作为P2P产品经理，你该知道的融资端风控问题(2)

对于登录的风险点来说，主要防止刷库撞库、暴力破解、可疑登录等问题。可以采取以下方式：

『单点登录』：顾名思义，仅允许用户在一台设备上登录网站/App，如果同时出现两个登录行为，则后一个登录行为会令上一个登录行为失效，同时上一个登录设备以及用户绑定的微信号上会进行相关风险提示。『地址栅栏』：通过接入『淘宝IP库』或『IPIP』等免费/付费的IP地址库，记录用户的常用登录地址。通过每次比对用户当前登录地和常用登录地，对异地登录通过短信、微信公众号提醒用户。『人机识别』：为应对刷库撞库、暴力破解等问题，还可以采用异常情况下的出现图形验证码、滑动验证码等人机识别措施。『建立设备指纹库』：通过采集用户设备指纹信息，可以监控来自同一用户的攻击，同时还可以及时预判潜在风险，为后续风控提供信息。『移动端解锁』：在移动端App，为了在确保安全的同时提升用户的使用体验，可以使用基于指纹、图形绘制的解锁方案。对于Android App，只有在Android 6.0以上的版本才有指纹识别功能（不排除某些厂家的定制系统就加入了指纹识别），因此Android的指纹识别开发成本较大。在产品设计时应该予以考虑。『密码锁定』：在密码多次输入错误后，将账号临时锁定，不允许进行登录操作。这一点可以有效防止暴力破解。比如：登录时连续输入错误密码4次，则限制该账号30分钟不能登录。平台信息安全

七分靠管理，三分靠技术

『七分靠管理，三分靠技术』是网络安全领域的一句至理名言。意思是网络安全中的30%依靠计算机系统信息安全设备和技术保障，而70%则依靠用户安全管理意识的提高以及管理模式的更新。对于信息安全也是如此。制定完整可执行的管理措施并严格遵守，才能在最大程度上保障信息安全。

不怕对手技术强大，就怕对手在你身边。为了应对可能发生的“卧底事件”，需要对后台采取了严格的等级权限管理模式，比如在我设计的产品中，就采用基于RBAC的权限管控方案。不同人员被授权不同的角色，不同的角色对应不同的权限。不同权限对应不同可以查询到的数据信息。同时，网络安全和开发团队还会定期对后台操作记录及服务器日志进行安全审计，避免出现最近爆出来的某二手车平台的“间谍门”事件发生。

防爬虫抓取

太阳下无新鲜事，网络中无隐私。要注意防范对手通过网络爬虫等方式对平台数据进行抓取。这里我借鉴过一些电商平台的解决方案：（对于爬虫，我所能想到的就是尽量增加爬取者的成本，至于完全杜绝，我还真的没有想到。）

『控制单IP/账号的频率』：一般来说，几万 ip 差不多是一般的爬虫团队所能掌握的极限了，所以一个ip肯定需要多次请求服务器，账号同理。通过控制爬取速度，延长爬虫爬完全部数据的时间，增加其时间成本（同样也是资金成本）。『控制爬取策略』：通过对访问概况和用户行为进行分析，对于一些异常访问加以重视，并进行限制。

图片水印处理

对于部分关键信息，我们还可以采用『淘宝店主』们常用的方法：打水印！多打一点，使得图片不能被挪作他用。

标的信息安全

平台发布标的信息准确与否直接涉及到产品运营的安全。对于标的安全，主要通过相关流程规范来完善。在产品和技术上我们可以通过以下两种方式来确保平台产品安全的。

『多人多次多权限审核』：发布标的和满标审核都需要不同权限的两人以上进行审核，并需要填写审核意见。一般会要求在审核意见里填写产品信息。『产品发布后信息固化』：产品标的完成最终审核，上线发布后，所有信息即完成信息固化，任何权限账号不得修改。确保产品信息唯一，安全、可靠。另外，对于借款合同，我们还依托某合同托管品台来进行CFCA签章认证和第三方合同托管，杜绝借款合同被篡改的可能。突然先到这一块，如果基于『区块链』的去中心化、不可篡改的特性来做，应该也很有意思。资金安全

资金安全主要集中在两个方面：用户资金安全和平台自由资金安全。这方面相辅相成，互为表里。

账户资金安全

对于用户账户资金安全，可以采用『同卡进出』、『提现审核』、『交易密码』和『资金托管』/『资金存管』等方式来解决。

『同卡进出』：通俗的说就是你投资时绑定的是哪张银行卡，提现也必须是同一张银行卡，这样做别人就没有办法提走你账户的钱。即使出现账户丢失、手机丢失等情况，资金也无风险。（我承认我是照搬了运营的宣传话术……）对于用户来说，如果丢失了银行卡，则需要触发很严格且严重影响用户体验的人工解绑卡流程完成相关换卡操作。『资金托管』/『资金存管』：通过引入第三方支付（已经不符合新规了）或银行形成资金托管/存管系统，每一个用户都需要在托/存管平台开立一个独立的托/存管账户。平台不触碰用户资金，实现资金与平台账户的独立管理、独立运行。『提现审核』：对于提现我们前期采用的人工手动审核，后期采用了基于自动化风控系统的自动审核机制。主要审核机制是用户登录IP所在地域是否与常驻地相符。另外资金托/存管平台还会进行更加严格的风控审核。从而确保提现安全。『交易密码』：通过要求用户设置不同于登录密码的『交易密码』，使『投资』、『提现』等涉及资金操作时，进行二次验证。

平台资金安全

对于平台资金风险主要在流动性风险、标的逾期还账的风险和本身跑路的风险，可以采取计提风险准备金、提现限制、避免资金错配，杜绝资金池等方式来防范。（这属于更高层次的风控了，简单说一下，已经不属于一个普通的产品经理考虑范围了）

计提风险准备金：在每一个已满标产品的服务费中，可以提取一部分作为风险准备金，专门用于在一定额度内应对因逾期或坏账对投资用户造成的损失。（但是这一点在）提现限制：这一点主要针对的是短时间挤兑的风险。对于这一点因为同卡进出的缘故在我们的平台上风险较小。我们在设计时仅根据银行卡本身的限制进行限制。后期更换了托管和存管系统后，更不存在这个问题。杜绝资金错配：这一点也是合规性的要求，单一标的产品的期限和额度禁止的被二次拆分。杜绝资金池：这一点同样是合规要求，我经历过第三方支付资金托管平台，和符合监管要求的银行存管系统。

平台技术安全

技术安全主要是开发的事情，但是作为一个产品经理，懂一些相应的技术，跟技术沟通起来才能更加得心应手。另外，我认为平台技术安全是其他风险点安全的基础。

信息传输安全

编辑：未知