支付風控，系統該如何做？

特意設計的

我寫的產品總結，大部分是來源我親身經歷的專案；因此會有一定的特殊性，相反也會更有實戰性；希望對你會有幫助！

我現在負責的系統，接了好幾家支付渠道，如連連支付、沃支付、招商銀行等；但風控方面一直沒系統的去做過，導致財務部門惶恐；因此本週我們特意去將這個事情提上來作為專題討論，從產品層面與技術層面進行風控措施的設計；

大家都知道，支付系統存在風險，直接損失就是大筆資金被盜走；據同事說，之前公司系統就被攻破過，當時100多萬在10來分鐘直接被弄走。最後一查，才發現黑客既然是一個高中生，他在一個陌生群裡獲得一段程式碼，直接注入導致系統被攻破；由這個前例可以看出，系統沒有風控措施，等同於在網際網路裸奔。

那麼今天我大致從以下幾個方面談談風控措施如何做？

內部人員管理曾

系統技術層

外部協助層

內部人員管理層

因打款都是人為操作，難免會產生很多風險；包含操作失誤，流程把控上等；

操作失誤：可以從培訓、驗證等方式上減少失誤；例如我們就是新上一個功能，都會經過培訓，這樣就基礎層面把人為的操作失誤減少啦；同時我們在付款確認時增加賬號後4位驗證，以確保將打款的物件搞錯；

流程把控：可以從許可權控制，複核流程，驗證等方面減少風險；比如我們在“新增供應商”、“新增收款賬號”等，都是隻交給財務內部人員才擁有的許可權；同時我們在新增付款單、確認付款單、複核付款單等步驟上，都是交給不同的角色來複核，以通過流程上來多步驟減少風險；同時我們在複核是，也是指定的手機號；

內部人員管理層，除去以上2種情況，其實最重要的，還是財務部門的UI內部人員的職業素養的培訓；如果人出現問題，那其實很多措施都是無效的擺設而已；

這部分，產品層面會做很多複核流程及複核的設計；

系統技術層面

這部分其實更多的是防止黑客攻入，需要技術考慮的比較多；我們都知道黑客現在已經有成套的體系來攻擊網站，大致流程如：拖庫——洗庫——撞庫

接下來，我 通過問答的方式將這些

Q：若黑客通過擷取伺服器接收使用者請求、密碼、甚至是伺服器的私鑰怎麼辦？

A：可增強伺服器的防護

Q：若黑客通過SQL隱碼攻擊，修改資料庫怎麼辦呢？

A：寫後臺程式時，資料庫需要加上使用者資料進行驗證

Q：若黑客暴力破解，怎麼辦呢？

A：增加密碼的長度，同時增加登入密碼通過下載本地證書或動態密碼

第六種風措施：名單資料（ip名單：比如只限制辦公區）

Q：若黑客通過虛擬ip，攻擊我方系統怎麼辦呢？

A：可設定來源IP，只限制財務辦公區域ip等白名單

其實，我們還做了登入口令的變換，30分鐘進行手動變更一次；

外部協助層

此部分，其實是需要商務與合作方進行洽談，看看是否配合一起做好風控措施的；我們這一次，主要在2各方面，需要合作方進行配合的；一方面是，在支付渠道方維護我們的收款賬戶，也即支付渠道方只接收我們已維護的收款賬戶；一方面，也是做ip來源限制，讓對方只允許我們財務部門的ip發起的付款申請才能通過；

以上就是我這次關於風控措施想到的措施，當然可能也還有更好的方法，比如裝置繫結、數字證書等，但是若按照將以上措施完善的話，風險可以保證是能減少大部分的；

and

我是餘小智 。產品經理、創業者，

被簡書稱為“90後最會寫故事的撰稿人”。