南順網絡

作為(wèi)P2P産品經理(lǐ)，你該知道(dào)的(de)融資端風控問題

互聯網金融不同于其他的(de)互聯網産品，其直接涉及到資金交易的(de)屬性就要求了它對于風險管控的(de)要求要遠遠高(gāo)于其他的(de)互聯網産品。了解互聯網金融平台的(de)風控基礎知識，有助于你在設計産品時對于風險點有更好的(de)把控，做(zuò)到心中有數，從容不迫。

互聯網金融的(de)核心是金融。金融最重要的(de)就是風險管理(lǐ)與風險控制。而P2P行業更是因為(wèi)自(zì)身的(de)一(yī)些特性（從業者多來自(zì)傳統民間小貸平台或純互聯網領域）很難兼顧規模速度和(hé)風控兩者。因此作為(wèi)一(yī)個P2P行業的(de)産品經理(lǐ)，你要對整個平台的(de)風控體制有一(yī)個明确的(de)認識，必要的(de)時候要為(wèi)你的(de)團隊制定出合适的(de)風控方案，甚至去(qù)反抗你的(de)leader的(de)一(yī)些“不靠譜”的(de)想法。

本篇所講的(de)『風控』并不會講出借端的(de)『風控』，那是風控部門的(de)主要職責，一(yī)般涉及貸端的(de)風控系統，都是由風控部門出策略，産品部門配合。我今天要說的(de)P2P平台的(de)風險控制，主要包括信息安全、資金安全、技術安全和(hé)反作弊四塊。至于其他的(de)風控，比如(rú)出借端風控、公司內(nèi)部的(de)各種規範、相關的(de)內(nèi)審機制等，就不在本文的(de)讨論範圍內(nèi)了。

風控的(de)概念

提到風控就不得不提到『風險管理(lǐ)』，風險管理(lǐ)是一(yī)個過程，風險控制是這個過程中的(de)一(yī)個步驟。

風險管理(lǐ)： 是一(yī)個管理(lǐ)過程，包括對風險的(de)定義、測量、評估和(hé)發展因應風險的(de)策略。目的(de)是将可(kě)避免的(de)風險、成本及損失極小化。理(lǐ)想的(de)風險管理(lǐ)，事先已排定優先次序，可(kě)以優先處理(lǐ)引發最大損失及發生概率最高(gāo)的(de)事件，其次再處理(lǐ)風險相對較低(dī)的(de)事件。對于風險管理(lǐ)來說，存在着以下的(de)幾個步驟：風險的(de)辨識—>風險的(de)預測—>風險的(de)處理(lǐ)（風險的(de)控制）。我們也将通過這個步驟來梳理(lǐ)P2P平台産品設計中可(kě)能會遇到的(de)一(yī)些風險點，并提出一(yī)些解決方案方法。

今天我們要說的(de)是一(yī)個廣義上的(de)『風控』，既包括互聯網行業中的(de)『信息風控』、『技術風控』、『反作弊風控』，也包括了金融行業的(de)『出借風控』、『資金風控』。而且對于風控的(de)一(yī)些方面還有監管層的(de)要求。

因此對于互聯網金融産品來說，風控已經不再是一(yī)個業務和(hé)技術上的(de)問題。這一(yī)點需要互金産品經理(lǐ)有一(yī)個比較明确的(de)認識。

風控的(de)場景

既然我們所說的(de)是廣義上的(de)『風控』，那到底廣義上的(de)『風控』存在于什麽地(dì)方呢(ne)？我對照自(zì)己做(zuò)過的(de)産品進行了下整理(lǐ)。主要包括以下領域：

信息安全

應該這麽說，在資金存管的(de)政策下，P2P平台對于資金安全的(de)風控壓力在逐漸減少，畢竟所有的(de)資金都在銀行的(de)存管體系下運營，反而是對于信息安全不管是從實際業務還是政策監管上顯得尤為(wèi)重要了。因為(wèi)，對于P2P平台來說，不論是用戶、平台還是标的(de)的(de)信息都需要采取強有力的(de)風控措施來保障安全。這裏需要在産品設計和(hé)開發時有預見性的(de)針對可(kě)能出現的(de)問題做(zuò)出相應的(de)方案，在保證信息安全的(de)前提下提升用戶體驗。

用戶信息安全

作為(wèi)用戶信息的(de)主體，用戶賬戶的(de)安全直接關系到平台信息安全。又因為(wèi)作為(wèi)互金平台的(de)用戶賬戶會存儲有大量的(de)類似身份證，銀行卡卡号等的(de)敏感信息。如(rú)果出現用戶賬戶信息洩露，極容易誘發各種侵财案件的(de)發生。同時對與平台來說也是極大的(de)打擊，甚至可(kě)以說在這裏，平台“輸不起”。

我們在産品設計的(de)過程中，就應該預判可(kě)能發生的(de)風險點，并同開發的(de)同事在産品和(hé)技術的(de)各個層面制定并完善相關解決方案。

注冊

在注冊階段，我們主要需要應對的(de)是『機器注冊』、『人工惡意注冊』和(hé)『注冊短(duǎn)信被攻擊』。在這裏我們可(kě)以采用以下的(de)一(yī)些防範防範：

『手機号+短(duǎn)信驗證碼』：通過在需要注冊手機号接收（也有上行）短(duǎn)信驗證碼，确保手機号是真實的(de)。防止垃圾注冊随便編寫虛假手機号。但目前已有接碼和(hé)打平台，隻能是增加一(yī)點（很少）的(de)垃圾賬号注冊成本。對于驗證碼的(de)防範将在下邊說到。『實名認證』：實名認證可(kě)以在很大程度上确保注冊用戶的(de)真實性，同時也是政策監管的(de)要求。一(yī)般對于實名認證的(de)方式有兩種：一(yī)是通過專門的(de)實名認證入口進行認證，二是依托第三方支付平台或者銀行，在進行綁卡/開戶的(de)同時完成。對于兩種方式的(de)優劣，應該說各有各的(de)優勢。第一(yī)種可(kě)以減輕用戶的(de)心理(lǐ)壓力，避免引起用戶反感，進行步步引導來完成實名和(hé)綁卡，另外分開操作的(de)話，手續費也會加倍。第二種方式顯然用戶操作更少，但是容易一(yī)起用戶反感，不過僅需支付一(yī)次手續費。所以實際選擇哪種方式要根據具體情況來制定。『基于大數據的(de)注冊風控系統』：目前很多公司都提供了基于其自(zì)身大數據能力的(de)『注冊風險控制解決方案』，利用其所掌握的(de)大數據分析和(hé)技術能力，建立深度特征體系，發現虛假注冊、惡意刷單等非常正注冊行為(wèi)。

短(duǎn)信驗證碼

對于短(duǎn)信驗證碼，風險點主要在于垃圾注冊和(hé)調用短(duǎn)信接口進行轟炸，幹擾正常的(de)短(duǎn)信下發，浪費短(duǎn)信費用（一(yī)般幾分錢一(yī)條，但是量多了之後花錢也不少，而非正常的(de)短(duǎn)信下發極容易被渠道(dào)提供商或者運營商封掉号碼，造成更大損失）。攻擊者可(kě)能利用腳本自(zì)動調用平台短(duǎn)信驗證接口，造成短(duǎn)信渠道(dào)被異常關停。對于驗證碼風險：可(kě)以采取以下幾種方式來解決：

『發送驗證碼前進行人機驗證』：在用戶操作獲取『短(duǎn)信驗證碼』功能前，設置圖形驗證碼或滑動驗證碼等人機驗證措施，識别機器人自(zì)動操作。『請求限制』：同一(yī)IP或同一(yī)手機在一(yī)定時間內(nèi)請求驗證碼達到上限将限制該IP或手機号的(de)請求，再次請求時僅在客服後台記錄但不發送，用戶需緻電客服，獲取驗證碼。（比如(rú)單個IP在一(yī)分鍾內(nèi)最多請求5次，24小時內(nèi)最多請求30次。單一(yī)手機号在90s內(nèi)隻能請求一(yī)次，24小時內(nèi)最多請求10次，确定這個策略要經過完整的(de)調研，不應因為(wèi)為(wèi)了安全而造成用戶的(de)極度不便。）『短(duǎn)信路由』：采取『短(duǎn)信路由』方式，主要是為(wèi)了在保證短(duǎn)信的(de)通達率和(hé)發送成本間達成平衡。因為(wèi)不同的(de)短(duǎn)信服務商的(de)價格、條款和(hé)通達率不同，因此不同類型的(de)短(duǎn)信下發由不同通道(dào)來完成，同時互為(wèi)備份。對營銷短(duǎn)信、驗證碼短(duǎn)信、用戶資金提醒短(duǎn)信進行了分類，通過不同的(de)短(duǎn)信渠道(dào)進行下發，相互之間互不影響。另外，還可(kě)以采用語言驗證碼功能，在用戶多次請求（比如(rú)3次）驗證碼失敗後，可(kě)以選擇語音驗證碼來進行驗證。『充分利用短(duǎn)信服務商的(de)各種服務』：如(rú)短(duǎn)信業務量監控和(hé)IP白名單等方式，對于非正常的(de)短(duǎn)信使用做(zuò)到早發現，早排查。

登錄

對于登錄的(de)風險點來說，主要防止刷庫撞庫、暴力破解、可(kě)疑登錄等問題。可(kě)以采取以下方式：

『單點登錄』：顧名思義，僅允許用戶在一(yī)台設備上登錄網站/App，如(rú)果同時出現兩個登錄行為(wèi)，則後一(yī)個登錄行為(wèi)會令上一(yī)個登錄行為(wèi)失效，同時上一(yī)個登錄設備以及用戶綁定的(de)微信号上會進行相關風險提示。『地(dì)址栅欄』：通過接入『淘寶IP庫』或『IPIP』等免費/付費的(de)IP地(dì)址庫，記錄用戶的(de)常用登錄地(dì)址。通過每次比對用戶當前登錄地(dì)和(hé)常用登錄地(dì)，對異地(dì)登錄通過短(duǎn)信、微信公衆号提醒用戶。『人機識别』：為(wèi)應對刷庫撞庫、暴力破解等問題，還可(kě)以采用異常情況下的(de)出現圖形驗證碼、滑動驗證碼等人機識别措施。『建立設備指紋庫』：通過采集用戶設備指紋信息，可(kě)以監控來自(zì)同一(yī)用戶的(de)攻擊，同時還可(kě)以及時預判潛在風險，為(wèi)後續風控提供信息。『移動端解鎖』：在移動端App，為(wèi)了在确保安全的(de)同時提升用戶的(de)使用體驗，可(kě)以使用基于指紋、圖形繪制的(de)解鎖方案。對于Android App，隻有在Android 6.0以上的(de)版本才有指紋識别功能（不排除某些廠家的(de)定制系統就加入了指紋識别），因此Android的(de)指紋識别開發成本較大。在産品設計時應該予以考慮。『密碼鎖定』：在密碼多次輸入錯誤後，将賬号臨時鎖定，不允許進行登錄操作。這一(yī)點可(kě)以有效防止暴力破解。比如(rú)：登錄時連續輸入錯誤密碼4次，則限制該賬号30分鍾不能登錄。平台信息安全

七分靠管理(lǐ)，三分靠技術

『七分靠管理(lǐ)，三分靠技術』是網絡安全領域的(de)一(yī)句至理(lǐ)名言。意思是網絡安全中的(de)30%依靠計算機系統信息安全設備和(hé)技術保障，而70%則依靠用戶安全管理(lǐ)意識的(de)提高(gāo)以及管理(lǐ)模式的(de)更新。對于信息安全也是如(rú)此。制定完整可(kě)執行的(de)管理(lǐ)措施并嚴格遵守，才能在最大程度上保障信息安全。

不怕對手技術強大，就怕對手在你身邊。為(wèi)了應對可(kě)能發生的(de)“卧底事件”，需要對後台采取了嚴格的(de)等級權限管理(lǐ)模式，比如(rú)在我設計的(de)産品中，就采用基于RBAC的(de)權限管控方案。不同人員被授權不同的(de)角色，不同的(de)角色對應不同的(de)權限。不同權限對應不同可(kě)以查詢到的(de)數據信息。同時，網絡安全和(hé)開發團隊還會定期對後台操作記錄及服務器日志進行安全審計，避免出現最近爆出來的(de)某二手車平台的(de)“間諜門”事件發生。

防爬蟲抓取

太陽下無新鮮事，網絡中無隐私。要注意防範對手通過網絡爬蟲等方式對平台數據進行抓取。這裏我借鑒過一(yī)些電商平台的(de)解決方案：（對于爬蟲，我所能想到的(de)就是盡量增加爬取者的(de)成本，至于完全杜絕，我還真的(de)沒有想到。）

『控制單IP/賬号的(de)頻率』：一(yī)般來說，幾萬 ip 差不多是一(yī)般的(de)爬蟲團隊所能掌握的(de)極限了，所以一(yī)個ip肯定需要多次請求服務器，賬号同理(lǐ)。通過控制爬取速度，延長(cháng)爬蟲爬完全部數據的(de)時間，增加其時間成本（同樣也是資金成本）。『控制爬取策略』：通過對訪問概況和(hé)用戶行為(wèi)進行分析，對于一(yī)些異常訪問加以重視(shì)，并進行限制

編輯:--ns868