举行，本次论坛由中国国家互联网信息办公室和浙江省人民政府指导支持，中国科学院主办，中科学院信息工程研究所承办，数据中心联盟协办。

　　蚂蚁金融服务集团安全管理部总经理邵晓东先生在该论坛上发表了主题为“大数据时代的金融安全”的演讲。邵晓东认为，在互联网金融领域里面主要会出现有别于传统金融的四大风险：系统风险、信息安全、帐户风险以及资金安全。邵晓东建议用“三个一”来保障 互联网金融 安全：一场变革、一套风控体系、一个数据生态。

以下为演讲全文：

各位嘉宾，大家下午好。非常高兴荣幸能够参加这次论坛，听了前面很多位的专家学者他们的讲话，非常认同他们的观点。当然我也会利用这个机会跟大家分享一下我们大数据时代的金融安全应该怎么做。记得两年前，也是在这个大会上，马云先生曾经提过，人类社会已经从互联网时代走向了大数据时代。

这两年来，我们能够看到的是以利他主义为核心价值的大数据时代正在为每一位从业者、创业者提供着前所未有的机遇。聚焦在我们大数据时代的互联网金融，它是以互联网技术、互联网思维方式以及大数据驱动的，有别于传统金融的新金融模式。它极大地降低了金融服务的交易成本和沟通成本，并且因为它开放、平等的特性，也为我们中小企业和普通的民众提供了普惠的金融服务，是现有金融的有益补充。

当然，我们看到互联网金融为广大民众带来极大便利的同时，我们也感知到互联网安全日益严重的趋势。现在黑灰产业链正在形成生态，各种信息被贩卖，木马、钓鱼网站正在不断地威胁着我们的网络安全。

2014年韩国爆发了史上最严重的一个信息泄露事件，四成人口的信用卡信息被泄露，就在刚刚过去的10月份，始于美国东部的DDos攻击席卷了整个美国，包括《纽约时报》在内的网站都没有被幸免。因此，如何保障互联网金融安全，已经是我们必须去面对和要解决的问题。

我们蚂蚁金服通过多年的实践，在互联网金融领域里面主要会出现有别于传统金融的四大风险：第一，系统风险，互联网系统是包括互联网金融在内所有互联网生态的基础设施，互联网金融的业务开展和安全技术都依赖于互联网系统。所以系统一旦被攻击，我们的用户，金融行业，甚至我们整个社会都会造成混乱。所以我们要保障我们的系统是安全的，只有系统安全了，才能保障我们的互联网金融安全。

第二，我们的信息安全。互联网金融随着普惠以及与场景紧密结合的业务模式，使我们在业务开展过程当中会积累各种各样的数据。而这些数据又会覆盖商业秘密，用户的个人隐私，所以我们必须在数据的产生、储存、管理、使用各个环节确保信息数据是安全的。

第三，帐户风险。互联网金融的帐户与传统金融的帐户是有很大区别的，它已经没有了像信用卡、存折这样的中间介质。如何保障帐户背后的人就是帐户使用者本人呢?这已经是摆在我们面前最重要的安全课题，最后是资金风险。

前面我们讲到，不管我们怎么样去保障我们的系统安全、信息安全以及我们的帐户安全，其本质最终目的都是需要保障我们的资金安全。在这样一个新机遇、新挑战同时又面临着新威胁的环境下，我们在互联网金融领域，如何用新的安全模式保障我们的互联网金融安全呢?我觉得需要有三个“一”。

首先我们需要一场变革，这场变革就是从被动的防御到主动的管控，为什么这么说?因为在传统金融领域，我们为了保障金融的安全，我们有厚厚的水泥墙和防爆门做一个金库，把资金可以管控起来。

我们在银行网点之间进行资金运输的时候，我们可以有武装运钞车和武装押运人员，这样不管是谁会在什么时候用什么样的方式，在什么样的地点对我们进行攻击的时候，都能得到相对有效的防范。

而在互联网金融已经不一样了，我们没有银行网点，甚至很少能看到现金，我们在互联网上也没有地方让你去搭建一个厚厚的水泥墙以及防爆门。那我们怎么样保障我们的互联网金融的安全呢?我们必须从被动的、事后的防御转化到事前的主动管控。我们必须要在行为结果发生之前就要预测到谁可能在什么时候，可能用什么样的方式，可能在什么地点对我们进行攻击。

　　甚至于我们要具备主动进攻的能力，才能保障我们的安全。而要实现这场变革，我个人认为最核心的武器就是我们的 大数据 以及我们的新技术。

蚂蚁金服经过多年的实践，已经形成了一套完整的风控体系，整个蚂蚁金服集团有五分之一的员工从事直接与安全相关的工作，而这些员工当中，我们的数据工程师和技术工程师占了三分之二，我们用2800多台服务器，数十个模型，上千条规则，搭建了智能风控的平台，而这个智能风控平台可以在十分之一秒的时间从八个纬度对每一笔交易进行一个风险的预测和判断。

同时我们也特别注重像生物识别技术这样新技术的开发，我们到目前为止，人脸识别技术已经在我们帐户注册、帐户识别以及整个交易过程当中进行了广泛的应用。目前识别的准确率达到了99.6%，整个场景的通过率超过了90.5%。因此蚂蚁金服的止损率远远低于十万分之一。

举一个案例，有一位黄先生45岁住在深圳，他的帐户突然有一天的晚上，23点35分的时候，在广州，一个从来没有使用过的设备上登录了。并且在0点07分的时候，他的帐户通过短信校验方式进行了修改支付密码的动作。

同时在0点25分的时候，这个帐户还在试图购买一台苹果手机。在0点25分当他确认支付的时候，其实我们系统已经判定这个帐户的操作行为不是黄先生本人。所以我们当他确认支付的时候，我们失败了这个交易，并且在第二天10点03分，我们的客服人员与黄先生本人进行了沟通，确认黄先生的手机中了木马，然后我们的客服人员帮助他做了必要的安全维护。

这就是用大数据来实现我们风险控制的典型案例。要实现这场变革，我觉得我们必须要具备一种能力，什么能力?就是保障我们信息数据安全的能力。

个人觉得数据是要用起来才有价值的，数据是越用越有价值。数据使用它不是简单的一个物理叠加，它是像生命一样，会发生奇妙的变化。同时开源、开放才是使用数据的一个首要条件。刚才有嘉宾也分享到，我们会把保险的数据和医疗的数据整合起来，这需要数据开放。

但是我这里想说的是，要开放必须知道什么叫关闭，要学会关你才能很好的开，你如果不会收，你没资格谈放。要让我们的大数据在这场变革当中发挥巨大的作用，你首先要做的是要保障你的信息数据是安全的。那么我们蚂蚁金服在这方面也做了很多的工作，做了很多的投入，已经搭建了一套完善的数据安全管理体系，并且获得了多个国内国际的权威认证。公安部、信息系统的安全等级保护认证，中国信息安全检测中心的系统安全保障的一级认证，以及国际卡组织颁发的PCIDSS数据安全认证和ISO27001信息安全管理体系认证。

最后我想讲要实现这场变革，除了具备保障数据安全的能力以外，还必须要形成一个数据生态。我们要通过大数据应用去实现主动的管控，去预测是谁在什么时候可能在什么地点可能通过什么样的方式对我进行攻击。

光靠一个企业是不够的，我们必须形成各方的合力。我们蚂蚁金服目前正在与中国最高人民法院和各个银行机构共享老赖的名单和风险的数据，这种数据的共享，不仅有效的能够助力我们整个社会诚信体系的建设，同时也极大的提高了我们金融机构应对信用风险的能力，提高我们征信的能力。谢谢大家!

责任编辑：陈近梅