在乌镇举行的第三届世界互联网大会进入第二天。11月17日，在大数据分论坛上，蚂蚁金服安全管理部资深总监邵晓东表示，新金融行业面临各类新型挑战和威胁，要保障安全就得转变思维模式，要变防御为管控，其中大数据技术的运用是关键。

互联网时代之前，人们保护重要资产，是用钢筋水泥、武装押运车、金库，只要水泥墙足够厚，就能挡住犯罪分子。但在互联网时代，安全威胁有了新的形式：隐私数据被贩卖、各种信息泄露、钓鱼木马扩散……传统的钢筋水泥已不能发挥作用。

邵晓东表示，在这一新形势下，被动的、响应式的防御模式已经无法满足安全需要。新金融的风控理念要从事后被动防御转变为事前、事中主动管控、甚至具备主动进攻的能力，而其核心的武器就是大数据和新技术。

他举了一个例子：去年7月的某天晚上11点多，支付宝一位深圳用户的账号在广州登录，并在半小时后通过短信校验码修改密码，随后在网上下单购买一个手机，蚂蚁金服的智能风控系统判断这笔交易存在风险，阻截了交易的进行。次日上午，客服与这位深圳用户联系，此时这位用户才知道自己的手机中了木马病毒。

“蚂蚁金服的智能风控系统会对支付宝的每一笔交易从身份、账户、设备、环境、行为、偏好等8个维度每天上亿笔的交易进行实时风险扫描。”邵晓东说，同时，蚂蚁金服还在大力开发生物识别技术，并在账户登录、交易环节全面推广使用，多维度实现对账户安全的主动管控。

邵晓东同时强调，数据的价值在于使用，只有在保证数据安全合规的基础上，大数据和新技术才能发挥防控风险的巨大作用。因此，保障大数据数据本身的安全同样也很重要，同时，要快速识别网络行为背后的人，需要各方力量集合起来，形成数据生态。

附演讲全文：

大家上午好！

非常高兴有机会和大家就“大数据时代的金融安全”这一话题来做一个交流。

一、互联网金融带来新机遇和新挑战

两年前的这个大会上，马云先生提出，人类社会已经从IT时代走向DT时代，两年来，以利他主义为核心价值的大数据时代正在给每一位从业者和创业者带来前所未有的机遇。聚焦在大数据时代的互联网金融，它是用互联网思维、互联网技术以及大数据驱动的有别于传统金融的新金融模式，极大减低了金融服务的沟通和交易成本，其平等、开放的特性为中小企业和普通民众提供了个性化、自主化、普惠的金融服务，是传统金融的有益补充。

互联网金融在为客户带来便利的同时，互联网安全形势也日趋严峻：黑灰产业链越来越形成生态、隐私数据被贩卖、各种信息泄露、钓鱼木马的扩散……时刻威胁着网络环境。2014年1月韩国爆发了史上最大个人信息泄漏事件，4成人口信用卡信息遭泄露，陷入国民恐慌。2016年10月21日，一场始于美国东部的大规模DDos攻击席卷了全美，包括twitter、《纽约时报》等主要网站都受到了黑客攻击，造成美国互联网大面积瘫痪。因此，如何保障互联网金融、移动支付的安全，已经成为互联网金融必须面对和解决的一大课题。

二、互联网金融的四大风险

通过互联网金融的多年实践，我们认为，互联网金融的风险主要聚焦在四大领域：

（一）系统风险。互联网系统是包括互联网金融在内的互联网生态的基础设施，也是互联网金融业务和安全防控技术的原生支持，一旦系统被攻击、渗透，则会引发用户个人、金融行业甚至整个社会的混乱。因此，保证网络系统安全、正常的运行是基础性、功能性要求。

（二）信息风险。互联网金融绿色普惠、高触达率的特征，以及和场景紧密结合的业务模式，使得业务过程中不断积累各种数据。不断交互的数据涉及商业秘密、个人隐私等方面，因此在收集、储存、管理、应用的各个阶段都必须保证信息数据的安全。

（三）账户风险。互联网金融将传统的存折、银行卡简化为一组号码——个人账号。如何识别账号背后的人是账户所有人本人，如何保护客户的账户安全，成为互联网金融的一个重要课题。

（四）资金风险。保护系统安全、信息安全和帐户安全的核心是保护客户的资金安全。这是互联网金融安全防护最终极、最重要的目的。

三、大数据驱动的新安全模式

互联网金融行业要转变思维模式、创新防控措施，才能有效应对

各类新型挑战和威胁。我认为核心是要聚焦在三个一：

一场变革。变防御为管控。传统金融领域的防范，主要采用金库、武装押运等方式来实行被动式防御，但在互联网思维、互联网技术驱动的互联网金融模式下，被动的、响应式的防御模式已经无法满足安全防范的需要。因此，互联网金融的风控理念要由传统的事后被动防御转变为事前事中主动管控、甚至具备主动进攻的能力，而其核心的武器就是大数据和新技术。

我们蚂蚁金服集团为此已经付出了很多的实践，我们有五分之一的员工在从事安全及风险管理工作，数据与技术工程师占了这些员工的2/3。我们用于安全管控的服务器有2800多台，在不到1/10秒的时间里，我们的智能风控系统会对每一笔交易从身份、账户、设备、环境、行为、偏好等8个维度实行大数据分析，我们有数十个模型，上千个风控规则，每天对近两亿笔的用户交易行为进行实时风险扫描。同时，我们还在大力开发生物识别技术，并在账户登录、交易环节全面推广使用，识别准确率达到了99.6%，真实场景通过率超过95%。目前，我们的资损率远低于十万分之一。举个例子：45岁并常住深圳的黄先生，他的账户于某日晚23：35在广州非可信设备登录，0：07通过短信校验码修改密码，0：25在网上下单购买一个苹果手机，0：25我们的风控系统直接失败了这次交易，上午10：03我们客服与黄先生联系，确认手机被种木马，并帮助做了安全维护。这就是我们大数据驱动、主动管控的经典案例。

一种能力。就是保障数据安全的能力。数据的价值在于使用，大数据大计算不是简单的物理叠加，而是有生命的；开源、开放是大数据应用的必要条件；而开放的前提是明白什么是关闭，不会“关门”就不会知道什么样才算“开门”，不会“收”就没资格谈“放”。因此，只有在保证数据安全合规的基础上，大数据和新技术才能发挥防控风险的巨大作用。

为此，我们蚂蚁金服严格按照“依法合规、用户授权、场景驱动、业务沉淀”的原则管理使用数据，并建立了完善的数据安全管理体系，获得了中国公安部等级保护认证、中国信息安全检测中心系统安全保障一级认证、PCIDSS国际卡组织数据安全认证、ISO27001信息安全管理体系认证等一系列国内国际认证。

一个生态。就是要形成数据生态。互联网金融的风险防控要具备主动性、预见性，需要快速识别网络行为背后的人和行为目的，并准确的作出风险预判，这种能力非单个企业或行业所能独立完成，而是需要形成数据生态，需要各方力量的集合。例如，蚂蚁金服和中国最高人民法院、各金融机构共享老赖名单以及风险数据，既很好的助力社会诚信体系建设，也更有效的防范了信用风险。中华人民共和国主席习近平也强调：维护网络安全是全社会共同责任，需要政府、企业、社会组织、广大网民共同参与，共筑网络安全防线。

分享让更多人看到