“事故金字塔”理論下網(wǎng)貸行業(yè)的安全性分析作者：特易貸 海因里希的“安全金字塔”理論告訴我們一個(gè)道理，加強(qiáng)日常的細(xì)節(jié)管理，是預(yù)防事故、達(dá)到安全的最好保障，也就是我們古語中說的“防

“事故金字塔”理論下網(wǎng)貸行業(yè)的安全性分析

作者：特易貸 海因里希的“安全金字塔”理論告訴我們一個(gè)道理，加強(qiáng)日常的細(xì)節(jié)管理，是預(yù)防事故、達(dá)到安全的最好保障，也就是我們古語中說的“防患于未然”。網(wǎng)貸行業(yè)的安全細(xì)節(jié)主要包括技術(shù)保障、風(fēng)險(xiǎn)控制、團(tuán)隊(duì)管理這三個(gè)方面。當(dāng)諸多網(wǎng)貸公司跑路、倒閉的時(shí)候，仍然有一些正規(guī)的、頗具競(jìng)爭(zhēng)力的P2P 公司存活下來并持續(xù)成長著。他們的安全性在哪里？

一、網(wǎng)貸行業(yè)的安全因素

網(wǎng)貸行業(yè)的安全性何在？在諸多網(wǎng)貸企業(yè)跑路的同時(shí)，也有一些安全穩(wěn)定性偏高的，比如人人貸、拍拍貸、開鑫貸，包括一些正在規(guī)模化的后起之秀，特易貸就是其中之一。從這些網(wǎng)貸公司的操作流程中不難看出，有三大因素支撐著廣大客戶對(duì)網(wǎng)貸行業(yè)的信任和擁護(hù)，分別是技術(shù)保障、風(fēng)控體系和管理團(tuán)隊(duì)。

（一）技術(shù)保障

由于網(wǎng)貸行業(yè)的特殊操作方式，一個(gè)P2P 公司同時(shí)也是一個(gè)互聯(lián)網(wǎng)公司。網(wǎng)貸的操作流程主要借助互聯(lián)網(wǎng)的優(yōu)勢(shì)，可以足不出戶地完成貸款申請(qǐng)的各項(xiàng)步驟，包括了解各類貸款的申請(qǐng)條件，準(zhǔn)備申請(qǐng)材料，一直到遞交貸款申請(qǐng)，都可以在互聯(lián)網(wǎng)上高效地完成?；ヂ?lián)網(wǎng)的虛擬特征同時(shí)隱含了其存在不安全的因素，比如投資人的資金安全、客戶隱私安全、一些數(shù)據(jù)安全都存在風(fēng)險(xiǎn)。要解決這些風(fēng)險(xiǎn)，就要首

先在技術(shù)上規(guī)避風(fēng)險(xiǎn)，修復(fù)漏洞，沒有技術(shù)保障的網(wǎng)貸模式就如同缺少機(jī)翼的飛機(jī)，斷了線的風(fēng)箏，根本飛不起來。

網(wǎng)貸行業(yè)的技術(shù)保障主要涉及網(wǎng)絡(luò)安全技術(shù)保障。自2006 年3 月1 日開始施行的《互聯(lián)網(wǎng)安全保護(hù)技術(shù)措施規(guī)定》，主要是針對(duì)互聯(lián)網(wǎng)網(wǎng)絡(luò)安全和信息安全、防范違法犯罪制定的技術(shù)設(shè)施和技術(shù)方法。提到網(wǎng)絡(luò)安全，不難想到的是黑客入侵、防火墻、病毒、“人肉”等一些破壞性詞匯?，F(xiàn)代大多數(shù)人警惕性強(qiáng)，敏感度高，所以總體來說“安全”意識(shí)還是比較強(qiáng)的，但由于缺乏系統(tǒng)的網(wǎng)絡(luò)知識(shí)，只存在安全意識(shí)，缺少安全系數(shù)是普遍現(xiàn)象。現(xiàn)在的電腦上一般都會(huì)裝一些殺毒軟件、防火墻技術(shù)，互聯(lián)網(wǎng)行業(yè)需要做的更多，特別是涉及到金融產(chǎn)品的交易，網(wǎng)絡(luò)技術(shù)安全尤其重要。

（二）風(fēng)控體系

風(fēng)控是網(wǎng)貸行業(yè)的關(guān)鍵環(huán)節(jié)，風(fēng)控體系是否健全將直接影響到客戶對(duì)平臺(tái)的信任，關(guān)系著網(wǎng)貸平臺(tái)的可持續(xù)性發(fā)展。客戶通常無法為自己做風(fēng)險(xiǎn)控制，只能寄希望于比較正規(guī)的機(jī)構(gòu)來幫他做參考。比較靠譜的風(fēng)控體系應(yīng)當(dāng)是在貸前盡職調(diào)查，在借貸審批環(huán)節(jié)需要通過復(fù)審或者三審的流程才能批準(zhǔn)，貸后管理也是關(guān)鍵環(huán)節(jié)，需要借助先進(jìn)系統(tǒng)和大數(shù)據(jù)技術(shù)，在自動(dòng)化、高效率和規(guī)?；矫鎸?shí)現(xiàn)突破。在德國流行一種IPC 微貸技術(shù)，它是指微小企業(yè)信貸技術(shù)，主要是以微小企業(yè)貸款業(yè)務(wù)為主的銀行提供一體化咨詢服務(wù)，進(jìn)而為微小企業(yè)提供融資。這種微貸技術(shù)包括三個(gè)部分：考察借款人還貸能力，衡量借款人還貸意愿以及銀行內(nèi)部操作風(fēng)險(xiǎn)控制，這應(yīng)當(dāng)說是到目前為止較

為先進(jìn)的信貸技術(shù)，力求從各個(gè)環(huán)節(jié)把貸款的風(fēng)險(xiǎn)降到最低。

（三）管理團(tuán)隊(duì)

團(tuán)隊(duì)是一個(gè)公司的核心力量，公司成敗與否在很大程度上取決于團(tuán)隊(duì)管理。團(tuán)隊(duì)管理就是透過團(tuán)隊(duì)成員互動(dòng)的過程，彼此集思廣益、凝聚共識(shí)、并形成成敗休戚與共的情感，以促進(jìn)組織成為高效能組織的一種管理方式。隨著公司規(guī)模擴(kuò)大，工作的復(fù)雜性日益增多，很多工作實(shí)難靠個(gè)人獨(dú)立完成，必須有賴于團(tuán)隊(duì)合作才能發(fā)揮力量。一個(gè)管理團(tuán)隊(duì)要發(fā)揮最大效能，要會(huì)充分運(yùn)用成員專長，鼓勵(lì)成員參與及相互合作，致力于公司發(fā)展。

團(tuán)隊(duì)建立適當(dāng)與否，直接影響團(tuán)隊(duì)管理成效。為發(fā)揮團(tuán)隊(duì)管理的效果，每位成員須要把握自己扮演的角色和承擔(dān)的責(zé)任，前提是公司要明確職責(zé)體系和權(quán)責(zé)劃分。人員整合在整體上體現(xiàn)為部門整合，部門劃分是否合理，崗位職責(zé)設(shè)置是否明晰，直接關(guān)系到人員招聘、人員關(guān)系和部門績效。只有明確部門和崗位設(shè)置，才知道是否有招聘需求，保證因事設(shè)崗，因崗定人；只有每位成員了解自己的職責(zé)和扮演的角色，才能提高工作效率，達(dá)成各階段的工作目標(biāo)。

二、拾起網(wǎng)貸安全的“細(xì)節(jié)”

海因里?！鞍踩鹱炙毕碌氖鹿暑A(yù)防原理告訴我們，細(xì)節(jié)決定成敗。網(wǎng)絡(luò)管理人員的安全意識(shí)差、防火墻存在缺口、安全加密技術(shù)不夠成熟、風(fēng)控沒有形成一個(gè)穩(wěn)健的流程體系、團(tuán)隊(duì)配備不齊全、整體效率低下、責(zé)任意識(shí)不強(qiáng)等一些不安全行為和狀態(tài)的存在，每個(gè)不

安全行為和狀態(tài)都會(huì)引發(fā)一個(gè)、多個(gè)或輕微或嚴(yán)重的事故，多個(gè)輕微或嚴(yán)重事故匯集起來就是一個(gè)重大事故的隱患。為了規(guī)避風(fēng)險(xiǎn)，就要抓好日常管理的每一個(gè)細(xì)節(jié)。

（一）加強(qiáng)技術(shù)保障

1. 安裝SSL 安全證書

這里有必要對(duì)SSL 做一個(gè)簡(jiǎn)單的介紹。Secure socket layer(SSL)協(xié)議最初由Netscape 企業(yè)發(fā)展，現(xiàn)已成為網(wǎng)絡(luò)用來鑒別網(wǎng)站和網(wǎng)頁瀏覽者身份，以及在瀏覽器使用者及網(wǎng)頁服務(wù)器之間進(jìn)行加密通訊的全球化標(biāo)準(zhǔn)。SSL 證書可以實(shí)現(xiàn)2 個(gè)基本功能，一是數(shù)據(jù)傳輸加密，二是服務(wù)器身份證明。我們通常的互聯(lián)網(wǎng)訪問、瀏覽都是基于標(biāo)準(zhǔn)的TCP/IP 協(xié)議，內(nèi)容以數(shù)據(jù)包的形式在網(wǎng)絡(luò)上傳遞。由于數(shù)據(jù)包內(nèi)容沒有進(jìn)行加密，任何截獲數(shù)據(jù)包的人都可以取得其中的內(nèi)容。那么數(shù)據(jù)包中如果傳遞的是用戶名、密碼或其他個(gè)人隱私資料就很容易被別人竊取。SSL 可以在用戶使用的客戶端（如：瀏覽器）和服務(wù)器之間建立一個(gè)加密的通道，所有在網(wǎng)絡(luò)上傳輸?shù)臄?shù)據(jù)都會(huì)先進(jìn)行加密，當(dāng)傳輸?shù)侥康牡匾院笤龠M(jìn)行解密，這樣傳輸過程中即時(shí)數(shù)據(jù)包被截獲，也很難破解其中的內(nèi)容。

目前，仿冒網(wǎng)站成為互聯(lián)網(wǎng)使用中的嚴(yán)重威脅。仿冒者可以制作一個(gè)與真實(shí)網(wǎng)站完全一樣的界面，并且采用相似的域名引導(dǎo)用戶訪問。如：真實(shí)的某某銀行網(wǎng)址為www.XXX.xxx 。而仿冒者使用了一個(gè)相似的域名：www.0XXX.xxx ，字母i 換成了數(shù)字1，如果使用者不加 注意，很容易上當(dāng)。一旦在仿冒網(wǎng)站的使用過程中輸入了帳號(hào)密碼等

信息，就會(huì)被仿冒網(wǎng)站記錄，進(jìn)而被冒用，威脅用戶的帳戶安全。SSL 服務(wù)器證書可以有效地證明網(wǎng)站的真實(shí)身份、使用的域名的合法性，讓使用者可以很容易識(shí)別真實(shí)網(wǎng)站和仿冒網(wǎng)站?，F(xiàn)在的SSL 服務(wù)器證書在申請(qǐng)的時(shí)候都會(huì)通過嚴(yán)格的審查手段對(duì)申請(qǐng)者的身份進(jìn)行確認(rèn)，用戶在訪問網(wǎng)站的時(shí)候可以看到證書的內(nèi)容，其中包含網(wǎng)站的真實(shí)域名、網(wǎng)站的所有者、證書頒發(fā)組織等信息。瀏覽器也會(huì)給出相應(yīng)的安全標(biāo)識(shí)，讓訪問者可以放心使用。

2. 使用不可逆的安全加密技術(shù)

以數(shù)據(jù)加密為基礎(chǔ)的網(wǎng)絡(luò)安全系統(tǒng)的特征是：通過對(duì)網(wǎng)絡(luò)數(shù)據(jù)的可靠加密來保護(hù)網(wǎng)絡(luò)系統(tǒng)中（包括用戶數(shù)據(jù)在內(nèi)）的所有數(shù)據(jù)流，從而在網(wǎng)絡(luò)環(huán)境作任何特殊要求的前提下，從根本上解決了網(wǎng)絡(luò)安全的兩大要求（即網(wǎng)絡(luò)服務(wù)的可用性和信息的完整性）。簡(jiǎn)單來說，就是通過加密技術(shù)技術(shù)防止網(wǎng)絡(luò)系統(tǒng)中數(shù)據(jù)外泄，保護(hù)數(shù)據(jù)安全。一般加密技術(shù)可以分為對(duì)成型加密、不對(duì)成型加密、不可逆加密。特易貸網(wǎng)絡(luò)平臺(tái)上使用的是不可逆加密算法，即用戶設(shè)置密碼以后，網(wǎng)站管理人員也無法解密。也就是說，用戶名和密碼只有網(wǎng)站用戶自己知道，即使有一天用戶的登陸密碼被他身邊的某個(gè)人知道了，他也無法修改真實(shí)姓名和綁定的銀行卡號(hào)，錢還是牢牢地掌控在用戶自己手里。

3. 增強(qiáng)內(nèi)部人員的安全意識(shí)

軟件類的技術(shù)設(shè)置在某種程度上不能算是很強(qiáng)大的，因?yàn)槿藛T才是最大的技術(shù)保障。人的意識(shí)影響他的行為習(xí)慣，因此要強(qiáng)化內(nèi)部人員特別是網(wǎng)絡(luò)管理人員的安全意識(shí)、保密意識(shí)。作為互聯(lián)網(wǎng)金融產(chǎn)業(yè)，

交易的產(chǎn)品跟資金有關(guān)，特易貸公司要求每位員工簽署保密協(xié)議，協(xié) 議規(guī)定“不得向任何第三方披露甲方的保密內(nèi)容”（包括技術(shù)信息、經(jīng)營信息、管理信息、涉及法律的信息以及其他秘密信息），特易貸員工手冊(cè)規(guī)定“不得安裝與工作無關(guān)的軟件，不得安裝未經(jīng)批準(zhǔn)的軟件”。

（二）健全風(fēng)控體系

任何一個(gè)網(wǎng)貸公司都有自己的風(fēng)控人員，因?yàn)檫@直接關(guān)系到客戶對(duì)平臺(tái)的信任度。一般來說，風(fēng)控體系的層次感越強(qiáng)，越能給人可靠感；實(shí)際上風(fēng)控審核的層次并不是越多越好，層次多了，意見沖突越大，將直接影響風(fēng)控審核的效率，給客戶帶來不便。通常審核都要經(jīng) 過初審和復(fù)審，特易貸的審核則需要通過三道程序，從本地業(yè)務(wù)員初選到落地風(fēng)控的初步審核，再到總部專家組復(fù)審，為客戶提供三重資金安全保障。“特易貸堅(jiān)持發(fā)掘優(yōu)質(zhì)借款人和嚴(yán)格風(fēng)控的理念，不走寬審核和高利息、覆蓋不良的傳統(tǒng)借貸路線”，這是他們平臺(tái)上的一 句話，可以看出，制度化、流程化、系統(tǒng)化地開展業(yè)務(wù)是P2P 公司風(fēng)控體系的大方向。

（三）提升團(tuán)隊(duì)能力

團(tuán)隊(duì)是任何一個(gè)公司運(yùn)營的基礎(chǔ)，團(tuán)隊(duì)能否搭建完成往往決定著一個(gè)公司的成敗。要搭建一個(gè)團(tuán)隊(duì)，不僅包括各方面人員要配備齊全，還需要各方面人員能力的配合。日常的團(tuán)隊(duì)管理也很重要，團(tuán)隊(duì)的管理模式是否能夠激勵(lì)員工、留住人才，是否能夠避免競(jìng)爭(zhēng)式?jīng)_突，形

成有效的決策模式，是否能夠建立起合作式的企業(yè)氛圍和企業(yè)文化，將影響到一個(gè)創(chuàng)業(yè)團(tuán)隊(duì)的成敗。