“我们大概将风险分为几类,第一个是底层的、系统方面的风险。这个层面上,我们团队会去做一些反入侵、反扫号等的检测。第二个是账户类安全,我们会对这些用户行为和画像进行刻画,尽量预防风险发生。第三个是业务所特有的,比如保险定价等,我们技术部门要做的是识别他的用户身份或者识别他的账户,反映用户本人的真实意愿。”
□记者 苏洁
互联网快速发展的同时,也带来很多隐患,比如网络黑客攻击和客户信息泄露等。对于企业来说,可能防不胜防;对于客户来说,信息泄露造成各种骚扰叫苦不迭。身处互联网保险浪潮中,如何将信息安全应用于实际工作中?《中国保险报》记者专访了蚂蚁金服大安全资深构架师李俊奎。
《中国保险报》:近来客户数据泄露事件频发,蚂蚁金服在保护客户数据方面有什么探索和实践?如何保护这些用户的信息安全?特别是有些保险用户可能会涉及一些隐私,如何保障数据安全?请您具体谈谈。
李俊奎:现在整个蚂蚁金服,我们从支付向金融生活这个角度去转变,其中保险就是我们很重要的一块。我们大概将风险分为几类,第一个是底层的、系统方面的风险,比如说网络被攻击了,系统上面有漏洞,这个我们叫系统安全。这个层面上,我们团队会去做一些反入侵、反扫号等的检测,进行攻防对抗,这个比较容易理解。第二个是账户类安全,保险它就有这种账户的特点,比如说每个客户都要有个账户,我们会对这些用户行为和画像进行刻画,尽量预防风险发生。第三个是业务所特有的,因为保险其实本身是一个风险业务,我可能预知这样的风险,比如保险定价等,这些属于业务本身风险层面,属于业务部门来做,我们技术部门要做的是识别他的用户身份或者识别他的账户,反映用户本人的真实意愿。
我们把客户数据安全当成我们生命线一样来做,把它当成眼睛一样保护。我们首先是要把我自己这个平台上面的信息或者数据的隐患控制住,这个方面我们就是不断地做各种监控和处置。其次,我们后来做着做着,发现现在用户的信息很多情况下不是在平台这个角度泄露,可能是在互联网其他地方泄露了,这种情况对我们也是有损害的,所以我们现在的思路就是我们要去赋能我们的上下游的,比如说一些商户这个层面,我们去给他做这种漏洞检测,提高整体的安全水位。再次,我们有风险情报合作,这个层面上是可以相互促进,不要进一步把整个给搞垮了。
在互联网上面,对这种新兴技术,我们首先需要考虑的是,能否解决用户的问题,也就是说,让他用着是比较轻便的,比如我们引入了人脸识别等多种生物技术,在这个技术上面加强。然后我们要通过对用户心智的理解来确定这个用户的实际风险画像。特别是对新用户,因为他对整个这种新型技术的感知,其实比较弱,所以我们要能够不断地去把这种技术优化,让他感觉方便,给他进行保护,所以我们在背后是做了很多这种分析工作。
《中国保险报》:现在“金融科技”非常火,对此,您怎么看?
李俊奎:金融科技的本质还是金融,它的金融的本质是没有变的,只是我们用互联网的技术,把金融服务贯彻到老百姓的日常中去,然后做他的生活服务。这个层面上,我们认为服务小微企业,还有普通用户,这个层面上,我觉得可能会带来更大的价值,这个也是我们蚂蚁金服为什么要往这个方向一直坚持。
就好比有很多的产品不是说我非要做多大,而是可能就很小,比如芝麻信用就是很典型的,很小型的,每个用户都有,它在日常的生活中会积累你的点滴信用,这个层面来说,它是非常好的一个评价体系。
我们今年在推进我们的互联网推进器计划,或者我们说叫开放平台这样一个计划。开放平台计划里面,我们就把安全作为一项很重要的东西放到里面,随着我们的业务一起来开放。然后把安全的能力也开放给我们的合作伙伴,开放给我们的商户,能够赋能给他。因为大家的风险意识,或者风险的这种技术的能力是不一样的,我们把我们沉淀了十几年的这样的经验,或者这种技术的能力开放给他,然后让他不至于说成为一个短板。
《中国保险报》:把技术都交给商户,是否会担心被替代?以后他就不需要你们去做了?
李俊奎:合作,其实就是说是一种技术服务的合作,我们开放的这种服务的能力,这个我们倒不是很担心的。现实中,现在其实是你中有我,我中有你这种情况,就是说风险面前谁也不能独善其身,因为在实际过程中,如果守着这一块平台,我们发现我们守不住的。比如其他地方,如果是一个很弱的短版,他在那里不断的泄露用户的数据、信息,那么其实也是会成为很大的攻击对象,这对我们来说也会受到影响。我们相信首先服务好商户或者合作伙伴,我们才是成功的。