作為P2P產品經理,你該知道的融資端風控問題

6 評論 36349 瀏覽 176 收藏 24 分鐘

互聯網金融不同于其他的互聯網產品,其直接涉及到資金交易的屬性就要求了它對于風險管控的要求要遠遠高于其他的互聯網產品。了解互聯網金融平臺的風控基礎知識,有助于你在設計產品時對于風險點有更好的把控,做到心中有數,從容不迫。

互聯網金融的核心是金融。金融最重要的就是風險管理與風險控制。而P2P行業更是因為自身的一些特性(從業者多來自傳統民間小貸平臺或純互聯網領域)很難兼顧規模速度和風控兩者。因此作為一個P2P行業的產品經理,你要對整個平臺的風控體制有一個明確的認識,必要的時候要為你的團隊制定出合適的風控方案,甚至去反抗你的leader的一些“不靠譜”的想法。

本篇所講的『風控』并不會講出借端的『風控』,那是風控部門的主要職責,一般涉及貸端的風控系統,都是由風控部門出策略,產品部門配合。我今天要說的P2P平臺的風險控制,主要包括信息安全、資金安全、技術安全和反作弊四塊。至于其他的風控,比如出借端風控、公司內部的各種規范、相關的內審機制等,就不在本文的討論范圍內了。

風控的概念

提到風控就不得不提到『風險管理』,風險管理是一個過程,風險控制是這個過程中的一個步驟。

風險管理: 是一個管理過程,包括對風險的定義、測量、評估和發展因應風險的策略。目的是將可避免的風險、成本及損失極小化。理想的風險管理,事先已排定優先次序,可以優先處理引發最大損失及發生概率最高的事件,其次再處理風險相對較低的事件。對于風險管理來說,存在著以下的幾個步驟:風險的辨識—>風險的預測—>風險的處理(風險的控制)。我們也將通過這個步驟來梳理P2P平臺產品設計中可能會遇到的一些風險點,并提出一些解決方案方法。

今天我們要說的是一個廣義上的『風控』,既包括互聯網行業中的『信息風控』、『技術風控』、『反作弊風控』,也包括了金融行業的『出借風控』、『資金風控』。而且對于風控的一些方面還有監管層的要求。

因此對于互聯網金融產品來說,風控已經不再是一個業務和技術上的問題。這一點需要互金產品經理有一個比較明確的認識。

風控的場景

既然我們所說的是廣義上的『風控』,那到底廣義上的『風控』存在于什么地方呢?我對照自己做過的產品進行了下整理。主要包括以下領域:

信息安全

應該這么說,在資金存管的政策下,P2P平臺對于資金安全的風控壓力在逐漸減少,畢竟所有的資金都在銀行的存管體系下運營,反而是對于信息安全不管是從實際業務還是政策監管上顯得尤為重要了。因為,對于P2P平臺來說,不論是用戶、平臺還是標的的信息都需要采取強有力的風控措施來保障安全。這里需要在產品設計和開發時有預見性的針對可能出現的問題做出相應的方案,在保證信息安全的前提下提升用戶體驗。

用戶信息安全

作為用戶信息的主體,用戶賬戶的安全直接關系到平臺信息安全。又因為作為互金平臺的用戶賬戶會存儲有大量的類似身份證,銀行卡卡號等的敏感信息。如果出現用戶賬戶信息泄露,極容易誘發各種侵財案件的發生。同時對與平臺來說也是極大的打擊,甚至可以說在這里,平臺“輸不起”。

我們在產品設計的過程中,就應該預判可能發生的風險點,并同開發的同事在產品和技術的各個層面制定并完善相關解決方案。

注冊

在注冊階段,我們主要需要應對的是『機器注冊』、『人工惡意注冊』和『注冊短信被攻擊』。在這里我們可以采用以下的一些防范防范:

  • 『手機號+短信驗證碼』:通過在需要注冊手機號接收(也有上行)短信驗證碼,確保手機號是真實的。防止垃圾注冊隨便編寫虛假手機號。但目前已有接碼和打平臺,只能是增加一點(很少)的垃圾賬號注冊成本。對于驗證碼的防范將在下邊說到。
  • 『實名認證』:實名認證可以在很大程度上確保注冊用戶的真實性,同時也是政策監管的要求。一般對于實名認證的方式有兩種:一是通過專門的實名認證入口進行認證,二是依托第三方支付平臺或者銀行,在進行綁卡/開戶的同時完成。對于兩種方式的優劣,應該說各有各的優勢。第一種可以減輕用戶的心理壓力,避免引起用戶反感,進行步步引導來完成實名和綁卡,另外分開操作的話,手續費也會加倍。第二種方式顯然用戶操作更少,但是容易一起用戶反感,不過僅需支付一次手續費。所以實際選擇哪種方式要根據具體情況來制定。
  • 『基于大數據的注冊風控系統』:目前很多公司都提供了基于其自身大數據能力的『注冊風險控制解決方案』,利用其所掌握的大數據分析和技術能力,建立深度特征體系,發現虛假注冊、惡意刷單等非常正注冊行為。

短信驗證碼

對于短信驗證碼,風險點主要在于垃圾注冊和調用短信接口進行轟炸,干擾正常的短信下發,浪費短信費用(一般幾分錢一條,但是量多了之后花錢也不少,而非正常的短信下發極容易被渠道提供商或者運營商封掉號碼,造成更大損失)。攻擊者可能利用腳本自動調用平臺短信驗證接口,造成短信渠道被異常關停。對于驗證碼風險:可以采取以下幾種方式來解決:

  • 『發送驗證碼前進行人機驗證』:在用戶操作獲取『短信驗證碼』功能前,設置圖形驗證碼或滑動驗證碼等人機驗證措施,識別機器人自動操作。
  • 『請求限制』:同一IP或同一手機在一定時間內請求驗證碼達到上限將限制該IP或手機號的請求,再次請求時僅在客服后臺記錄但不發送,用戶需致電客服,獲取驗證碼。(比如單個IP在一分鐘內最多請求5次,24小時內最多請求30次。單一手機號在90s內只能請求一次,24小時內最多請求10次,確定這個策略要經過完整的調研,不應因為為了安全而造成用戶的極度不便。)
  • 『短信路由』:采取『短信路由』方式,主要是為了在保證短信的通達率和發送成本間達成平衡。因為不同的短信服務商的價格、條款和通達率不同,因此不同類型的短信下發由不同通道來完成,同時互為備份。對營銷短信、驗證碼短信、用戶資金提醒短信進行了分類,通過不同的短信渠道進行下發,相互之間互不影響。另外,還可以采用語言驗證碼功能,在用戶多次請求(比如3次)驗證碼失敗后,可以選擇語音驗證碼來進行驗證。
  • 『充分利用短信服務商的各種服務』:如短信業務量監控和IP白名單等方式,對于非正常的短信使用做到早發現,早排查。

登錄

對于登錄的風險點來說,主要防止刷庫撞庫、暴力破解、可疑登錄等問題??梢圆扇∫韵路绞剑?/p>

  • 『單點登錄』:顧名思義,僅允許用戶在一臺設備上登錄網站/App,如果同時出現兩個登錄行為,則后一個登錄行為會令上一個登錄行為失效,同時上一個登錄設備以及用戶綁定的微信號上會進行相關風險提示。
  • 『地址柵欄』:通過接入『淘寶IP庫』或『IPIP』等免費/付費的IP地址庫,記錄用戶的常用登錄地址。通過每次比對用戶當前登錄地和常用登錄地,對異地登錄通過短信、微信公眾號提醒用戶。
  • 『人機識別』:為應對刷庫撞庫、暴力破解等問題,還可以采用異常情況下的出現圖形驗證碼、滑動驗證碼等人機識別措施。
  • 『建立設備指紋庫』:通過采集用戶設備指紋信息,可以監控來自同一用戶的攻擊,同時還可以及時預判潛在風險,為后續風控提供信息。
  • 『移動端解鎖』:在移動端App,為了在確保安全的同時提升用戶的使用體驗,可以使用基于指紋、圖形繪制的解鎖方案。對于Android App,只有在Android 6.0以上的版本才有指紋識別功能(不排除某些廠家的定制系統就加入了指紋識別),因此Android的指紋識別開發成本較大。在產品設計時應該予以考慮。
  • 『密碼鎖定』:在密碼多次輸入錯誤后,將賬號臨時鎖定,不允許進行登錄操作。這一點可以有效防止暴力破解。比如:登錄時連續輸入錯誤密碼4次,則限制該賬號30分鐘不能登錄。

平臺信息安全

七分靠管理,三分靠技術

『七分靠管理,三分靠技術』是網絡安全領域的一句至理名言。意思是網絡安全中的30%依靠計算機系統信息安全設備和技術保障,而70%則依靠用戶安全管理意識的提高以及管理模式的更新。對于信息安全也是如此。制定完整可執行的管理措施并嚴格遵守,才能在最大程度上保障信息安全。

不怕對手技術強大,就怕對手在你身邊。為了應對可能發生的“臥底事件”,需要對后臺采取了嚴格的等級權限管理模式,比如在我設計的產品中,就采用基于RBAC的權限管控方案。不同人員被授權不同的角色,不同的角色對應不同的權限。不同權限對應不同可以查詢到的數據信息。同時,網絡安全和開發團隊還會定期對后臺操作記錄及服務器日志進行安全審計,避免出現最近爆出來的某二手車平臺的“間諜門”事件發生。

防爬蟲抓取

太陽下無新鮮事,網絡中無隱私。要注意防范對手通過網絡爬蟲等方式對平臺數據進行抓取。這里我借鑒過一些電商平臺的解決方案:(對于爬蟲,我所能想到的就是盡量增加爬取者的成本,至于完全杜絕,我還真的沒有想到。)

  • 『控制單IP/賬號的頻率』:一般來說,幾萬 ip 差不多是一般的爬蟲團隊所能掌握的極限了,所以一個ip肯定需要多次請求服務器,賬號同理。通過控制爬取速度,延長爬蟲爬完全部數據的時間,增加其時間成本(同樣也是資金成本)。
  • 『控制爬取策略』:通過對訪問概況和用戶行為進行分析,對于一些異常訪問加以重視,并進行限制。

圖片水印處理

對于部分關鍵信息,我們還可以采用『淘寶店主』們常用的方法:打水??!多打一點,使得圖片不能被挪作他用。

標的信息安全

平臺發布標的信息準確與否直接涉及到產品運營的安全。對于標的安全,主要通過相關流程規范來完善。在產品和技術上我們可以通過以下兩種方式來確保平臺產品安全的。

  • 『多人多次多權限審核』:發布標的和滿標審核都需要不同權限的兩人以上進行審核,并需要填寫審核意見。一般會要求在審核意見里填寫產品信息。
  • 『產品發布后信息固化』:產品標的完成最終審核,上線發布后,所有信息即完成信息固化,任何權限賬號不得修改。確保產品信息唯一,安全、可靠。另外,對于借款合同,我們還依托某合同托管品臺來進行CFCA簽章認證和第三方合同托管,杜絕借款合同被篡改的可能。突然先到這一塊,如果基于『區塊鏈』的去中心化、不可篡改的特性來做,應該也很有意思。

資金安全

資金安全主要集中在兩個方面:用戶資金安全和平臺自由資金安全。這方面相輔相成,互為表里。

賬戶資金安全

對于用戶賬戶資金安全,可以采用『同卡進出』、『提現審核』、『交易密碼』和『資金托管』/『資金存管』等方式來解決。

  • 『同卡進出』:通俗的說就是你投資時綁定的是哪張銀行卡,提現也必須是同一張銀行卡,這樣做別人就沒有辦法提走你賬戶的錢。即使出現賬戶丟失、手機丟失等情況,資金也無風險。(我承認我是照搬了運營的宣傳話術……)對于用戶來說,如果丟失了銀行卡,則需要觸發很嚴格且嚴重影響用戶體驗的人工解綁卡流程完成相關換卡操作。
  • 『資金托管』/『資金存管』:通過引入第三方支付(已經不符合新規了)或銀行形成資金托管/存管系統,每一個用戶都需要在托/存管平臺開立一個獨立的托/存管賬戶。平臺不觸碰用戶資金,實現資金與平臺賬戶的獨立管理、獨立運行。
  • 『提現審核』:對于提現我們前期采用的人工手動審核,后期采用了基于自動化風控系統的自動審核機制。主要審核機制是用戶登錄IP所在地域是否與常駐地相符。另外資金托/存管平臺還會進行更加嚴格的風控審核。從而確保提現安全。
  • 『交易密碼』:通過要求用戶設置不同于登錄密碼的『交易密碼』,使『投資』、『提現』等涉及資金操作時,進行二次驗證。

平臺資金安全

對于平臺資金風險主要在流動性風險、標的逾期還賬的風險和本身跑路的風險,可以采取計提風險準備金、提現限制、避免資金錯配,杜絕資金池等方式來防范。(這屬于更高層次的風控了,簡單說一下,已經不屬于一個普通的產品經理考慮范圍了)

  • 計提風險準備金:在每一個已滿標產品的服務費中,可以提取一部分作為風險準備金,專門用于在一定額度內應對因逾期或壞賬對投資用戶造成的損失。(但是這一點在)
  • 提現限制:這一點主要針對的是短時間擠兌的風險。對于這一點因為同卡進出的緣故在我們的平臺上風險較小。我們在設計時僅根據銀行卡本身的限制進行限制。后期更換了托管和存管系統后,更不存在這個問題。
  • 杜絕資金錯配:這一點也是合規性的要求,單一標的產品的期限和額度禁止的被二次拆分。
  • 杜絕資金池:這一點同樣是合規要求,我經歷過第三方支付資金托管平臺,和符合監管要求的銀行存管系統。

平臺技術安全

技術安全主要是開發的事情,但是作為一個產品經理,懂一些相應的技術,跟技術溝通起來才能更加得心應手。另外,我認為平臺技術安全是其他風險點安全的基礎。

信息傳輸安全

對于信息傳輸安全,目前一般采用的是https加密傳輸,從而保證數據傳輸過程中的安全,保護數據不受到中間人攻擊和竊取,確保數據真實、安全、私密。另外App Store也要求所有iOS的App在2017年以后將全面強制啟用https。另外在傳輸一些敏感數據時,可以采用用戶端進行加鹽加密,傳輸到后臺再解密的方式保證數據安全。

數據存儲與數據備份

在數據存儲與數據備份過程中,因為涉及到用戶的各種敏感信息(身份證,銀行卡,手機號,甚至還要用戶的身份證正反面照片,用戶手持身份證照片等)及平臺交易數據,所以數據在存儲與備份時的數據安全是重中之重。可以選擇一些非常成熟的容災備份解決方案,基本實現了準實時的同步備份,多地同融,異地備份,定時效驗,

另外,對于數據庫,還可以采用前置加密機的方式來進行加密。不明文存儲數據。

程序安全和運維安全

為了避免開發過程中的誤操作,造成網站數據損壞,開發團隊應該建立一整套代碼部署流程,所有代碼需擁有一定權限的負責人授權后,才可以部署到線上。嚴格按照流程操作可以基本避免因為誤操作造成生產環境數據損害。另外,運維人員也需要對平臺各個關鍵節點進行全天候監控。還可以通過利用采購一些網絡安全廠商的服務和解決方案等手段提升安全防護級別。

推廣運營

一個平臺需要獲得用戶、獲得投資量,必然要進行各種各樣的推廣活動,在異業合作或者平臺推廣過程中,需要運營人員在CPA\CPS\CPC\CPM等不同獲客成本中選擇最佳的獲客方式,同時也要求運營、產品和技術團隊做好相關的反作弊控制。另外,還有對于“羊毛黨”,我們的原則是歡迎高級羊毛黨(指會發生真實投資交易的羊毛黨),抵制普通羊毛黨。

反作弊

在推廣過程中,最主要的就是要制定完善的反作弊規則(當然也包括技術層次的防作弊行為)。通過對平臺贈送資金額度進行限制以及對提現設置前置條件等手段既可以有效杜絕普通羊毛黨的操作又可以促進用戶實名綁卡和投資的轉化??梢圆捎觅徺I一些『反作弊解決方案』的服務來解決這些問題。

推廣效果監控

在推廣過程中,還要重視推廣效果的監控,通過利用友盟D-PLUS、諸葛Io、GrowingIO等進行數據埋點,監測推廣效果,通過分析注冊轉化率、實名綁卡轉化率、投資轉化率、投資額度等指標區分優劣渠道。

預警機制

另外,在推廣運營過程中,還應該有預警機制,這個預警機制和運維安全控制系統在一起,對于短時間內突發大量注冊,同一IP地址頻繁注冊的行為,系統會向相關人員發送提醒。

相關閱讀

作為P2P產品經理,你應該知道的基礎知識

作為P2P PM,你應該知道的之資金操作相關

 

作者:張小璋,公眾號:互金小璋(ID:SylvainZhang)

本文由 @張小璋 原創發布于人人都是產品經理。未經許可,禁止轉載。

更多精彩內容,請關注人人都是產品經理微信公眾號或下載App
張小璋
某數據要素領域頭部企業產品負責人,公眾號:張小璋碎碎念
34篇作品 789807總閱讀量
03-312204 瀏覽
微信公開“補課”
07-282036 瀏覽
淘天要恢復狼性
12-192379 瀏覽
小紅書搜索指南:品牌如何布局?
12-122908 瀏覽
4.8萬粉、廣告報價1.2萬:中式養生“養活”95后博主
08-072429 瀏覽
企業架構13——數據處理
評論
評論請登錄

  1. 說反了吧,你明明是出借端的風控

    來自浙江 回復

  2. 好奇,那你們平臺盈利服務費的點放在了哪個環節?:)

    來自臺灣 回復

  3. 你好,我現在是一個互金PM,剛進入這個行業,想補點金融知識,請問你平時都看什么書吶?

    來自浙江 回復

    1. 關注我的號。有些基礎知識

      來自北京 回復

  4. 這個真的學習了,希望能出一篇針對【出借安全】的

    來自廣東 回復

  5. 個人認為寫的很務實,講述了很多做事的方法、但是本人發現文章中有兩處疑似錯別字的段落。望作者自查。如本人理解出錯還請見諒。

    回復