“事故金字塔”理論下網(wǎng)貸行業(yè)的安全性分析作者：特易貸 海因里希的“安全金字塔”理論告訴我們一個道理，加強日常的細節(jié)管理，是預(yù)防事故、達到安全的最好保障，也就是我們古語中說的“防

“事故金字塔”理論下網(wǎng)貸行業(yè)的安全性分析

作者：特易貸 海因里希的“安全金字塔”理論告訴我們一個道理，加強日常的細節(jié)管理，是預(yù)防事故、達到安全的最好保障，也就是我們古語中說的“防患于未然”。網(wǎng)貸行業(yè)的安全細節(jié)主要包括技術(shù)保障、風(fēng)險控制、團隊管理這三個方面。當(dāng)諸多網(wǎng)貸公司跑路、倒閉的時候，仍然有一些正規(guī)的、頗具競爭力的P2P 公司存活下來并持續(xù)成長著。他們的安全性在哪里？

一、網(wǎng)貸行業(yè)的安全因素

網(wǎng)貸行業(yè)的安全性何在？在諸多網(wǎng)貸企業(yè)跑路的同時，也有一些安全穩(wěn)定性偏高的，比如人人貸、拍拍貸、開鑫貸，包括一些正在規(guī)?；暮笃鹬?，特易貸就是其中之一。從這些網(wǎng)貸公司的操作流程中不難看出，有三大因素支撐著廣大客戶對網(wǎng)貸行業(yè)的信任和擁護，分別是技術(shù)保障、風(fēng)控體系和管理團隊。

（一）技術(shù)保障

由于網(wǎng)貸行業(yè)的特殊操作方式，一個P2P 公司同時也是一個互聯(lián)網(wǎng)公司。網(wǎng)貸的操作流程主要借助互聯(lián)網(wǎng)的優(yōu)勢，可以足不出戶地完成貸款申請的各項步驟，包括了解各類貸款的申請條件，準(zhǔn)備申請材料，一直到遞交貸款申請，都可以在互聯(lián)網(wǎng)上高效地完成?；ヂ?lián)網(wǎng)的虛擬特征同時隱含了其存在不安全的因素，比如投資人的資金安全、客戶隱私安全、一些數(shù)據(jù)安全都存在風(fēng)險。要解決這些風(fēng)險，就要首

先在技術(shù)上規(guī)避風(fēng)險，修復(fù)漏洞，沒有技術(shù)保障的網(wǎng)貸模式就如同缺少機翼的飛機，斷了線的風(fēng)箏，根本飛不起來。

網(wǎng)貸行業(yè)的技術(shù)保障主要涉及網(wǎng)絡(luò)安全技術(shù)保障。自2006 年3 月1 日開始施行的《互聯(lián)網(wǎng)安全保護技術(shù)措施規(guī)定》，主要是針對互聯(lián)網(wǎng)網(wǎng)絡(luò)安全和信息安全、防范違法犯罪制定的技術(shù)設(shè)施和技術(shù)方法。提到網(wǎng)絡(luò)安全，不難想到的是黑客入侵、防火墻、病毒、“人肉”等一些破壞性詞匯。現(xiàn)代大多數(shù)人警惕性強，敏感度高，所以總體來說“安全”意識還是比較強的，但由于缺乏系統(tǒng)的網(wǎng)絡(luò)知識，只存在安全意識，缺少安全系數(shù)是普遍現(xiàn)象?，F(xiàn)在的電腦上一般都會裝一些殺毒軟件、防火墻技術(shù)，互聯(lián)網(wǎng)行業(yè)需要做的更多，特別是涉及到金融產(chǎn)品的交易，網(wǎng)絡(luò)技術(shù)安全尤其重要。

（二）風(fēng)控體系

風(fēng)控是網(wǎng)貸行業(yè)的關(guān)鍵環(huán)節(jié)，風(fēng)控體系是否健全將直接影響到客戶對平臺的信任，關(guān)系著網(wǎng)貸平臺的可持續(xù)性發(fā)展?？蛻敉ǔo法為自己做風(fēng)險控制，只能寄希望于比較正規(guī)的機構(gòu)來幫他做參考。比較靠譜的風(fēng)控體系應(yīng)當(dāng)是在貸前盡職調(diào)查，在借貸審批環(huán)節(jié)需要通過復(fù)審或者三審的流程才能批準(zhǔn)，貸后管理也是關(guān)鍵環(huán)節(jié)，需要借助先進系統(tǒng)和大數(shù)據(jù)技術(shù)，在自動化、高效率和規(guī)?；矫鎸崿F(xiàn)突破。在德國流行一種IPC 微貸技術(shù)，它是指微小企業(yè)信貸技術(shù)，主要是以微小企業(yè)貸款業(yè)務(wù)為主的銀行提供一體化咨詢服務(wù)，進而為微小企業(yè)提供融資。這種微貸技術(shù)包括三個部分：考察借款人還貸能力，衡量借款人還貸意愿以及銀行內(nèi)部操作風(fēng)險控制，這應(yīng)當(dāng)說是到目前為止較

為先進的信貸技術(shù)，力求從各個環(huán)節(jié)把貸款的風(fēng)險降到最低。

（三）管理團隊

團隊是一個公司的核心力量，公司成敗與否在很大程度上取決于團隊管理。團隊管理就是透過團隊成員互動的過程，彼此集思廣益、凝聚共識、并形成成敗休戚與共的情感，以促進組織成為高效能組織的一種管理方式。隨著公司規(guī)模擴大，工作的復(fù)雜性日益增多，很多工作實難靠個人獨立完成，必須有賴于團隊合作才能發(fā)揮力量。一個管理團隊要發(fā)揮最大效能，要會充分運用成員專長，鼓勵成員參與及相互合作，致力于公司發(fā)展。

團隊建立適當(dāng)與否，直接影響團隊管理成效。為發(fā)揮團隊管理的效果，每位成員須要把握自己扮演的角色和承擔(dān)的責(zé)任，前提是公司要明確職責(zé)體系和權(quán)責(zé)劃分。人員整合在整體上體現(xiàn)為部門整合，部門劃分是否合理，崗位職責(zé)設(shè)置是否明晰，直接關(guān)系到人員招聘、人員關(guān)系和部門績效。只有明確部門和崗位設(shè)置，才知道是否有招聘需求，保證因事設(shè)崗，因崗定人；只有每位成員了解自己的職責(zé)和扮演的角色，才能提高工作效率，達成各階段的工作目標(biāo)。

二、拾起網(wǎng)貸安全的“細節(jié)”

海因里希“安全金字塔”下的事故預(yù)防原理告訴我們，細節(jié)決定成敗。網(wǎng)絡(luò)管理人員的安全意識差、防火墻存在缺口、安全加密技術(shù)不夠成熟、風(fēng)控沒有形成一個穩(wěn)健的流程體系、團隊配備不齊全、整體效率低下、責(zé)任意識不強等一些不安全行為和狀態(tài)的存在，每個不

安全行為和狀態(tài)都會引發(fā)一個、多個或輕微或嚴(yán)重的事故，多個輕微或嚴(yán)重事故匯集起來就是一個重大事故的隱患。為了規(guī)避風(fēng)險，就要抓好日常管理的每一個細節(jié)。

（一）加強技術(shù)保障

1. 安裝SSL 安全證書

這里有必要對SSL 做一個簡單的介紹。Secure socket layer(SSL)協(xié)議最初由Netscape 企業(yè)發(fā)展，現(xiàn)已成為網(wǎng)絡(luò)用來鑒別網(wǎng)站和網(wǎng)頁瀏覽者身份，以及在瀏覽器使用者及網(wǎng)頁服務(wù)器之間進行加密通訊的全球化標(biāo)準(zhǔn)。SSL 證書可以實現(xiàn)2 個基本功能，一是數(shù)據(jù)傳輸加密，二是服務(wù)器身份證明。我們通常的互聯(lián)網(wǎng)訪問、瀏覽都是基于標(biāo)準(zhǔn)的TCP/IP 協(xié)議，內(nèi)容以數(shù)據(jù)包的形式在網(wǎng)絡(luò)上傳遞。由于數(shù)據(jù)包內(nèi)容沒有進行加密，任何截獲數(shù)據(jù)包的人都可以取得其中的內(nèi)容。那么數(shù)據(jù)包中如果傳遞的是用戶名、密碼或其他個人隱私資料就很容易被別人竊取。SSL 可以在用戶使用的客戶端（如：瀏覽器）和服務(wù)器之間建立一個加密的通道，所有在網(wǎng)絡(luò)上傳輸?shù)臄?shù)據(jù)都會先進行加密，當(dāng)傳輸?shù)侥康牡匾院笤龠M行解密，這樣傳輸過程中即時數(shù)據(jù)包被截獲，也很難破解其中的內(nèi)容。

目前，仿冒網(wǎng)站成為互聯(lián)網(wǎng)使用中的嚴(yán)重威脅。仿冒者可以制作一個與真實網(wǎng)站完全一樣的界面，并且采用相似的域名引導(dǎo)用戶訪問。如：真實的某某銀行網(wǎng)址為www.XXX.xxx 。而仿冒者使用了一個相似的域名：www.0XXX.xxx ，字母i 換成了數(shù)字1，如果使用者不加 注意，很容易上當(dāng)。一旦在仿冒網(wǎng)站的使用過程中輸入了帳號密碼等

信息，就會被仿冒網(wǎng)站記錄，進而被冒用，威脅用戶的帳戶安全。SSL 服務(wù)器證書可以有效地證明網(wǎng)站的真實身份、使用的域名的合法性，讓使用者可以很容易識別真實網(wǎng)站和仿冒網(wǎng)站?，F(xiàn)在的SSL 服務(wù)器證書在申請的時候都會通過嚴(yán)格的審查手段對申請者的身份進行確認，用戶在訪問網(wǎng)站的時候可以看到證書的內(nèi)容，其中包含網(wǎng)站的真實域名、網(wǎng)站的所有者、證書頒發(fā)組織等信息。瀏覽器也會給出相應(yīng)的安全標(biāo)識，讓訪問者可以放心使用。

2. 使用不可逆的安全加密技術(shù)

以數(shù)據(jù)加密為基礎(chǔ)的網(wǎng)絡(luò)安全系統(tǒng)的特征是：通過對網(wǎng)絡(luò)數(shù)據(jù)的可靠加密來保護網(wǎng)絡(luò)系統(tǒng)中（包括用戶數(shù)據(jù)在內(nèi)）的所有數(shù)據(jù)流，從而在網(wǎng)絡(luò)環(huán)境作任何特殊要求的前提下，從根本上解決了網(wǎng)絡(luò)安全的兩大要求（即網(wǎng)絡(luò)服務(wù)的可用性和信息的完整性）。簡單來說，就是通過加密技術(shù)技術(shù)防止網(wǎng)絡(luò)系統(tǒng)中數(shù)據(jù)外泄，保護數(shù)據(jù)安全。一般加密技術(shù)可以分為對成型加密、不對成型加密、不可逆加密。特易貸網(wǎng)絡(luò)平臺上使用的是不可逆加密算法，即用戶設(shè)置密碼以后，網(wǎng)站管理人員也無法解密。也就是說，用戶名和密碼只有網(wǎng)站用戶自己知道，即使有一天用戶的登陸密碼被他身邊的某個人知道了，他也無法修改真實姓名和綁定的銀行卡號，錢還是牢牢地掌控在用戶自己手里。

3. 增強內(nèi)部人員的安全意識

軟件類的技術(shù)設(shè)置在某種程度上不能算是很強大的，因為人員才是最大的技術(shù)保障。人的意識影響他的行為習(xí)慣，因此要強化內(nèi)部人員特別是網(wǎng)絡(luò)管理人員的安全意識、保密意識。作為互聯(lián)網(wǎng)金融產(chǎn)業(yè)，

交易的產(chǎn)品跟資金有關(guān)，特易貸公司要求每位員工簽署保密協(xié)議，協(xié) 議規(guī)定“不得向任何第三方披露甲方的保密內(nèi)容”（包括技術(shù)信息、經(jīng)營信息、管理信息、涉及法律的信息以及其他秘密信息），特易貸員工手冊規(guī)定“不得安裝與工作無關(guān)的軟件，不得安裝未經(jīng)批準(zhǔn)的軟件”。

（二）健全風(fēng)控體系

任何一個網(wǎng)貸公司都有自己的風(fēng)控人員，因為這直接關(guān)系到客戶對平臺的信任度。一般來說，風(fēng)控體系的層次感越強，越能給人可靠感；實際上風(fēng)控審核的層次并不是越多越好，層次多了，意見沖突越大，將直接影響風(fēng)控審核的效率，給客戶帶來不便。通常審核都要經(jīng) 過初審和復(fù)審，特易貸的審核則需要通過三道程序，從本地業(yè)務(wù)員初選到落地風(fēng)控的初步審核，再到總部專家組復(fù)審，為客戶提供三重資金安全保障。“特易貸堅持發(fā)掘優(yōu)質(zhì)借款人和嚴(yán)格風(fēng)控的理念，不走寬審核和高利息、覆蓋不良的傳統(tǒng)借貸路線”，這是他們平臺上的一 句話，可以看出，制度化、流程化、系統(tǒng)化地開展業(yè)務(wù)是P2P 公司風(fēng)控體系的大方向。

（三）提升團隊能力

團隊是任何一個公司運營的基礎(chǔ)，團隊能否搭建完成往往決定著一個公司的成敗。要搭建一個團隊，不僅包括各方面人員要配備齊全，還需要各方面人員能力的配合。日常的團隊管理也很重要，團隊的管理模式是否能夠激勵員工、留住人才，是否能夠避免競爭式?jīng)_突，形

成有效的決策模式，是否能夠建立起合作式的企業(yè)氛圍和企業(yè)文化，將影響到一個創(chuàng)業(yè)團隊的成敗。