在讲这个之前，不知道很多人对投哪网不是特别了解，它成立于2012年5月份，我们主要的经营范围是PP，车贷抵押方面，目前在全国大概有一万多员工，线下有176家网店，最近可能是180多家了。目前还在不断的扩张，网点大概100多。投哪网在核心资产的安全，我讲这个话的主要内容是涉及到这些业务系统，间把一个业务系统罗列了下来。

今天的议题主要是四个方面，业务方面从最新的OWASP TOP10-2017新增说起，添加了A7、A10对安全来说意味着更大的挑战，以前我们做TOP10是业务方面的，主要关注的是传统意义上的安全，对于API保护要求的在A7里面体现的更强一些，通过这三个方式要求我们在安全方面更加严格。只是对于ASP来说，安全只适应本身的保护，它不仅需要API本身去公司检测的能源，还需要响应的能力，我们目前的市面上是通过第三方工具，包括第三方的硬件设备，这些都是保护我们的APP本身，包括网站的一些安全。对于快速补丁，比较快速的方案还是通过WEB云端防火墙，腾讯，360，他们都有现存的方案，对于快速响应包括公司检测还是不够的。

我们的目前业务方面，因为我们是车贷行业，目前非常重视资产端的安全，我们还有一部分是我们投资人的，投资人的一部分钱是通过银行第三方付款，我们做了很多的努力，包括跟中国金融协会，我们也是赞助合规方面的工作。

业务风险面临的比较多，我们自己也在做，包括对认证，商品帐号，这些在企业方面我们确实在做一些工作，包括隐私，防护信息，合规、资金损失等方面。我们所做的第三方机构，单独风控方面我们合作的大概有30多家，从行业里面比较有名的一些机构，基本上都是和他们一路合作，数据之间共享我们做了很多的努力，目前我们也有自己的大数据分析平台，有500多名员工专门做风控平台。

安全方面也是做了很多的工作，包括在安全方面的知识贡献，包括安全可视化，反欺诈，整个网络安全也是做了比较多的工作。

第二部分主要讲一下数据安全。数据安全在整个行业里面也是非常严峻的一个东西。刚才360也说了一下，目前在整个行业里面，数据泄露方面是非常严重的，对于一个金融行业，这部分的用户数据是我们最核心的，这些部分数据是我们整个公司获客成本比较高，在数据保护方面我们还和第三方进行合作，我们自己内部也和一些机构谈过，我们最后走了一条不同的路。我们常规的数据主要是静态数据，对于动态数据不敏感，应该是很多的企业都是在这方面比较缺失。

我们数据脱敏分几部分来解决，一部分数据导出方面做了更新，包括线下的数据库，包括对于大数据环境的也会研究一下行业的算法，专门有算法团队，包括目前最新的一些数据脱敏的工作。

第三部分讲一下我们目前正在做的工作，从去年开始的一些数据，主要是脱敏之后的数据，一些数据怎么去做。我们在之前遇到一些问题，自己都很难恢复数据，做数据脱敏，包括使用方面需要有一个比较好的预案，对于风控的发布，这些都要有准备。

风控部分我不是太熟悉，我就简单过一下。从最早的信贷工厂到信贷工厂和大数据结合，包括内部风控，包括反欺诈，我们做了这些工作，因为我们做的是车行业，对于整个车的GPS定位，包括这些风险，对于车辆进行监控做了一些相关的工作。对于车辆的GPS定位，还款，包括车辆管理，我们自己开发的APP，加强整个的风控。

最后一部分，因为我们是做安全的，我们自己也是在人工智能方面也有在做，对于智能安全方面提的比较少。对于最近的在图象、语音方面，我们会用到图象的识别，包括风控方面，还有业务系统，登陆认证方面做了很多的东西，但是这个安全系统刻不容缓。我们通过一些数据对于语音数据合成之后，在数据方面发现可以导过去，对于人工智能影响比较大。公司在这方面提前做了一些相关的研究。

我们公司对于智能和安全方面基本上是一个原则，从业务中来回业务中去，最终是要回馈到业务中去。风控在整个安全数据服务平台是相互补充的。

今天就讲到这里。谢谢各位。