周末随笔:关于安全和风控

数学系毕业的人通常精于严谨的计算,
因此
通常只会做一些大概率会成功的事情
,我也如此。而所有的人对风控的印象都是:没事瞎管,管多了业绩下去了,不管又要出事。所以FRM一开始就会跟你说Risk management 和Risk taking是同一个硬币的正反面。Risk appetite是一门艺术。随着疫情的影响,在线化的运营带来了更多的网络安全和数据隐私风险,同时随着AI/ML等FinTech的使用,也使得金融机构使用的模型风险激增。这一系列的问题正好发生在几个部门之间,需要整个机构进行风险治理,可惜这个领域还没有很好的解决方案,例如针对网络支付系统安全的风险如何估计损失和资本金要求。

1. 关于信用风险最近信用债的事似乎又给某些机构上了一课,而我更看中的是信用风险传染的问题继而引发的流动性问题。这一领域是一个亟待解决的,即在危机时刻的信用违约救助选择和免疫处理。以往都是一些基于复杂网络理论的做法,可惜大多数金融从业者也就玩玩Pajek/NetworkX的能力。图神经网络或许在这个领域会有非常大的用途,另一方面和深度强化学习的结合会对这类问题有很大的帮助,这也是我接下来几个月的工作之一。

2. 关于网络风险最近一段时间都在思考关于网络安全的问题,大量的云厂商开始基于SmartNIC构建分布式防火墙,但是功能相对NGFW少了很多,

针对TLS1.3
如何构建
安全监控?等保要求是否有不完善的地方
十多年前刚入职某司的时候,有个管安全的就说过:“我们为什么给你们配置最顶级的笔记本,因为其中要花15%~20%的资源处理安全”,但是说实话我不太敢苟同这样的说法,这样的安全逻辑是否合理?就像出现一例新冠就全城大规模做核酸?虽然获得了所谓的100%的安全,但耗费的财力物力如何是否远超于其它方式呢?其实只要流调速度大于扩散速度就好了。当你检测技术赶得上了就没必要封城了。
网络安全是否可以借鉴这样的处理方式呢?一个链路上因为等保要求和心理作用部署五六个防火墙是否有必要呢?
而现在的我们似乎为了各种噱头
搞各种安全产品,
真的有用么?
最近讲的很多的ZeroTrust

于是很多人开始逐
逐域的部署安全产品

. Zero
T
rust本质上只是风控里面说的
“Any Assumption must be verified”

所以这里也是一个Risk Appetite的问题。
十多年前某司内部培养年轻人经常会把一些大佬邀请来指导,记得当年Fred Baker大概就讲了两点一个是Intelligence athe Edge and Dummy Core.另一个是Failure Isolation. 我觉得可能是对我影响最大的两点吧,因此我可能更愿意在接入侧去做一些事情。相对于DPI这些复杂的内容检测,我更倾向于从统计和行为分析上逐级增加监控的方式,毕竟好人是多数。这也是安全平台发展的一个趋势。

周末随笔:关于安全和风控

周末随笔:关于安全和风控》来自互联网,仅为收藏学习,如侵权请联系删除。本文URL:http://www.hashtobe.com/359.html