P2P網(wǎng)貸的技術(shù)風(fēng)險分析及防控研究

倪儀 袁婷

【摘 要】P2P網(wǎng)絡(luò)借貸平臺以其低利率、低門檻、快速靈活的特點，依托于當(dāng)今互聯(lián)網(wǎng)的快速發(fā)展，在中國市場迅速擴張。同時多元化多層次用戶在互聯(lián)網(wǎng)的催化作用下陸續(xù)加入了平臺。但互聯(lián)網(wǎng)是一把雙刃劍，依然存在許多弊端。網(wǎng)絡(luò)技術(shù)的漏洞使P2P網(wǎng)貸平臺經(jīng)常被惡意攻擊、電腦黑客入侵、用戶信息被盜取等，平臺技術(shù)風(fēng)險問題已經(jīng)嚴(yán)重影響到了平臺的穩(wěn)定運行，甚至引起平臺用戶的集體恐慌且逐漸對平臺失去信任，這使了P2P網(wǎng)貸這一新興行業(yè)的發(fā)展出現(xiàn)了倒退現(xiàn)象。本文基于國內(nèi)外P2P在線借貸平臺的研究現(xiàn)狀和發(fā)展趨勢，查找相關(guān)平臺案例并分析其平臺技術(shù)風(fēng)險問題，與專家探討，提出了降低技術(shù)風(fēng)險的可行性建議，促進P2P網(wǎng)貸平臺的發(fā)展。

【關(guān)鍵詞】P2P網(wǎng)貸;技術(shù)漏洞;技術(shù)風(fēng)險;防范措施

一、P2P網(wǎng)貸技術(shù)風(fēng)險相關(guān)概述

P2P網(wǎng)絡(luò)貸款是指通過互聯(lián)網(wǎng)平臺直接實現(xiàn)個人之間的貸款，其中P2P網(wǎng)貸包含個人在線貸款和商業(yè)在線貸款。

P2P網(wǎng)貸的典型模式是：在線信貸公司充當(dāng)平臺提供商，貸款和貸方可以自由競標(biāo)?；鹳J款人可以獲得利息收入，但必須承擔(dān)風(fēng)險;基金貸款人需要及時歸還本金，并向網(wǎng)絡(luò)信貸公司支付中介服務(wù)費。

技術(shù)風(fēng)險是指由內(nèi)部操作程序、制度和人為因素造成的直接和間接損失的風(fēng)險。P2P網(wǎng)貸平臺技術(shù)風(fēng)險主要包括了系統(tǒng)、人員、資金的操作風(fēng)險。

二、P2P網(wǎng)貸平臺案例及其技術(shù)風(fēng)險探究

1.系統(tǒng)安全漏洞多，易遭受黑客攻擊

自2008年以來，寰球破產(chǎn)的P2P網(wǎng)絡(luò)借貸平臺共有1100多家，損失超過300多億美元。其中有90%以上的平臺都是由于黑客攻擊而引發(fā)系統(tǒng)癱瘓，平臺數(shù)據(jù)被篡改，資金被盜，最終致死P2P網(wǎng)貸平臺走向滅亡。目前，國內(nèi)大多數(shù)在線貸款平臺都存在技術(shù)漏洞，安全性低，易被黑客入侵，因此，迫切需要對系統(tǒng)進行升級，提高系統(tǒng)的安全性。在線貸款平臺系統(tǒng)記錄平臺用戶的銀行賬戶名稱，賬戶余額，待處理和資金記錄信息。一旦黑客入侵?jǐn)?shù)據(jù)庫并篡改或刪除相關(guān)數(shù)據(jù)，它將威脅到貸方的資金安全。

2.邏輯錯誤導(dǎo)致的密碼重置漏洞

密碼重置漏洞可以簡單描述為攻擊者使用自己的密碼重置憑據(jù)重置其他人的密碼。例如，Yilong貸款平臺可以通過恢復(fù)密碼，然后抓取包裹，找到用戶的郵箱、余額、家庭地址、工作情況、手機號碼和其他敏感信息。安信貸款平臺可以修改與手機號碼相關(guān)的請求包，以便其手機可以接收其他用戶重置密碼所需的驗證碼。

3.數(shù)據(jù)庫配置錯誤的賬號密碼存在泄漏風(fēng)險

由應(yīng)用程序配置錯誤引起的SVN泄漏將導(dǎo)致泄露敏感信息，如數(shù)據(jù)庫帳戶密碼，宜人貸曾經(jīng)就出現(xiàn)過這一問題。

4.設(shè)計缺陷導(dǎo)致了登錄邏輯錯誤

宜人貸平臺的設(shè)計缺陷導(dǎo)致平臺登錄邏輯混亂、爆破、惡意綁定等問題，導(dǎo)致一些用戶無密碼登錄，登錄后，將未綁定的內(nèi)部帳戶綁定到自己的帳戶，并等待獎勵被拆分。

5.運維不當(dāng)威脅用戶安全

翼龍貸款平臺曾經(jīng)因為操作和維護不當(dāng)而存在openssl心臟出血漏洞。

此外，P2P網(wǎng)貸平臺還存在著許多關(guān)于技術(shù)方面的漏洞，如注入攻擊的漏洞、跨站請求偽造等。

三、技術(shù)風(fēng)險防范建議與對策

（一）宏觀方面

1.完善網(wǎng)上借貸平臺的相關(guān)法律法規(guī)。

法律監(jiān)管條例的缺失使得P2P網(wǎng)貸平臺的監(jiān)管方面沒有達(dá)到統(tǒng)一的標(biāo)準(zhǔn)，平臺風(fēng)險問題不斷顯現(xiàn)。相關(guān)監(jiān)管部門應(yīng)建立行業(yè)內(nèi)部的準(zhǔn)入與退出制度、建好相關(guān)平臺運作規(guī)則、注意交易模式的合法性。其中，P2P網(wǎng)絡(luò)貸款平臺主要是以計算機開發(fā)技術(shù)和信息管理技術(shù)為核心的平臺設(shè)計。其技術(shù)安全必須滿足最基本的要求，第三方安全認(rèn)證機構(gòu)應(yīng)加入其中。不符合技術(shù)安全準(zhǔn)則或機構(gòu)審核不通過的平臺均應(yīng)禁止經(jīng)營。

2.建立完整的征信體系。

一是建立完善的平臺信用信息系統(tǒng)和統(tǒng)一的行業(yè)信用評估標(biāo)準(zhǔn)。二是平臺征集的數(shù)據(jù)可以與外部征信系統(tǒng)實現(xiàn)共享。三是對信用相關(guān)信息懲罰機制進行加強，嚴(yán)格懲處提供虛假信息以及將個人隱私泄露的行為。

（二）微觀方面建議

1.增強平臺研發(fā)、資質(zhì)管理，維護運營實力。

（1）引進相關(guān)的技術(shù)研發(fā)人員和管理人才或?qū)ふ腋咝Р⑶倚抛u良好的平臺外包服務(wù)團隊。

（2）引進借貸和風(fēng)險管控有關(guān)的人才，建立適合自身發(fā)展的管理團隊。

（3）建立安全高效的網(wǎng)貸平臺管理系統(tǒng)并選拔有能力的監(jiān)控管理人員，保證客戶資金和信息的安全。

（4）加強對網(wǎng)上貸款平臺信息披露的監(jiān)督和控制，該對信息披露方式、內(nèi)容、時間等方面作出詳細(xì)的規(guī)定。同時，網(wǎng)貸平臺應(yīng)定期將平臺的財務(wù)報告、監(jiān)管機構(gòu)發(fā)布的相關(guān)信息、行業(yè)自律組織要求的信息公之于眾。

2.加強平臺的技術(shù)風(fēng)險控制體系的構(gòu)建。

針對開發(fā)人員方面：應(yīng)確保密碼與密碼用戶之間的對應(yīng)關(guān)系被重置。禁止在研發(fā)中使用SVN COPY、設(shè)置雙重驗證登錄個人信息中心，注意開啟WAF防護，全方位提供技術(shù)保障。對于平臺系統(tǒng)管理方面，系統(tǒng)管理員應(yīng)做好數(shù)據(jù)備份與還原，準(zhǔn)備應(yīng)急方案;設(shè)置自動監(jiān)控系統(tǒng)，當(dāng)平臺出現(xiàn)問題時能夠及時將信息反饋給管理員;定期檢測平臺是否有非法用戶或異常用戶等。此外，P2P網(wǎng)貸平臺公司也要建立內(nèi)部的控制體系以降低和控制內(nèi)部的技術(shù)風(fēng)險。

四、總結(jié)

本文綜合了國內(nèi)外P2P網(wǎng)貸的發(fā)展現(xiàn)狀、發(fā)展趨勢，在風(fēng)險管控研究的基礎(chǔ)上，利用理論分析法、規(guī)范分析法、交叉分析法探討理論觀點，構(gòu)建P2P網(wǎng)絡(luò)借貸綜合技術(shù)風(fēng)險評價體系。查找了相關(guān)P2P網(wǎng)貸平臺以及案例并分析了平臺關(guān)于技術(shù)方面不足，對比各平臺的優(yōu)缺點，利用比較分析法和專家訪談法，一方面對各大網(wǎng)貸平臺技術(shù)的優(yōu)劣勢進行了比較分析;另一方面通過與專家探討研究針對平臺技術(shù)風(fēng)險問題提出相應(yīng)的防控建議。

【參考文獻】

[1] 紀(jì)方方.我國P2P網(wǎng)絡(luò)借貸風(fēng)險及防范措施[J].廣西質(zhì)量監(jiān)督導(dǎo)報，2019（07）：151.

[2] 譚天驕，李亙.P2P網(wǎng)絡(luò)借貸平臺風(fēng)險預(yù)警研究[J/OL].金融與經(jīng)濟，2019（08）：77-83[2019-09-06].

[3] 陳靈巧.民間P2P網(wǎng)絡(luò)借貸風(fēng)險研究[J].勞動保障世界，2017（18）：55-56.

[4] 張巧良，張黎.P2P網(wǎng)貸平臺風(fēng)險評價指標(biāo)研究——基于層次分析法[J].南京審計學(xué)院學(xué)報，2015，12（06）：85-94.

[5] 何文茜.101家問題P2P網(wǎng)貸公司分析[J].商業(yè)經(jīng)濟，2014（13）：88-89.

[6] [龔曼薇， 白玉娟. P2P網(wǎng)絡(luò)借貸模式的發(fā)展現(xiàn)狀、風(fēng)險分析及對策研究[J]. 經(jīng)濟師， 2015（4）：62-63.

[7] 王淼，王宗軍.P2P網(wǎng)貸發(fā)展現(xiàn)狀及前景分析[J].中國商論，2019（03）：62-63.

[8] PankajPankaj，Micki Hyde，James A. Rodger，Communications and Network （CN）， 2012， DOI：10.4236/cn.2012.43029.

作者簡介：倪 儀（1997—），漢族，江蘇常州人，江蘇大學(xué)，管理學(xué)方向。袁婷（1997—），漢族，貴州安順人，江蘇大學(xué)，管理學(xué)方向。

基金項目：本文系江蘇大學(xué)2019年度大學(xué)生科研項目，項目編號：18C222