”网上看到一个新闻，昨天爆出的一个京东大新闻：原价200左右的电烤箱，因为项目组工作人员失误导致价格设置出现了BUG，结果只需要5.99元就可以买到。”

“这样这次失误持续了50分钟左右，京东的许多商品都被抢了光，主要是电烤箱居多，导致店铺被蓐了20多万件，损失达7000万。由于这次严重失误，整个项目组被解聘，没有年终奖和补贴。还有的人看到价格便宜，也不管是不是别人的失误，直接下单了100件，第二天直接到货了。“

在很多技术的群里都有讨论这个问题，讨论的范围涉及面非常广，包括用户去蓐羊毛的道德问题，这个损失的真实性问题，京东管理层对于项目组处理的严重性问题等等，这里不讨论这些问题，下面只讨论背后的技术和管理问题。

从我的角度，按道理京东经过这么多年的发展，风控体系应该很完备了才对，因为做电商，如果风控做的不好，可能就因为这个原因公司就会经营不下去。

言归正传，回来谈一下这件事情对应的风控管理。IT管理的安全涉及的面比较广，包括系统安全、数据安全、网络安全和业务安全，本次主要和业务安全管理有关。

首先谈一下安全管理的理念，安全管理就是在管理风险，背后是对于利益的追逐，黑产是一个产业链，恶意用户通过盗号、欺诈，刷单，蓐羊毛等行为谋求巨额不当利益，所以在系统设计阶段，在每一个环节都要有风险意识，尤其是涉及到资源的地方，都要识别风险，制定对应的风险处置设计。design for risk，为风险设计，默认有风险，而不是默认没有问题，这是一个很重要的一个安全管理理念。

在这个安全理念下面，涉及到资源的地方，在研发过程都要设计检查审计的点，这些都是风险识别、控制点，在本次案例中，包含：

销售价格的确定环节，不管是直接确定价格，还是设置优惠券适用范围等，最终会针对有些商品确定最终消费者的销售价格，在这个环节，在商城生效前，要经过一个价格管控审核环节，这里可以设置各种检查控制，如果不能通过，则不能到商城生效，从源头在事前控制住风险。
在销售环节，针对每个商品，都会有订单成交，如果订单成交有异常情形，比如环比订单数突增并且总价大幅下降，在消费低峰期间突然订单数增加，要触发监控报警；这一环节要在下单后审核环节执行，在这一环节系统自动冻结订单，同时触发待办到对应人员手机中，审核确定是否放行，可以一键放行，这是风控的事中及时发现，及时干预，这里的核心能力是实时报警，实时控制能力。在这一部分，给系统的时间就是一分钟，所以审核规则不能太多太复杂。
在下一环节，在订单履约前，要促发第二道风险识别检查点，这一环节可以给10分钟时间，结合大量数据、更多风控检查规则进行检查，检查是否有风险，如果没有风险，进入订单履约环节；如果有风险，同第二步。
在订单履约环节，要提供随时可以截单，一键截单能力，虽然这是最差的处理方式，但总比造成巨大损失好。可以针对一个时间短的某个商品进行一键截单。这里更多的是通过舆情监控，或者内部人员发现问题时的最后处置手段。

这是对抗羊毛党的业务层级的技术，在底层技术，需要的基础能力还要有：设备指纹，人机识别，验证码，防撞库等基础能力，需要支持的大数据，机器学习也是必备技能。

羊毛党会提前布局，特洛伊木马早已在城中，当价格出现错误，木马会立刻现身，巨大损失不可避免。所以业务安全的对抗中，提前发现那些木马账户也是非常重要，发现了不见得清理，但在涉及资源利益的时候，这些木马账户是被限制的。

最后说一句，安全工作永无止境，到底投多少其实是一个财务和对抗问题：

第一，你要比你的竞争对手安全做的好，羊毛党就不会盯着你，这是对抗意识。

第二，要了解羊毛党的投入模型，你的工作要让羊毛党投入大于收益，他们就会知难而退，转向第一点的你的竞争对手。

数字化转型，会提升企业的核心竞争力，要关注用户体验，也要防范盯着你的钱袋子的黑色产业链的用户，拒羊毛党于门外，将利益让与真正的用户。

作为一个IT人，我们的存在应该让这个世界变得更好，让有信誉的人畅通无阻,无信誉的人寸步难行。

本文转载自成哥的世界公众号。

原文链接：https://mp.weixin.qq.com/s/QXhOrRbZgd96T0E_utBE8g

创作场景

京东被蓐羊毛 7000 万的背后的风控管理