下面是小编为大家整理的P2P网络借贷安全现状及其问题【精选推荐】,供大家参考。
P P2P 网络借贷安全现状及其问题 (一)P P2P 网贷系统的技术安全问题 目前 P2P 网贷系统的建设可划分为自主研发或外包定制两种方式。前者需要耗费大量的人力、时间,业务逻辑的分析难度往往超过技术本身的实现难度,存在较大失败风险。而外包定制,通过购买通用系统后辅以个性化模板,可降低前期统投入成本。平台经常采用折中方法,先使用购买的定制系统进行试运营,在运营过程中逐步发现问题、积累经验,再开发拥有自主版权、掌握核心技术的借贷系统。
商业化的网贷系统主要采用 PHP、JAVA 或.net 三种语言开发,目前 PHP 和JAVA 版本占比较高。PHP 版本的网贷系统开发速度快、周期短、维护成本低,更适合中小型平台发展需要。然而 PHP 版本存在较大的安全漏洞,期间流出的源代码加剧了模板系统的安全风险,相似的漏洞、后门程序及设计缺陷被人为利用,导致部分平台均遭受到不同程度的攻击,造成一定的经济损失。另一方面,部分平台因业务量不断增长,并发数较高,历史数据越来越庞大,早期 PHP 版本的系统及数据库架构负载失衡,部分 P2P 借贷平台发生了投资者数据混乱、利息计算错误等情况。由于 JAVA 版本开发周期长、投入和维护成本高,因此,被部分投资者视为平台实力的间接证明。安全风险和技术瓶颈迫使许多 P2P 借贷公司独立开发网贷系统。
平台的安全性是一项系统性工程,涉及程序设计、数据库设计、服务器运维、域名保护等诸多环节。黑客一般直接采用 SQL 注入入侵系统,或者通过该 P2P网贷系统所在服务器群上其他网站的安全漏洞,实现间接入侵;或攻击 DNS 劫持域名;或通过“僵尸网络”实施暴力流量攻击。技术安全水平体现了 P2P 借贷平台的基础实力,是平台业务安全和业务稳定的第一道防护。尽管提高技术安全性成本较高,但它是保障 P2P 借贷平台长远利益的重要工作,是隐性的准入门槛。
P2P 平台在技术安全上的风险来源于主客观两方面:既有犯罪分子的刻意攻击,同时存在技术疏忽、业务流程不规范,平台技术薄弱等诸多因素。P2P 网贷的安全事故往往存在三种典型情况:犯罪分子恶意攻击、黑客敲诈勒索,开发商暗植后门。开发商暗植后门指部分 P2P 借贷公司缺乏技术实力,将网贷系统外包开发,由第三方技术公司实施后续的维护服务和功能升级。部分开发商在系统中暗设后 门程序或利用技术漏洞获得平台的关键指标及投资人隐私信息,将其贩卖给竞争对手,谋取利益;或以增值服务名义搭配系统出售给新平台。
2013 年以来频繁的黑客攻击事件,已经暴露出 P2P 平台存在很多安全隐患,同时使得平台意识到技术安全的重要性。但 P2P 借贷迅猛发展,经营资金业务已成为部分网络犯罪分子的重点攻击目标,未来面对的风险将更加严峻。因此,P2P 平台必须对此加以防范,一方面加强安全意识,做好安全投入和日常防护工作;另一方面,对黑客的敲诈勒索行为,平台要坚决抵制以免造成长期损失。
(二) P2P 网贷资金安全问题 P2P 借贷平台的资金安全问题核心内容为平台是否能在未经用户授权的情况下动用用户的资金。第三方支付的通道型服务中,平台实际拥有所有用户、所有金的支配权;在托管型服务中,平台不能动用用户二级账户的资金,因此托管型服务可以辅助解决平台截留资金,致使出借人资金无法到达借款人。然而实际情况中平台仍然存在通过构造虚假项目触发资金转移条件,使用户的资金转移至平台控制的账户的可能性。
资金安全问题一直是金融行业进行风险管理面对的重要问题。发达国家的金融服务业均采用资金托管的形式,国外的 P2P 借贷平台将资金托管于银行或者成立专门的公司依据相关法规对用户资金进行托管,将客户的资金与自有资金进行隔离,以避免管理风险和道德风险。2013 年底,央行建议应当建立 P2P 借贷平台的第三方资金托管机制。然而,除了法律法规之外,目前仍然欠缺其发展条件:(1)电子签名的推广,确保借款合同的真实性与不可篡改性。(2)借贷信息的标准化、可追溯化,即借贷行为真实性、有效性可被快捷验证或得到权威机构认可(3)第三方登记中心对借贷合同进行独立保存和审查,避免 P2P 借贷平台与资金托管机构串通造假。
电子签名作为数字时代的个人认证方式已经逐渐被部分 P2P 借贷平台使用,以确保电子合同的真实、完整,防止伪造和篡改。为实现可靠的电子签名,一般会采用非对称加密技术,依托公钥基础设施(PKI)。PKI 的核心执行机构是证书授权机构(CA,Certificate Authority)。用户首先使用软件为自己生成一对密码(包括公钥和私钥),然后把公钥连同自己的身份信息发送给 CA,CA 据此生成一个证书并颁发给用户,该证书同样包括用户的身份信息和公钥。在使用时,用 户(发件人)利用私钥对文件进行加密(实质是对文件的正文内容生成摘要,然后加密)后连同证书一起发送收件人。收件人可利用发件人的公钥解析签名,确认该文件确为发件人所发,文件证书会自动进行提示。通过这些操作,可以确保:(1)文件确为发件人所发(只有发件人自己拥有私钥,且其拥有该私钥的事实已经被 CA 确认),别人无法伪造他的签名。(2)文件未被篡改过(文件附有加密的摘要信息,如果被篡改,该信息不匹配,文件证书会提示)。为了确保电子签名的唯一性、真实性,证书机构及其合作单位均会对证书申请人进行信息审核,以确保证书及其持有人一一对应的关系。基于这种一一对应关系,附有电子签名的合同与现实世界的主体建立技术上可靠的对应关系。因此,每份合同都可以追溯到真实的个人或者机构,前提是证书持有人妥善保管自己的证书,使之不被挪用或被盗。
目前 P2P 借贷平台一般采用 PDF 联机构(如担保机构)都可以在合同中写入自己的电子签名。但出于成本、效率和实际情况的考虑,P2P 借贷平台一般只要求借款人和担保机构添加电子签名,而不要求投资人进行电子签名,投资人仅通过查看证书,即可确定签名各方的身份,同时验证文件是否经过改动。然而电子签名同样存在应用风险点,其中包括证书使用人的身份真实性问题、审核流程问题、电子签名只能保证合同内容的真实性,并不涉及合同内容的合法性以及存在双重合同的可能性等问题。
电子签名可以确保合同未被篡改,但并不能确保合同内容的合法性。因此任何关于合同内容的争议都必须按照合同具体条款,参照相关法律进行认定和解读。在签订 P2P 借贷电子合同时,各当事方必须对条款内容进行详细阅读。电子签名的价值在于维护合法的电子交易过程、规范交易行为。它作为一种技术手段,并不能解决由合同内容条文引起的纠纷。在缺乏明确监管的情况下,P2P 借贷平台需要结合电子合同,从运作过程、法律规范、权责清晰、信息公开透明等多方面逐步完善业务流程,方能真正发挥电子签名的积极作用。
(三)计算机网络安全 计算机网络安全旨在保障互联网金融系统能够无故障运行,并且不受外部入侵和破坏。此层次主要针对互联网金融信息基础设施,它与计算机、网络等系统环境的关系更为密切。互联网金融系统是通过计算机和网络实现的,需要利用 Internet 的各种基础设施和标准,因此构成互联网金融安全系统结构的底层是计算机网络服务层。网络服务层是各种互联网金融应用系统的基础,提供信息传输功能、用户接入方式和安全通信服务,并保证网络运行安全。
1. 互联网金融系统实体安全 互联网金融系统实体安全指维护互联网金融机构后台设备以及其他媒介免遭自然灾害、人为破坏和环境威胁的措施或过程。实体安全是整个互联网金融系统安全的前提,它是由环境安全、设备安全和媒体安全三部分组成:(1)环境安全。互联网金融环境安全指保护互联网金融系统免遭不可抗力等灾害的危害。其要求在建设机房和架设路线时全面考虑可能对系统造成破坏的各种因素,并设计可行的防范措施。(2)设备安全。设备安全指互联网金融系统的设备进行安全保护,主要包括设备防、设备防毁、抗磁电干扰、电源保护、防电磁信息泄露及防止线路截获等方面。设备防盗可加强门禁管理、安装监控报警装置实现。此外,电源保护一般通过加装不间断电源(UPS)实现。(3)媒体安全。媒体安全指对被存储信息和媒体本身的保护,控制敏感信息的记录、再生和销毁的过程。如防止保存有重要信息的光盘或软盘起霉、损坏或被盗。
2.P2P 借贷系统运行安全 P2P 借贷系统运行安全指为了保障 P2P 网络借贷系统功能的安全,提供一套安文件的形式展示、保存借贷合同,平台和关全措施来保护信息处理过程的安全。互联网金融 P2P 网络借贷系统的运行安全具体由 4 个方面组成:(1)P2P 网络借贷系统风险剖析。P2P 网络借贷系统风险分析指通过测试 P2P 网络借贷系统、跟踪并记录其运行活动,发现 P2P 网络借贷系统运行的安全漏洞,从而提出针对性的系统脆弱性分析报告。(2)P2P 网贷系统审计跟踪。网贷系统审计跟踪指对网贷系统进行人工或自动审计跟踪,保持 P2P 网贷系统审计记录和维护详尽的 P2P网贷系统审计日志。(3)P2P 网贷系统备份与恢复。P2P 网贷系统备份与恢复指对系统设备或系统数据进行数据备份与数据恢复。(4)P2P 网贷系统应急措施。应急措施指在 P2P 网贷系统在发生紧急事件或安全事故时,确保互联网金融系统可以继续运行或紧急恢复数据的策略。
3.P2P 借贷系统软件安全 互联网金融系统面临的主要威胁是来自网上的黑客针对系统软件进行的攻击。系统软件安全包括以下几方面:(1)操作系统安全。通过建立用户授权访问机制、审计等措施,控制系统资源的访问权限,保障操作系统及其管理的资源能够得到保护。如果计算机系统可供许多人使用,操作系统必须能区分用户,以防相互干扰。安全性较高的操作系统应给每一位用户分配独立的账户,并不允许一个用户获得由另一个用户产生的数据。(2)P2P 网络借贷数据库安全。由于互联网金融系统中的资料都保存在数据库中,因此数据库是系统中非常重要又容易遭受攻击的部分。P2P 网络借贷数据库安全指对 P2P 网贷数据库系统所管理的交易数据进行安全防护。P2P 网络借贷系统可以通过安全数据库系统以及数据库系统安全部件用以实现网贷系统的安全控制,从而构建 P2P 网贷数据库安全模块,以增强交易安全性。
推荐访问:标签 借贷 现状 P2P网络借贷安全现状及其问题 P2P网络借贷安全现状及其问题