P2P网络贷款是近年来新兴的一种互联网金融模式,是一种个体和个体之间通过互联网平台实现的直接借贷。P2P网贷平台则为借贷双方提供信息流通交互、撮合、资信评估、投资咨询、法律手续办理等中介服务。近两年来,P2P行业经历了近乎爆炸式的增长。截止2015年12月底,网贷行业正常运营平台为2595家,平台历史累计成交量则突破一万亿元。种种迹象都表明,P2P有望发展成为一种重要的大众理财和社会融资方式,并对国民经济的发展做出一定贡献。
作为一个新兴行业,P2P在发展过程中也不可避免的出现一些弊端。除了提现困难、失联跑路等严重问题,与信息安全相关的风险漏洞则在P2P平台上大量存在。例如平台的真实性问题、电子交易数据的泄露和被篡改问题等。下面我们就P2P平台所面临的信息安全问题和应对策略进行简单分析,希望可以引起行业对这一问题的重视,以更好的保障平台与投资人的利益。
网络信息安全是P2P平台的安全基础
1.信息安全漏洞造成用户“被欠款”
打开一家P2P网站进行注册,却发现身份证已被陌生手机号码绑定进行了注册。更让人吃惊的是,这个账号已有消费产生的欠款。近日,媒体报道了在某家分期类P2P平台上发生的用户“被注册”、“被欠款”的诡异事件。最后查明的原因是用户个人信息泄露,而平台又没有有效的验证方式。这一安全漏洞导致账户被他人注册和绑定,给用户和平台造成了损失。
2.监管层重视行业信息安全
现在一提到P2P是否安全,人们往往想到的是“本息到期能否兑现?平台会不会卷款跑路?”,却很少能考虑到上述这种信息安全问题。请不要忘记P2P的载体是互联网,可以说网络信息安全是P2P平台安全的基础,应该予以充分重视。监管层也意识到了这个问题,在2015年央行等十部委发布的《关于促进互联网金融健康发展的指导意见》中的网络与信息安全部分就指出:“从业机构应当切实提升技术安全水平,妥善保管客户资料和交易信息,不得非法买卖、泄露客户个人信息。人民银行、银监会、证监会、保监会、工业和信息化部、公安部、国家互联网信息办公室分别负责对相关从业机构的网络与信息安全保障进行监管,并制定相关监管细则和技术安全标准。”
3.不应忽视的P2P信息安全
遗憾的是,部分P2P平台对信息安全比较忽视,这比安全威胁本身更可怕。据媒体报道,现在一些P2P平台营销费用年过千万,而与高额营销费相比,信息安全的投入则显得捉襟见肘。在这个竞争激烈的行业,经营者们首先考虑的是如何吸引眼球、增加用户量,却忽视了信息安全这一安全基础。网站被仿冒、用户资金遭窃取等问题一旦出现,都将对平台的声誉造成打击,并严重动摇投资人信任感,这是很难通过营销宣传补救的。那么,P2P平台目前面临的信息安全问题主要有哪些呢?
P2P平台面临的主要信息安全问题
1.借贷参与方身份真实性的识别
用户登录“贷”的“官网”进行转账投资,资金划转后却发现没能进行投资,钱款也不翼而飞。原来,所谓的“官网”是以假乱真的钓鱼网站。我们经常能看到网民因在仿冒的银行、购物网站输入密码,导致密码被盗、资金被窃的报道。而现在,钓鱼网站制作者的黑手也已伸向同样涉及大量资金交易的P2P平台。
作为P2P平台,首先需要确保的是平台自身及担保方、出资方、借款方身份的真实性。但P2P平台不像银行等金融机构那样拥有线下网点,无法面对面的办理业务,所以大大增加了身份识别的难度,以致出现前文那种冒用他人信息进行消费借贷、冒牌P2P官网骗取用户钱款的问题。
2.信息传输过程中的保密性和完整性
不慎登陆假冒P2P网站,丢失密码,那登陆真实的P2P网站就能保证密码安全吗?答案是否定的。当我们在网页中输入信息,再点击“确认”或“提交”键后,信息就将通过一种叫HTTP的网络协议传输到网站的服务器。这一过程最大的问题是没有加密措施,账户密码、隐私数据等重要信息很可能在传输过程中被截取或篡改。P2P平台在运营过程中会涉及大量的信息交互,这些信息在传输过程中的完整性和保密性需要得到保障。
3.电子合同的真实性与合法性
平台跑路了,投资者拿着word版的所谓协议或合同维权,却被告知:不符合《电子签名法》,没有法律效力。而前文所述的冒用他人身份注册并进行借贷的行为,相当于合同主体是虚假的,所签合同也是虚假、无效的。一旦出现问题,如果无法找到冒用者,平台恐怕也只能自担损失。
如果无法确定借贷人的身份、无法确保P2P平台的真实性、投资账户密码可能被盗、签订的电子合同也可能是无效的,那参与P2P的风险未免过大,投资人只能望而却步。所以上述问题无法回避,亟待解决。
P2P平台信息安全问题应对策略
1.P2P平台信息安全需求分析
如果一家P2P平台希望解决前文所述的信息安全问题,那么它的安全需求可归纳为以下三点:
可识别用户身份、平台身份的真实性
保证电子交易信息的机密性、完整性
借贷合同、借据等电子协议需要符合《中华人民共和国电子签名法》
目前我国已经有比较成熟、完整的技术方案可应对P2P平台的主要信息安全问题。现在已经有越来越多的P2P平台与取得《电子认证服务许可证》资质的第三方电子认证服务机构(以下简称CA)合作,通过引入数字证书和电子签章技术,满足了自身的主要信息安全需求。而如果出现投资纠纷以致诉诸法律,CA还可作为第三方进行电子取证、提供法律依据。
2.使用数字证书实现身份认证和加密传输
数字证书是互联网通讯中标志通讯各方身份信息的一串数字,它提供了一种在互联网上验证通信各方身份的方式。数字证书可以简单理解为网络身份证,因为具有唯一性,所以可以用来在网络上证明身份。“在网络上,没有人知道你是一条狗。”当年人们这样说,就是因为在虚拟的网络上,我们无法分辨谁是谁,但数字证书为我们提供了一种可以证明、验证身份的有效方式。当然,数字证书并非谁发都有效力,就好像居民身份证必须由公安机关发放一样。只有类似于CFCA(中国金融认证中心)这样的正规第三方CA机构签发的数字证书才能用于身份认证。
为了满足P2P平台识别用户身份真实性的需求,CA会为投资人、借款人、担保公司、P2P平台发放个人数字证书或企业数字证书,建立各方对应的身份标识,实现身份认证。这些数字证书可以防止身份的冒用,但那些仿冒的“钓鱼网站”呢?对付它们则需要服务器证书(SSL证书)。SSL证书可以理解为代表网站身份的数字证书,CA在对网站经营方、域名等多项信息进行严格审核后才会签发这张证书。SSL证书还能起到信息加密传输的作用,避免电子交易信息在传输过程中被截取、篡改,确保其机密性和完整性。
EV服务器证书示例
注:图例中的P2P平台正受到CFCA EV SSL证书的保护。用户可通过绿色的浏览器地址栏、地址栏中的公司名称、HTTPS和点击锁形图标后显示的证书信息来确认网站是真实可信的,同时信息传输已经过HTTPS协议加密处理。
注:图例中的P2P平台正受到CFCA EV SSL证书的保护。用户可通过绿色的浏览器地址栏、地址栏中的公司名称、HTTPS和点击锁形图标后显示的证书信息来确认网站是真实可信的,同时信息传输已经过HTTPS协议加密处理。
- 符合《电子签名法》的电子签章系统
上文提到的《电子签名法》是电子合同是否具有法律效力的基础。《电子签名法》第十四条规定:可靠的电子签名与手写签名或者盖章具有同等法律效力。那什么是“可靠的电子签名”呢?首先,电子签名是指电子文档中以电子形式所含、所附用于识别签名人身份并表明签名人认可其中内容的数据。通俗点说,电子签名就是对电子文档的电子形式的签名,并非是书面签名的数字图像化。只在所谓的合同文档上放个红章或签名图片是无效的,因为它只是一张数字格式图片,是可以被编辑、修改。《电子签名法》规定“可靠的电子签名”需要同时满足以下四点:
电子签名制作数据用于电子签名时,属于电子签名人专有
签署时电子签名制作数据仅由电子签名人控制
签署后对电子签名的任何改动能够被发现
签署后对数据电文内容和形式的任何改动能够被发现
这虽是一个法律问题,但需要依靠信息安全技术解决。那听起来有点抽象的法律条款,如何通过技术来实现呢?前面我们说过,CA会为P2P平台的参与各方都发放数字证书。在签署合同时,各方都要用自己的数字证书结合提供可视化服务的电子印章软件进行盖章。数字证书+电子印章=电子签章,一份经过各方电子签名后的电子签章合同符合《电子签名法》,具有和手写签署合同一样的法律效力。因为很多P2P合同都需要四方盖章,而P2P平台每天都会有大量投标产生,那这一过程会不会很耗时和麻烦?不会,因为电子签章系统可以自动、批量的进行签字盖章,所以可在线、实时的生成电子合同,具有很高的快捷性、易用性。
在提供了电子签章服务的P2P平台,用户只要登录个人账户就能下载到PDF格式的电子合同。以下就是一份通过CFCA电子签章系统进行签署的P2P电子合同,乍一看盖章处,似乎没什么特别之处。
但如果点击红章,就会出现证书信息,以点击“转让人”红章为例:
但如果点击红章,就会出现证书信息,以点击“转让人”红章为例:
注:图例中的P2P平台正受到CFCA EV SSL证书的保护。用户可通过绿色的浏览器地址栏、地址栏中的公司名称、HTTPS和点击锁形图标后显示的证书信息来确认网站是真实可信的,同时信息传输已经过HTTPS协议加密处理。
可以看到,签名者的身份是有效的,合同内容也未被修改。如果合同被修改,比如改动一个文字、一个数值,红章就会出现“”打叉符号,提示合同已被修改。再次强调的是,和传统线下盖章不同,电子合同上的红章更多的是出于用户体验,也就是方便观看,为这份合同赋予法律效力的是其中的数字证书。数字证书为签名人专有,可以证明合同是签名人本人签署的。
结语:
在高速发展的同时,P2P平台还将面对更多、更复杂的信息安全风险。所以在应用以上安全策略的同时,还可引入时间戳系统增强合同签署时间的可信性、实施网站安全监测查杀信息漏洞与木马、对移动客户端进行APP检测以及其他安全策略。随着部分P2P平台向纵深化发展,尝试涉足第三方征信、第三方支付、大数据等业务,则应该考虑实施等级保护测评、非金融机构支付检测、反欺诈系统等信息安全项目。P2P行业拥有良好的发展前景,但作为安全基础,信息安全问题的解决仍然任重道远,而解决问题的关键在于业界对安全问题要有足够的重视和积极预防的态度。建议P2P平台以保护用户为出发点,通过与CA机构、信息安全服务商合作履行信息安全责任,保障自身及行业的健康发展。
本文转自d1net(转载)