特意设计的
我写的产品总结,大部分是来源我亲身经历的项目;因此会有一定的特殊性,相反也会更有实战性;希望对你会有帮助!
我现在负责的系统,接了好几家支付渠道,如连连支付、沃支付、招商银行等;但风控方面一直没系统的去做过,导致财务部门惶恐;因此本周我们特意去将这个事情提上来作为专题讨论,从产品层面与技术层面进行风控措施的设计;
大家都知道,支付系统存在风险,直接损失就是大笔资金被盗走;据同事说,之前公司系统就被攻破过,当时100多万在10来分钟直接被弄走。最后一查,才发现黑客既然是一个高中生,他在一个陌生群里获得一段代码,直接注入导致系统被攻破;由这个前例可以看出,系统没有风控措施,等同于在互联网裸奔。
那么今天我大致从以下几个方面谈谈风控措施如何做?
内部人员管理曾
系统技术层
外部协助层
内部人员管理层
因打款都是人为操作,难免会产生很多风险;包含操作失误,流程把控上等;
操作失误:可以从培训、验证等方式上减少失误;例如我们就是新上一个功能,都会经过培训,这样就基础层面把人为的操作失误减少啦;同时我们在付款确认时增加账号后4位验证,以确保将打款的对象搞错;
流程把控:可以从权限控制,复核流程,验证等方面减少风险;比如我们在“新增供应商”、“新增收款账号”等,都是只交给财务内部人员才拥有的权限;同时我们在新增付款单、确认付款单、复核付款单等步骤上,都是交给不同的角色来复核,以通过流程上来多步骤减少风险;同时我们在复核是,也是指定的手机号;
内部人员管理层,除去以上2种情况,其实最重要的,还是财务部门的UI内部人员的职业素养的培训;如果人出现问题,那其实很多措施都是无效的摆设而已;
这部分,产品层面会做很多复核流程及复核的设计;
系统技术层面
这部分其实更多的是防止黑客攻入,需要技术考虑的比较多;我们都知道黑客现在已经有成套的体系来攻击网站,大致流程如:拖库——洗库——撞库
接下来,我 通过问答的方式将这些
Q:若黑客通过截取服务器接收用户请求、密码、甚至是服务器的私钥怎么办?
A:可增强服务器的防护
Q:若黑客通过SQL注入,修改数据库怎么办呢?
A:写后台程序时,数据库需要加上用户数据进行验证
Q:若黑客暴力破解,怎么办呢?
A:增加密码的长度,同时增加登录密码通过下载本地证书或动态密码
第六种风措施:名单数据(ip名单:比如只限制办公区)
Q:若黑客通过虚拟ip,攻击我方系统怎么办呢?
A:可设置来源IP,只限制财务办公区域ip等白名单
其实,我们还做了登录口令的变换,30分钟进行手动变更一次;
外部协助层
此部分,其实是需要商务与合作方进行洽谈,看看是否配合一起做好风控措施的;我们这一次,主要在2各方面,需要合作方进行配合的;一方面是,在支付渠道方维护我们的收款账户,也即支付渠道方只接收我们已维护的收款账户;一方面,也是做ip来源限制,让对方只允许我们财务部门的ip发起的付款申请才能通过;
以上就是我这次关于风控措施想到的措施,当然可能也还有更好的方法,比如设备绑定、数字证书等,但是若按照将以上措施完善的话,风险可以保证是能减少大部分的;
and
我是余小智 。产品经理、创业者,
被简书称为“90后最会写故事的撰稿人”。
网友评论