区域银行如何实现金融科技弯道超车
区域银行如何实现金融科技弯道超车
中关村科技金融服务中心
三大敏捷技术架构
1、弹性解耦的应用接入架构。在对公以及同业业务对经营贡献减少的情形下,区域商业银行需要增强移动App的线上获客能力,建设时刻在线的银行。通过立足地缘优势,打造符合本地特色的综合金融服务平台。这些业务的典型特点是流量的不确定性。传统纵向扩容方式的接入区设计是通过预估一定时间内的接入容量,采用固定或具备一定纵向扩容能力的设备,并将这些不同能力的设备通过串行的方式连接起来。这样的架构难以适应新型业务,一旦业务侧通过线上开展某种促销活动,接入区的防火墙、负载均衡器、应用防火墙都有可能成为突发流量的瓶颈。应根据功能分层,通过解耦的思想重新设计为分层池化的接入区。典型结构包含:四层流量接入层,TLS/国密加解密池,基于七层技术的流量调度层,安全防护池,七层业务策略层。四层流量接入层应同时考虑自身的横纵双向扩展能力,各层均需要提供负载均衡能力以实现下一层的水平扩展。通过这样的分层设计,可以解决流量的弹性扩容能力。基于七层的流量调度层可以为跨区域或跨中心流量调度提供更好的规则能力。基于七层的业务策略层则为敏捷应用所需的复杂应用交付策略提供了一个解耦的分界,应用人员可以通过该层的API接口实现更加敏捷的业务发布策略。
2、弹性扩展的分布式架构。在接入区实现弹性可扩展架构后。应用本身也需要能够满足流量突发的诉求。传统的巨石应用难以满足业务的突发性需求,即便是基于ESB的宏应用也受制于复杂庞大的ESB而无法快速扩展。每一次扩容往往需要经历较长的准备和变更周期。无法支撑业务快速发展的诉求。分布式技术的核心是通过将组件运行在不同计算机上,彼此之间通过网络构成通信关系,组件之间通过协调实现统一的服务。其关键组件包含分布式计算、分布式消息中间件、分布式缓存、分布式数据库以及分布式存储。分布式架构中需要依赖更好的应用交付技术来帮助各个组件单元实现冗余,更好的协调和保障可靠的网络通信,实现会话状态的一致性。因此,类如NGINX等开源软负载产品被大量应用在分布式计算、分布式数据库、分布式存储之前。大型商业银行由于自身具有较强的人员与技术储备,对开源类产品具有较好的把控能力。但是,对于区域银行来说,应合理考虑引入开源产品服务支持或采用商业化产品替代,以预防技术运行风险。
3、敏捷高效的云原生架构。仅仅具备更好的弹性能力还不足以帮助实现更好的业务转型。为了更好的获取客户,吸收存款,区域银行应该更加注重从服务“客户”到服务“用户”的转变。充分发挥本地优势,通过将金融服务融入到具有本地特色的场景化活动当中,例如地方性企业社保、水电气缴费、公积金存取,以及地方大中型券商合作理财业务等。这些都要求区域商业银行需要具备更好的业务组装能力,实现业务敏捷化。在资管新规下,区域银行可借助设立理财子公司并快速推出多样性理财产品来抢占转型先机。微服务架构能够有力支撑这样的业务敏捷性需求。借此契机,区域银行应加快 PaaS平台以及API平台的建设。PaaS系统的建设涉及到多个技术部门,作为基础架构能力平台,其网络方案、应用发布方案往往关系到应用开发与传统应用迁移过程中的特殊诉求。科技部门应在PaaS网络、应用服务对外发布、应用可观测、应用东西向流量治理、微服务应用安全等方面充分与成熟可靠的应用交付技术厂商进行探讨。
区域商业银行从传统的城市信用社、农村信用社发展而来,IT系统具有较大的历史包袱。应用具备多种形态,不同应用的接口以及开放能力均不同。场景化金融将金融服务从传统的显式服务转变为隐式服务。API是这其中的关键技术。因而,构建全行级API平台是区域商业银行将API从一个标准技术向API经济思维转变的关键。借助应用交付技术构建统一的开放API调和平台层能够帮助屏蔽不同应用接口、不同技术平台之间的技术差异,实现统一接口技术,从而有利于业务的快速连接。借助应用交付技术还可以使用统一API管理策略实现API全生命周期管理,以及精细化API安全防护。
两个大数据平台
1、运营大数据平台。区域商业商行的定位是服务本地中小企业,发展小微金融。然而,中小企业往往财务制度不健全,特别是小微企业或个体户,其经营过程往往免税或无发票记录。银行业信息中往往缺少此类客户的数据,通过国家统一征信数据也不能完全反应其信用状态。这导致区域商业银行在放贷过程中存在较高的风险。传统模式下,区域商业银行不得不通过人工审核的方式来规避信贷风险,这极大的拖慢了业务的发展。区域商业银行一方面应积极利用外部数据平台以弥补自身数据平台的数据缺失,对接地方征信、运营商、第三方支付、地方企业社保、公积金、税务、司法、水电气数据来获取企业关键经营数据以实现更加精准的小微企业画像,借此实现更快速的信贷审批与发放,更好的发展普惠金融。另一方面,需打破行内系统数据壁垒,沉淀场景金融活动中获得的用户数据,借助应用交付技术留存应用访问路径中的关键访问行为数据。构建统一的企业数据仓库并对数据进行治理。实现知道数据有什么、数据在哪里、数据怎么用。充分发挥数据价值,向数据驱动业务模式转型。
2、运维大数据平台。面对时刻在线的银行业务需求,如何保障业务连续性是科技运维人员的重要KPI。区域商业银行科技力量相对薄弱,运维过程中往往停留在传统的监控层面,缺少对运维数据的分析与治理。相对应用人员,在故障处置过程中,网络人员往往缺乏话语权,无法以量化的数据及时反映生产活动中的故障。在业务的访问路径中存在众多的关键设备节点,可以通过这些节点的能力将用户访问行为数据对接到运维大数据平台中。对这些数据加以分析来洞察应用运行状态,在客户投诉之前预警问题。提升用户体验,减少携款转网的发生。相对于通过网络数据捕包方式,利用业务访问路径链条上的应用交付设备获取访问行为数据具有数据量更小,数据更精细,捕捉延迟更小以及具有流式数据的特点,非常适合流式大数据的采集。
三条应用安全路径
1、从远离应用向靠近应用。传统的应用安全防护思维是假设在应用访问边界构建足够强壮的安全屏障。但随着开放API,流量加密以及微服务架构的应用,开源产品的大量使用,“马奇诺防线”开始失效,攻击更加容易渗透到应用内部并形成较大的爆炸半径。应用防护的部署位置需要更加靠近应用才能更好的保护应用。传统应用安全策略的思维是假设应用不太频繁变化,策略的收敛及变化频度都很低。而业务的快速组装需求则需要更加频繁的应用变化与发版,传统稳态的策略思想不再适应新应用保护诉求。因此,应用保护策略需要更加动态,更加面向不同应用、不同API,更加精细化。基于每应用或每API的安全策略能够更好的适应上述变化,这也需要将应用保护策略部署在更加靠近应用的位置。部署位置及部署策略的增多会大大增加运维成本。通过在反向代理类软件上附加轻量级软件安全组件可降低部署数量及位置带来的复杂性。采用具有高精度,低误报,低人工维护,并拥有AI学习能力的软件安全产品能够有效降低动态策略带来的运维成本。在敏捷业务的诉求下,此类轻量级安全产品还应具有和持续集成持续发布相融合的API接口以及声明式策略的部署方式。
2、从单向防护变为网格防护。无论是采用分布式系统架构还是微服务架构,服务之间的通信都将急剧增多。特别是在微服务架构下,服务通信呈现网格化趋势。当攻击者通过某个薄弱环节渗透到内部后,传统南北单向安全防护的体系无法避免攻击者横向移动。区域城商行的应用系统往往依赖外部服务商提供,应用自身安全性薄弱。横向移动极易造成巨大的安全威胁。一方面,安全人员应采取上述提及的将安全防护组件部署在更加靠近应用的位置。另一方面,应采用更加高效和具有灵活部署能力的蜜网类产品,结合蜜罐,构建从低交互到高交互以及灵活蜜罐引流的网格诱捕体系。将单方向防护转化为网格化防护,能够更好的在现代应用架下保护应用安全。安全部门不再是金融科技弯道超车过程中的制约点。
3、从固定结构转变为编排结构。伴随国内多轮安全攻防活动的举行,银行安全防护从合规型转化到更具实战型。安全部门由此在南北流量路径上部署种类繁多的安全产品:IDS/IPS、WAF、机器人流量防御、动态混淆防御、文件检测、反欺诈、防泄漏等等。这些安全产品在应用访问路径上的简单叠加不但会导致跳数与访问延迟的增加,还会导致网络结构复杂度升高,不利于构建更加动态弹性的接入架构。不同安全产品亦具有不同的功能形态,不同业务也不必经过所有安全设备。例如文件上传流量需经过ICAP类设备进行文件检测,Web访问流量需经过WAF,邮件流量需经过深度包检测设备等。这些不同的诉求需要灵活的流量调度能力,可以基于TCP五元组或应用层信息等。借助这样的编排思想,将这些安全设备按照应用维度进行灵活调度与编排能够有效优化安全架构。需要注意的是,安全编排调度由于要求深度的内容检测以及TLS加解密,因此该类产品应具有较强的纵向扩容能力,同时其本身也应能够与外部负载均衡器配合实现水平弹性扩展。
总体来说,植根当地特色,服务中小企业,发展普惠金融是区域商业银行实现错位竞争格局的关键。科技需与金融业务融合,大力引入互联网思维,积极构建敏捷安全的技术架构方能实现区域商业银行金融科技弯道超车,最终实现科技赋能业务转型。
请先 登录后发表评论 ~