P2P網(wǎng)貸的技術(shù)風(fēng)險(xiǎn)分析及防控研究

倪儀 袁婷

【摘 要】P2P網(wǎng)絡(luò)借貸平臺(tái)以其低利率、低門(mén)檻、快速靈活的特點(diǎn)，依托于當(dāng)今互聯(lián)網(wǎng)的快速發(fā)展，在中國(guó)市場(chǎng)迅速擴(kuò)張。同時(shí)多元化多層次用戶(hù)在互聯(lián)網(wǎng)的催化作用下陸續(xù)加入了平臺(tái)。但互聯(lián)網(wǎng)是一把雙刃劍，依然存在許多弊端。網(wǎng)絡(luò)技術(shù)的漏洞使P2P網(wǎng)貸平臺(tái)經(jīng)常被惡意攻擊、電腦黑客入侵、用戶(hù)信息被盜取等，平臺(tái)技術(shù)風(fēng)險(xiǎn)問(wèn)題已經(jīng)嚴(yán)重影響到了平臺(tái)的穩(wěn)定運(yùn)行，甚至引起平臺(tái)用戶(hù)的集體恐慌且逐漸對(duì)平臺(tái)失去信任，這使了P2P網(wǎng)貸這一新興行業(yè)的發(fā)展出現(xiàn)了倒退現(xiàn)象。本文基于國(guó)內(nèi)外P2P在線(xiàn)借貸平臺(tái)的研究現(xiàn)狀和發(fā)展趨勢(shì)，查找相關(guān)平臺(tái)案例并分析其平臺(tái)技術(shù)風(fēng)險(xiǎn)問(wèn)題，與專(zhuān)家探討，提出了降低技術(shù)風(fēng)險(xiǎn)的可行性建議，促進(jìn)P2P網(wǎng)貸平臺(tái)的發(fā)展。

【關(guān)鍵詞】P2P網(wǎng)貸;技術(shù)漏洞;技術(shù)風(fēng)險(xiǎn);防范措施

一、P2P網(wǎng)貸技術(shù)風(fēng)險(xiǎn)相關(guān)概述

P2P網(wǎng)絡(luò)貸款是指通過(guò)互聯(lián)網(wǎng)平臺(tái)直接實(shí)現(xiàn)個(gè)人之間的貸款，其中P2P網(wǎng)貸包含個(gè)人在線(xiàn)貸款和商業(yè)在線(xiàn)貸款。

P2P網(wǎng)貸的典型模式是：在線(xiàn)信貸公司充當(dāng)平臺(tái)提供商，貸款和貸方可以自由競(jìng)標(biāo)。基金貸款人可以獲得利息收入，但必須承擔(dān)風(fēng)險(xiǎn);基金貸款人需要及時(shí)歸還本金，并向網(wǎng)絡(luò)信貸公司支付中介服務(wù)費(fèi)。

技術(shù)風(fēng)險(xiǎn)是指由內(nèi)部操作程序、制度和人為因素造成的直接和間接損失的風(fēng)險(xiǎn)。P2P網(wǎng)貸平臺(tái)技術(shù)風(fēng)險(xiǎn)主要包括了系統(tǒng)、人員、資金的操作風(fēng)險(xiǎn)。

二、P2P網(wǎng)貸平臺(tái)案例及其技術(shù)風(fēng)險(xiǎn)探究

1.系統(tǒng)安全漏洞多，易遭受黑客攻擊

自2008年以來(lái)，寰球破產(chǎn)的P2P網(wǎng)絡(luò)借貸平臺(tái)共有1100多家，損失超過(guò)300多億美元。其中有90%以上的平臺(tái)都是由于黑客攻擊而引發(fā)系統(tǒng)癱瘓，平臺(tái)數(shù)據(jù)被篡改，資金被盜，最終致死P2P網(wǎng)貸平臺(tái)走向滅亡。目前，國(guó)內(nèi)大多數(shù)在線(xiàn)貸款平臺(tái)都存在技術(shù)漏洞，安全性低，易被黑客入侵，因此，迫切需要對(duì)系統(tǒng)進(jìn)行升級(jí)，提高系統(tǒng)的安全性。在線(xiàn)貸款平臺(tái)系統(tǒng)記錄平臺(tái)用戶(hù)的銀行賬戶(hù)名稱(chēng)，賬戶(hù)余額，待處理和資金記錄信息。一旦黑客入侵?jǐn)?shù)據(jù)庫(kù)并篡改或刪除相關(guān)數(shù)據(jù)，它將威脅到貸方的資金安全。

2.邏輯錯(cuò)誤導(dǎo)致的密碼重置漏洞

密碼重置漏洞可以簡(jiǎn)單描述為攻擊者使用自己的密碼重置憑據(jù)重置其他人的密碼。例如，Yilong貸款平臺(tái)可以通過(guò)恢復(fù)密碼，然后抓取包裹，找到用戶(hù)的郵箱、余額、家庭地址、工作情況、手機(jī)號(hào)碼和其他敏感信息。安信貸款平臺(tái)可以修改與手機(jī)號(hào)碼相關(guān)的請(qǐng)求包，以便其手機(jī)可以接收其他用戶(hù)重置密碼所需的驗(yàn)證碼。

3.數(shù)據(jù)庫(kù)配置錯(cuò)誤的賬號(hào)密碼存在泄漏風(fēng)險(xiǎn)

由應(yīng)用程序配置錯(cuò)誤引起的SVN泄漏將導(dǎo)致泄露敏感信息，如數(shù)據(jù)庫(kù)帳戶(hù)密碼，宜人貸曾經(jīng)就出現(xiàn)過(guò)這一問(wèn)題。

4.設(shè)計(jì)缺陷導(dǎo)致了登錄邏輯錯(cuò)誤

宜人貸平臺(tái)的設(shè)計(jì)缺陷導(dǎo)致平臺(tái)登錄邏輯混亂、爆破、惡意綁定等問(wèn)題，導(dǎo)致一些用戶(hù)無(wú)密碼登錄，登錄后，將未綁定的內(nèi)部帳戶(hù)綁定到自己的帳戶(hù)，并等待獎(jiǎng)勵(lì)被拆分。

5.運(yùn)維不當(dāng)威脅用戶(hù)安全

翼龍貸款平臺(tái)曾經(jīng)因?yàn)椴僮骱途S護(hù)不當(dāng)而存在openssl心臟出血漏洞。

此外，P2P網(wǎng)貸平臺(tái)還存在著許多關(guān)于技術(shù)方面的漏洞，如注入攻擊的漏洞、跨站請(qǐng)求偽造等。

三、技術(shù)風(fēng)險(xiǎn)防范建議與對(duì)策

（一）宏觀(guān)方面

1.完善網(wǎng)上借貸平臺(tái)的相關(guān)法律法規(guī)。

法律監(jiān)管條例的缺失使得P2P網(wǎng)貸平臺(tái)的監(jiān)管方面沒(méi)有達(dá)到統(tǒng)一的標(biāo)準(zhǔn)，平臺(tái)風(fēng)險(xiǎn)問(wèn)題不斷顯現(xiàn)。相關(guān)監(jiān)管部門(mén)應(yīng)建立行業(yè)內(nèi)部的準(zhǔn)入與退出制度、建好相關(guān)平臺(tái)運(yùn)作規(guī)則、注意交易模式的合法性。其中，P2P網(wǎng)絡(luò)貸款平臺(tái)主要是以計(jì)算機(jī)開(kāi)發(fā)技術(shù)和信息管理技術(shù)為核心的平臺(tái)設(shè)計(jì)。其技術(shù)安全必須滿(mǎn)足最基本的要求，第三方安全認(rèn)證機(jī)構(gòu)應(yīng)加入其中。不符合技術(shù)安全準(zhǔn)則或機(jī)構(gòu)審核不通過(guò)的平臺(tái)均應(yīng)禁止經(jīng)營(yíng)。

2.建立完整的征信體系。

一是建立完善的平臺(tái)信用信息系統(tǒng)和統(tǒng)一的行業(yè)信用評(píng)估標(biāo)準(zhǔn)。二是平臺(tái)征集的數(shù)據(jù)可以與外部征信系統(tǒng)實(shí)現(xiàn)共享。三是對(duì)信用相關(guān)信息懲罰機(jī)制進(jìn)行加強(qiáng)，嚴(yán)格懲處提供虛假信息以及將個(gè)人隱私泄露的行為。

（二）微觀(guān)方面建議

1.增強(qiáng)平臺(tái)研發(fā)、資質(zhì)管理，維護(hù)運(yùn)營(yíng)實(shí)力。

（1）引進(jìn)相關(guān)的技術(shù)研發(fā)人員和管理人才或?qū)ふ腋咝Р⑶倚抛u(yù)良好的平臺(tái)外包服務(wù)團(tuán)隊(duì)。

（2）引進(jìn)借貸和風(fēng)險(xiǎn)管控有關(guān)的人才，建立適合自身發(fā)展的管理團(tuán)隊(duì)。

（3）建立安全高效的網(wǎng)貸平臺(tái)管理系統(tǒng)并選拔有能力的監(jiān)控管理人員，保證客戶(hù)資金和信息的安全。

（4）加強(qiáng)對(duì)網(wǎng)上貸款平臺(tái)信息披露的監(jiān)督和控制，該對(duì)信息披露方式、內(nèi)容、時(shí)間等方面作出詳細(xì)的規(guī)定。同時(shí)，網(wǎng)貸平臺(tái)應(yīng)定期將平臺(tái)的財(cái)務(wù)報(bào)告、監(jiān)管機(jī)構(gòu)發(fā)布的相關(guān)信息、行業(yè)自律組織要求的信息公之于眾。

2.加強(qiáng)平臺(tái)的技術(shù)風(fēng)險(xiǎn)控制體系的構(gòu)建。

針對(duì)開(kāi)發(fā)人員方面：應(yīng)確保密碼與密碼用戶(hù)之間的對(duì)應(yīng)關(guān)系被重置。禁止在研發(fā)中使用SVN COPY、設(shè)置雙重驗(yàn)證登錄個(gè)人信息中心，注意開(kāi)啟WAF防護(hù)，全方位提供技術(shù)保障。對(duì)于平臺(tái)系統(tǒng)管理方面，系統(tǒng)管理員應(yīng)做好數(shù)據(jù)備份與還原，準(zhǔn)備應(yīng)急方案;設(shè)置自動(dòng)監(jiān)控系統(tǒng)，當(dāng)平臺(tái)出現(xiàn)問(wèn)題時(shí)能夠及時(shí)將信息反饋給管理員;定期檢測(cè)平臺(tái)是否有非法用戶(hù)或異常用戶(hù)等。此外，P2P網(wǎng)貸平臺(tái)公司也要建立內(nèi)部的控制體系以降低和控制內(nèi)部的技術(shù)風(fēng)險(xiǎn)。

四、總結(jié)

本文綜合了國(guó)內(nèi)外P2P網(wǎng)貸的發(fā)展現(xiàn)狀、發(fā)展趨勢(shì)，在風(fēng)險(xiǎn)管控研究的基礎(chǔ)上，利用理論分析法、規(guī)范分析法、交叉分析法探討理論觀(guān)點(diǎn)，構(gòu)建P2P網(wǎng)絡(luò)借貸綜合技術(shù)風(fēng)險(xiǎn)評(píng)價(jià)體系。查找了相關(guān)P2P網(wǎng)貸平臺(tái)以及案例并分析了平臺(tái)關(guān)于技術(shù)方面不足，對(duì)比各平臺(tái)的優(yōu)缺點(diǎn)，利用比較分析法和專(zhuān)家訪(fǎng)談法，一方面對(duì)各大網(wǎng)貸平臺(tái)技術(shù)的優(yōu)劣勢(shì)進(jìn)行了比較分析;另一方面通過(guò)與專(zhuān)家探討研究針對(duì)平臺(tái)技術(shù)風(fēng)險(xiǎn)問(wèn)題提出相應(yīng)的防控建議。

【參考文獻(xiàn)】

[1] 紀(jì)方方.我國(guó)P2P網(wǎng)絡(luò)借貸風(fēng)險(xiǎn)及防范措施[J].廣西質(zhì)量監(jiān)督導(dǎo)報(bào)，2019（07）：151.

[2] 譚天驕，李亙.P2P網(wǎng)絡(luò)借貸平臺(tái)風(fēng)險(xiǎn)預(yù)警研究[J/OL].金融與經(jīng)濟(jì)，2019（08）：77-83[2019-09-06].

[3] 陳靈巧.民間P2P網(wǎng)絡(luò)借貸風(fēng)險(xiǎn)研究[J].勞動(dòng)保障世界，2017（18）：55-56.

[4] 張巧良，張黎.P2P網(wǎng)貸平臺(tái)風(fēng)險(xiǎn)評(píng)價(jià)指標(biāo)研究——基于層次分析法[J].南京審計(jì)學(xué)院學(xué)報(bào)，2015，12（06）：85-94.

[5] 何文茜.101家問(wèn)題P2P網(wǎng)貸公司分析[J].商業(yè)經(jīng)濟(jì)，2014（13）：88-89.

[6] [龔曼薇， 白玉娟. P2P網(wǎng)絡(luò)借貸模式的發(fā)展現(xiàn)狀、風(fēng)險(xiǎn)分析及對(duì)策研究[J]. 經(jīng)濟(jì)師， 2015（4）：62-63.

[7] 王淼，王宗軍.P2P網(wǎng)貸發(fā)展現(xiàn)狀及前景分析[J].中國(guó)商論，2019（03）：62-63.

[8] PankajPankaj，Micki Hyde，James A. Rodger，Communications and Network （CN）， 2012， DOI：10.4236/cn.2012.43029.

作者簡(jiǎn)介：倪 儀（1997—），漢族，江蘇常州人，江蘇大學(xué)，管理學(xué)方向。袁婷（1997—），漢族，貴州安順人，江蘇大學(xué)，管理學(xué)方向。

基金項(xiàng)目：本文系江蘇大學(xué)2019年度大學(xué)生科研項(xiàng)目，項(xiàng)目編號(hào)：18C222