P2P金融信息安全风险研究及国外监管经验借鉴
马敏燕(国家计算机网络应急技术处理协调中心浙江分中心)
【摘 要】我国作为一个互联网大国,P2P金融在我国的出现可以说是必然的,其借着互联网+的东风,历经初始发展期、野蛮生长期、风险爆发
期、政策调整期四个发展阶段,然而,监管往往落后市场,国内多家 P2P平台被曝出信息安全漏洞,整个互联网金融行业存在的技术风险、系统
安全风险逐步显露。
【关键词】P2P金融;信息安全;金融监管
【中图分类号】F724.6 【文献标识码】A 【文章编号】1006-.4222(2016)17—0280—02
1 P2P金融的前世今生
P2P网贷模式的雏形。是 4位英国人所构建的世界第一
家的P2P网贷平台,即Zopa。此平台于o5年 3月.在英国伦
敦上线运营。目前已拓展到全球多个国家,如 日本、美国等。一
日均投资额迭二百多万英镑。P2P网贷平台在发达国家比较
完善 ,且这一类新型理财 方式慢慢被 网络时代的大众接 受。
P2P在中国的发展.主要分为四个阶段:
(1)初 始发展期 :2007~2012年
上 海作 为金融创新基地 .国内首 家 P2P网络借贷平 台就
在上海成立.这一阶段全国的网络借贷平台约发展至二十多
家,到 2011年底,每月约有 5个亿的金额。但因为我们国家公
民信用体系不完善,平台间缺少沟通、联 系,之后 出现一名借
款人可在多家网络借款平台同时开展信用借贷问题。一个有
名的例子,一名网名为坦克的天津借款人,在多家平台借款总
额度高达五百万,且这借款最后因为逾期 ,成为各平 台的坏账。
(2)野蛮生长期:2012~2014年
2012年国 内P2P进入 野蛮生长期 ,且无 明确 的立法。一
些 民间线 下放 贷经验 同 时开始 关注 网络 企业 者 。尝试 开展
P2P网络借贷平 台。2013年 ,我 国银行开始缩减借款 .一些无
序内的线程数量变多,每个线程的效率也更高。伴随多核处理
器的大范围应用,多线程程序也逐渐得到利用。在云计算成为
当前主流领域的背景下,云环境下的众多程序都在为一个线
程池服务,并且也运行着众多线程。这都为嵌入的非常大的软
件水印创造 了优质 的奈件 。
4.2 不易察觉性
不易察觉性具体是指.嵌入到软件水印之后对观察人员
的不可察觉的范围。一般用嵌入软件水印之后的程序在文件
的运行所需时长,以及文件的大小等嵌入软件水印前期程序
变化的大小来衡量。如果嵌入的数据量大。程序中的线程也会
增多,而程序的运行时长也会增多。如果嵌入的软件水印非常
多,线程间会出现频繁出现等待事件,对程序中线程的并发运
行造成一定的影响 ,拖延运行的时间。
5结 语
综上所述。文章对基于线程关系的软件水印算法展开了
具体的分析,并且对软件水印的前期处理方式、嵌入的算数方
法以及提取算数的方法都进行了详细的分析。运用程序中存
在的线程关系嵌入软件水印算法的优势在于,可以对众多线
程攻击有非常好的抵抗力,简洁性更强,对原来程序造成的影
法从银行借款的企业或民间有高额高利贷投机者由P2P网络
借 贷平台上看到机会 ,花十万左右购买网络借 贷 系统模板 .之
后租一简单办公室开始了线上的圈钱活动。此阶段 .国内网络
借贷 平 台一下增加到 了超 600家.到 l3年底 .成 交金额高 达
l10亿 左 右
(3)风 险爆发期 :2014~2015年
由于在快速扩张期间,大多数平台老板经营管理粗放、欠
缺风控,许多平台甚至涉及资金 自融、非法集资。2013年底
起,这些网络借贷平台爆发了提现危机。随着大量投资标的集
中到期,而平台本身未将血或无法筹集到现金应对提现 .导致
追求高利息投资人的恐慌心理,集中提现,这些 自身开始快速
出现 了挤兑的风险及危险 ,大量 平台 出现提现 困难 、倒 闭或跑
路的情况。
(4)政策调整期 :2015年 至今
我国开始鼓励互联金融创新,并且对于P2P网络借贷平
台加上大力支持。一方面。多地暂停互联 网金融平台注册:另
一 方面,相关法律法规逐步推出。如 2015年7月份 出台《关于
促进互联 网金融健康发展 的指导意见》、2015年 l2月份 出台
《网络借贷信息中介机构业务活动管理暂行办法 (征求意见
◆ - ◆ ·◆ ’◆ - ● ‘
响也非常小,嵌入效率也会提升。通过文章的简单论述,基于
线程关系的软件水印算法仍然需要完善.它将是相关工作人
员的重要研 究课题 。
参考文献
[1]许金超,曾国荪.一种基于线程关系的软件水印算法【J].电子学报,
2012(05).
【2】李淑芝,王显珉.基于 m-n变进制规则的动态图软件水印算法[J】.计
算机工程,2012(21).
[3】韩 旭,刘粉林,赵 正.一种基于数据依赖关系的软件水印算-法【J1.信
息工程大学学报.2015(02).
【4】许金超,曾国荪.基于栈状态关系的动态软件水印算法【J】.计算机应
用.2013(04).
收稿日期:2016—7—25
作者简介:李倩伟(1986一),女,河南南阳人,讲师,硕士,研究
方向为大数据处理,云计算。
宋 薇(1987一),女 ,河南 南阳人 ,讲 师 ,硕 士 ,研 究方向为
数据 库应 用技术 ,数据挖掘 。
— ■■—— —————■■_
稿)》。2016年4月 14日,央行出台《互联网金融风险专项整
治工作 实施方案》
2 P2P金融服务信息安全
P2P网贷平台在泛亚、e租宝等事件爆发后 ,整个行业被
这几颗老鼠屎搅得乌烟瘴气。在 P2P平台,除诈骗平台、蓄意
骗取投资者钱财等.还有极大安全漏洞、信息安全等问题,会
受到骇客攻击。根据猎豹移动安全 实验 室展 开研 究,其对部分
P2P网站开展 了抽样的安全监测,发现共有 130以上的网站
存在各种类型的安全漏洞,其中最多问题有 40%撞库攻击,另
外占多数的是 24%属于信息泄露、24%后台地址暴露等等,这
三个类型是最主要的.对于网站的安全以及资金的安全等均
造成 了较 大的影响
资金安全是每个网贷款平台要先可以确保,而这一资金
安全 的基 础为保 障网站安全 。笔者 总结了 目前 P2P网贷平 台
主要存在 以下几个信 息安全风险 :
(1)在用户注册信息获取过程 中由于管理不到位存在着
安全 隐患。
①线下推广陷阱多多。目前对于新用户注册、用户信息的
获取,主要有线上线下两种方式。其 中线下推广则由公司团
队、专业推广团队或普通推广人构成,人员差异较大,如管理
不到位 ,会存 在较大的信 息安 全隐 患。 比如 下载 app,许 多线
下推广会提供免费连接的wifi。这些wifi的安全性难以得到保
障.连接后 可能窃取 用户手机信 息。
②羊毛客无孔不入。该类群体主要是针对 P2P平台推出
的活动奖励 .大量 注册 真实或虚 拟账号 .获取 奖励后 即弃用账
号。羊毛客主要分为两类,一类是握有多套真实身份证及银行
卡信息,可进行批量邀请注册:另一类是利用网站被攻击后在
网络上公开流传的用户信息或以购买黑电话卡、收购身份证等
方式获取身份信息.大批量地在平台上进行注册、牟取利益。
(2)用户在使用 P2P金融服务时,需要与服务器交换 ,进
行数据传输。信息传输过程中,有较大的信息安全隐患,据猎
豹移动安全实验 室统计,约 24%平台使 用了加 密传输 ,约 37%
平台,存在着数据传输问题,只有不到 8%平台短信校验码在
客户端进行校验 ,之后 的 31%因为部分平 台倒 闭或是其他原
因无法正常访问服务 器。
具体如 下:
@https与http传输。在目前所有P2P网站中,陆金所等
部 分网站采 用了 H1TrPS加 密传输 ,其余 均采 用了 HTIT 传输。
相对 而言,采用 H,ITI’PS传 输的网贷 平台更为安全 。
( 明文传输。许 多 P2P金 融服务应 用,直接 明文传输 用户
的用户名、登陆密码、支付密码、投标及银行卡等用户信息,或
者仅仅是 简单的 base64编码 ,很 可能被 他人截获 。据 猎豹移
动安全 实验 室统计
③客户端校验。P2P金融应用,活动抽奖、验证码校验等,
都应该 由本地上传至服务端 .在服务器端完成。部分应用的抽
奖金额、手机短信验证码等在客户端验证.客户端校验的做法
存在非常大的安全隐患,包括恶意修改中奖金额、刷红 包、修
改密码等
(3)在P2P金融网站及应用获取用户信息后 。需将用户信
息存储在服务器上.信息存储过程中的泄露问题也是很大的
安 全隐患
①对于P2P平台系统,技术较强的大型平台往往 自主开
发的独立 系统 .而技 术较 弱的 中小型平 台则往往采用购买模
板的方法。这类采用模板的平台往往容 易引起黑客的注意,受
到黑客的攻击
②对于存储服务器,可以选择云服务器和独立购买。采用
云服务器相 对便捷安 全 .但 自主性相对较差 ;独立购买服 务器
则存在 一定的安全 隐患.购买后服 务器要 到 电信做好托 管的
处理.确保器可在 72h内.不间断的电源供应,许多企业只是
放 置在 企业机房 内.一旦 断电将造成数据大量流失
3 国外 P2P金融监管经验借鉴
面对 目前我 国国 内P2P平 台的信 息安全风 险问题 .需要
有关部门加强监管,促进互联网金融有序发展。笔者总结了国
外P2P金融服务的监管经验,希望可以借花献佛,为国内P2P
金 融服务信 息安全监管提供 一些借鉴 。
(1)加强基本金融法律法规的建立。 、
美国建立了系列性基础的法律规范行业行为,减少投资
者风险 ,也为贷款人 隐私 穿上保护服。例如 ,美国 P2P平 台在
美国证券交易委员会(SEC)登记,需要履行严格信息披露制
度.对放款人进行保护.但 国内却未有日月显要求,所以需要出
台有关于信贷领域信息披露指导性法规极为重要。
(2)设立 P2P行 业准入机制。
美国准入门槛要求要有保证金,一般在四百万美元左右。
但当前中国P2P未有门槛,因此可建议构建有关门槛,包括资
金的实力条件、高管从业资格、技术水平等要求,相关政府部
门要 对其进行信 息网络 安全的评 估 。确保平 台有很 好的风险
控制能力和信 息把 关能力。
(3)注重消费者权益的保护。
2012年 7月,美国签署了《金融监管改革法案》,所有针对
金融消费者和投资者的保护性措施都将由一家新成立的、独
立的消费金融保护机构来执行。而中国目前正是由于缺乏这
样类似的机构.才使 目前很多P2P投资受害者如 e租宝、泛亚
等投诉困难。因而推动“金融消费者协会”在国内的设立也显
得 至关重要
参考文献
『11姚文平.互联网金融.中信出版社,2014.
f21P2P网站应用安全报告猎豹科学院.
[3]鲁政委.互联网金融监管:美国的经验及其对中国的镜鉴.金融市场
研究 .2014(06).
[4】贲圣林.英美P2P行业监管经验对中国互联网金融的借鉴意义.探
索与争鸣,2014(12).
收稿日期:2016—8—20
■
