區域銀行如何實現金融科技彎道超車
區域銀行如何實現金融科技彎道超車
中關村科技金融服務中心
三大敏捷技術架構
1、彈性解耦的應用接入架構。在對公以及同業業務對經營貢獻減少的情形下,區域商業銀行需要增強移動App的線上獲客能力,建設時刻在線的銀行。通過立足地緣優勢,打造符合本地特色的綜合金融服務平台。這些業務的典型特點是流量的不确定性。傳統縱向擴容方式的接入區設計是通過預估一定時間内的接入容量,采用固定或具備一定縱向擴容能力的設備,并将這些不同能力的設備通過串行的方式連接起來。這樣的架構難以适應新型業務,一旦業務側通過線上開展某種促銷活動,接入區的防火牆、負載均衡器、應用防火牆都有可能成爲突發流量的瓶頸。應根據功能分層,通過解耦的思想重新設計爲分層池化的接入區。典型結構包含:四層流量接入層,TLS/國密加解密池,基于七層技術的流量調度層,安全防護池,七層業務策略層。四層流量接入層應同時考慮自身的橫縱雙向擴展能力,各層均需要提供負載均衡能力以實現下一層的水平擴展。通過這樣的分層設計,可以解決流量的彈性擴容能力。基于七層的流量調度層可以爲跨區域或跨中心流量調度提供更好的規則能力。基于七層的業務策略層則爲敏捷應用所需的複雜應用交付策略提供了一個解耦的分界,應用人員可以通過該層的API接口實現更加敏捷的業務發布策略。
2、彈性擴展的分布式架構。在接入區實現彈性可擴展架構後。應用本身也需要能夠滿足流量突發的訴求。傳統的巨石應用難以滿足業務的突發性需求,即便是基于ESB的宏應用也受制于複雜龐大的ESB而無法快速擴展。每一次擴容往往需要經曆較長的準備和變更周期。無法支撐業務快速發展的訴求。分布式技術的核心是通過将組件運行在不同計算機上,彼此之間通過網絡構成通信關系,組件之間通過協調實現統一的服務。其關鍵組件包含分布式計算、分布式消息中間件、分布式緩存、分布式數據庫以及分布式存儲。分布式架構中需要依賴更好的應用交付技術來幫助各個組件單元實現冗餘,更好的協調和保障可靠的網絡通信,實現會話狀态的一緻性。因此,類如NGINX等開源軟負載産品被大量應用在分布式計算、分布式數據庫、分布式存儲之前。大型商業銀行由于自身具有較強的人員與技術儲備,對開源類産品具有較好的把控能力。但是,對于區域銀行來說,應合理考慮引入開源産品服務支持或采用商業化産品替代,以預防技術運行風險。
3、敏捷高效的雲原生架構。僅僅具備更好的彈性能力還不足以幫助實現更好的業務轉型。爲了更好的獲取客戶,吸收存款,區域銀行應該更加注重從服務“客戶”到服務“用戶”的轉變。充分發揮本地優勢,通過将金融服務融入到具有本地特色的場景化活動當中,例如地方性企業社保、水電氣繳費、公積金存取,以及地方大中型券商合作理财業務等。這些都要求區域商業銀行需要具備更好的業務組裝能力,實現業務敏捷化。在資管新規下,區域銀行可借助設立理财子公司并快速推出多樣性理财産品來搶占轉型先機。微服務架構能夠有力支撐這樣的業務敏捷性需求。借此契機,區域銀行應加快 PaaS平台以及API平台的建設。PaaS系統的建設涉及到多個技術部門,作爲基礎架構能力平台,其網絡方案、應用發布方案往往關系到應用開發與傳統應用遷移過程中的特殊訴求。科技部門應在PaaS網絡、應用服務對外發布、應用可觀測、應用東西向流量治理、微服務應用安全等方面充分與成熟可靠的應用交付技術廠商進行探讨。
區域商業銀行從傳統的城市信用社、農村信用社發展而來,IT系統具有較大的曆史包袱。應用具備多種形态,不同應用的接口以及開放能力均不同。場景化金融将金融服務從傳統的顯式服務轉變爲隐式服務。API是這其中的關鍵技術。因而,構建全行級API平台是區域商業銀行将API從一個标準技術向API經濟思維轉變的關鍵。借助應用交付技術構建統一的開放API調和平台層能夠幫助屏蔽不同應用接口、不同技術平台之間的技術差異,實現統一接口技術,從而有利于業務的快速連接。借助應用交付技術還可以使用統一API管理策略實現API全生命周期管理,以及精細化API安全防護。
兩個大數據平台
1、運營大數據平台。區域商業商行的定位是服務本地中小企業,發展小微金融。然而,中小企業往往财務制度不健全,特别是小微企業或個體戶,其經營過程往往免稅或無發票記錄。銀行業信息中往往缺少此類客戶的數據,通過國家統一征信數據也不能完全反應其信用狀态。這導緻區域商業銀行在放貸過程中存在較高的風險。傳統模式下,區域商業銀行不得不通過人工審核的方式來規避信貸風險,這極大的拖慢了業務的發展。區域商業銀行一方面應積極利用外部數據平台以彌補自身數據平台的數據缺失,對接地方征信、運營商、第三方支付、地方企業社保、公積金、稅務、司法、水電氣數據來獲取企業關鍵經營數據以實現更加精準的小微企業畫像,借此實現更快速的信貸審批與發放,更好的發展普惠金融。另一方面,需打破行内系統數據壁壘,沉澱場景金融活動中獲得的用戶數據,借助應用交付技術留存應用訪問路徑中的關鍵訪問行爲數據。構建統一的企業數據倉庫并對數據進行治理。實現知道數據有什麽、數據在哪裏、數據怎麽用。充分發揮數據價值,向數據驅動業務模式轉型。
2、運維大數據平台。面對時刻在線的銀行業務需求,如何保障業務連續性是科技運維人員的重要KPI。區域商業銀行科技力量相對薄弱,運維過程中往往停留在傳統的監控層面,缺少對運維數據的分析與治理。相對應用人員,在故障處置過程中,網絡人員往往缺乏話語權,無法以量化的數據及時反映生産活動中的故障。在業務的訪問路徑中存在衆多的關鍵設備節點,可以通過這些節點的能力将用戶訪問行爲數據對接到運維大數據平台中。對這些數據加以分析來洞察應用運行狀态,在客戶投訴之前預警問題。提升用戶體驗,減少攜款轉網的發生。相對于通過網絡數據捕包方式,利用業務訪問路徑鏈條上的應用交付設備獲取訪問行爲數據具有數據量更小,數據更精細,捕捉延遲更小以及具有流式數據的特點,非常适合流式大數據的采集。
三條應用安全路徑
1、從遠離應用向靠近應用。傳統的應用安全防護思維是假設在應用訪問邊界構建足夠強壯的安全屏障。但随着開放API,流量加密以及微服務架構的應用,開源産品的大量使用,“馬奇諾防線”開始失效,攻擊更加容易滲透到應用内部并形成較大的爆炸半徑。應用防護的部署位置需要更加靠近應用才能更好的保護應用。傳統應用安全策略的思維是假設應用不太頻繁變化,策略的收斂及變化頻度都很低。而業務的快速組裝需求則需要更加頻繁的應用變化與發版,傳統穩态的策略思想不再适應新應用保護訴求。因此,應用保護策略需要更加動态,更加面向不同應用、不同API,更加精細化。基于每應用或每API的安全策略能夠更好的适應上述變化,這也需要将應用保護策略部署在更加靠近應用的位置。部署位置及部署策略的增多會大大增加運維成本。通過在反向代理類軟件上附加輕量級軟件安全組件可降低部署數量及位置帶來的複雜性。采用具有高精度,低誤報,低人工維護,并擁有AI學習能力的軟件安全産品能夠有效降低動态策略帶來的運維成本。在敏捷業務的訴求下,此類輕量級安全産品還應具有和持續集成持續發布相融合的API接口以及聲明式策略的部署方式。
2、從單向防護變爲網格防護。無論是采用分布式系統架構還是微服務架構,服務之間的通信都将急劇增多。特别是在微服務架構下,服務通信呈現網格化趨勢。當攻擊者通過某個薄弱環節滲透到内部後,傳統南北單向安全防護的體系無法避免攻擊者橫向移動。區域城商行的應用系統往往依賴外部服務商提供,應用自身安全性薄弱。橫向移動極易造成巨大的安全威脅。一方面,安全人員應采取上述提及的将安全防護組件部署在更加靠近應用的位置。另一方面,應采用更加高效和具有靈活部署能力的蜜網類産品,結合蜜罐,構建從低交互到高交互以及靈活蜜罐引流的網格誘捕體系。将單方向防護轉化爲網格化防護,能夠更好的在現代應用架下保護應用安全。安全部門不再是金融科技彎道超車過程中的制約點。
3、從固定結構轉變爲編排結構。伴随國内多輪安全攻防活動的舉行,銀行安全防護從合規型轉化到更具實戰型。安全部門由此在南北流量路徑上部署種類繁多的安全産品:IDS/IPS、WAF、機器人流量防禦、動态混淆防禦、文件檢測、反欺詐、防洩漏等等。這些安全産品在應用訪問路徑上的簡單疊加不但會導緻跳數與訪問延遲的增加,還會導緻網絡結構複雜度升高,不利于構建更加動态彈性的接入架構。不同安全産品亦具有不同的功能形态,不同業務也不必經過所有安全設備。例如文件上傳流量需經過ICAP類設備進行文件檢測,Web訪問流量需經過WAF,郵件流量需經過深度包檢測設備等。這些不同的訴求需要靈活的流量調度能力,可以基于TCP五元組或應用層信息等。借助這樣的編排思想,将這些安全設備按照應用維度進行靈活調度與編排能夠有效優化安全架構。需要注意的是,安全編排調度由于要求深度的内容檢測以及TLS加解密,因此該類産品應具有較強的縱向擴容能力,同時其本身也應能夠與外部負載均衡器配合實現水平彈性擴展。
總體來說,植根當地特色,服務中小企業,發展普惠金融是區域商業銀行實現錯位競争格局的關鍵。科技需與金融業務融合,大力引入互聯網思維,積極構建敏捷安全的技術架構方能實現區域商業銀行金融科技彎道超車,最終實現科技賦能業務轉型。
請先 登錄後發表評論 ~