區(qū)域銀行如何實現(xiàn)金融科技彎道超車

以城市商業(yè)銀行與農(nóng)村商業(yè)銀行為主要構(gòu)成的區(qū)域性商業(yè)銀行在銀行業(yè)占有重要地位。截至2019末，我國共有134家城市商業(yè)銀行，1478家農(nóng)村商業(yè)銀行。受益于改革開放以來國家GDP高速增長紅利，2010年以前商業(yè)銀行資產(chǎn)增速較大，隨著GDP增速的放緩，商業(yè)銀行資產(chǎn)增速下降趨勢明顯。

根據(jù)銀保監(jiān)會銀行業(yè)主要指標(biāo)統(tǒng)計，無論是不良貸款率、凈利潤還是凈息差，區(qū)域商業(yè)銀行均落后于大型銀行和民營銀行。2018年發(fā)布的資管新規(guī)使得銀行無法再依賴高息保本以及結(jié)構(gòu)性存款進(jìn)行攬儲。大型、股份制商業(yè)銀行率先借助科技賦能，業(yè)務(wù)進(jìn)一步觸及其以前不太重視的區(qū)域市場。這些都使得區(qū)域商業(yè)銀行資產(chǎn)收益率進(jìn)一步降低，客戶流失嚴(yán)重。區(qū)域商業(yè)銀行借助金融科技加速業(yè)務(wù)發(fā)展與轉(zhuǎn)型迫在眉睫。

當(dāng)前金融科技門檻進(jìn)一步降低，諸多新技術(shù)在頭部銀行得以實踐，技術(shù)統(tǒng)一化及輸出趨勢明顯。在區(qū)域商業(yè)銀行重組改革加快的大背景下，區(qū)域銀行可以借鑒成熟經(jīng)驗加快自身金融科技發(fā)展。本文將從應(yīng)用交付角度的架構(gòu)、數(shù)據(jù)與安全方面來探討區(qū)域商業(yè)銀行如何實現(xiàn)金融科技彎道超車。

三大敏捷技術(shù)架構(gòu)

1 彈性解耦的應(yīng)用接入架構(gòu)

在對公以及同業(yè)業(yè)務(wù)對經(jīng)營貢獻(xiàn)減少的情形下，區(qū)域商業(yè)銀行需要增強(qiáng)移動App的線上獲客能力，建設(shè)時刻在線的銀行。通過立足地緣優(yōu)勢，打造符合本地特色的綜合金融服務(wù)平臺。這些業(yè)務(wù)的典型特點是流量的不確定性。傳統(tǒng)縱向擴(kuò)容方式的接入?yún)^(qū)設(shè)計是通過預(yù)估一定時間內(nèi)的接入容量，采用固定或具備一定縱向擴(kuò)容能力的設(shè)備，并將這些不同能力的設(shè)備通過串行的方式連接起來。這樣的架構(gòu)難以適應(yīng)新型業(yè)務(wù)，一旦業(yè)務(wù)側(cè)通過線上開展某種促銷活動，接入?yún)^(qū)的防火墻、負(fù)載均衡器、應(yīng)用防火墻都有可能成為突發(fā)流量的瓶頸。應(yīng)根據(jù)功能分層，通過解耦的思想重新設(shè)計為分層池化的接入?yún)^(qū)。典型結(jié)構(gòu)包含：四層流量接入層，TLS/國密加解密池，基于七層技術(shù)的流量調(diào)度層，安全防護(hù)池，七層業(yè)務(wù)策略層。四層流量接入層應(yīng)同時考慮自身的橫縱雙向擴(kuò)展能力，各層均需要提供負(fù)載均衡能力以實現(xiàn)下一層的水平擴(kuò)展。通過這樣的分層設(shè)計，可以解決流量的彈性擴(kuò)容能力。基于七層的流量調(diào)度層可以為跨區(qū)域或跨中心流量調(diào)度提供更好的規(guī)則能力。基于七層的業(yè)務(wù)策略層則為敏捷應(yīng)用所需的復(fù)雜應(yīng)用交付策略提供了一個解耦的分界，應(yīng)用人員可以通過該層的API接口實現(xiàn)更加敏捷的業(yè)務(wù)發(fā)布策略。

2 彈性擴(kuò)展的分布式架構(gòu)

在接入?yún)^(qū)實現(xiàn)彈性可擴(kuò)展架構(gòu)后。應(yīng)用本身也需要能夠滿足流量突發(fā)的訴求。傳統(tǒng)的巨石應(yīng)用難以滿足業(yè)務(wù)的突發(fā)性需求，即便是基于ESB的宏應(yīng)用也受制于復(fù)雜龐大的ESB而無法快速擴(kuò)展。每一次擴(kuò)容往往需要經(jīng)歷較長的準(zhǔn)備和變更周期。無法支撐業(yè)務(wù)快速發(fā)展的訴求。分布式技術(shù)的核心是通過將組件運(yùn)行在不同計算機(jī)上，彼此之間通過網(wǎng)絡(luò)構(gòu)成通信關(guān)系，組件之間通過協(xié)調(diào)實現(xiàn)統(tǒng)一的服務(wù)。其關(guān)鍵組件包含分布式計算、分布式消息中間件、分布式緩存、分布式數(shù)據(jù)庫以及分布式存儲。分布式架構(gòu)中需要依賴更好的應(yīng)用交付技術(shù)來幫助各個組件單元實現(xiàn)冗余，更好的協(xié)調(diào)和保障可靠的網(wǎng)絡(luò)通信，實現(xiàn)會話狀態(tài)的一致性。因此，類如NGINX等開源軟負(fù)載產(chǎn)品被大量應(yīng)用在分布式計算、分布式數(shù)據(jù)庫、分布式存儲之前。大型商業(yè)銀行由于自身具有較強(qiáng)的人員與技術(shù)儲備，對開源類產(chǎn)品具有較好的把控能力。但是，對于區(qū)域銀行來說，應(yīng)合理考慮引入開源產(chǎn)品服務(wù)支持或采用商業(yè)化產(chǎn)品替代，以預(yù)防技術(shù)運(yùn)行風(fēng)險。

3 敏捷高效的云原生架構(gòu)

僅僅具備更好的彈性能力還不足以幫助實現(xiàn)更好的業(yè)務(wù)轉(zhuǎn)型。為了更好的獲取客戶，吸收存款，區(qū)域銀行應(yīng)該更加注重從服務(wù)“客戶”到服務(wù)“用戶”的轉(zhuǎn)變。充分發(fā)揮本地優(yōu)勢，通過將金融服務(wù)融入到具有本地特色的場景化活動當(dāng)中，例如地方性企業(yè)社保、水電氣繳費、公積金存取，以及地方大中型券商合作理財業(yè)務(wù)等。這些都要求區(qū)域商業(yè)銀行需要具備更好的業(yè)務(wù)組裝能力，實現(xiàn)業(yè)務(wù)敏捷化。在資管新規(guī)下，區(qū)域銀行可借助設(shè)立理財子公司并快速推出多樣性理財產(chǎn)品來搶占轉(zhuǎn)型先機(jī)。微服務(wù)架構(gòu)能夠有力支撐這樣的業(yè)務(wù)敏捷性需求。借此契機(jī)，區(qū)域銀行應(yīng)加快PaaS平臺以及API平臺的建設(shè)。PaaS系統(tǒng)的建設(shè)涉及到多個技術(shù)部門，作為基礎(chǔ)架構(gòu)能力平臺，其網(wǎng)絡(luò)方案、應(yīng)用發(fā)布方案往往關(guān)系到應(yīng)用開發(fā)與傳統(tǒng)應(yīng)用遷移過程中的特殊訴求?？萍疾块T應(yīng)在PaaS網(wǎng)絡(luò)、應(yīng)用服務(wù)對外發(fā)布、應(yīng)用可觀測、應(yīng)用東西向流量治理、微服務(wù)應(yīng)用安全等方面充分與成熟可靠的應(yīng)用交付技術(shù)廠商進(jìn)行探討。

區(qū)域商業(yè)銀行從傳統(tǒng)的城市信用社、農(nóng)村信用社發(fā)展而來，IT系統(tǒng)具有較大的歷史包袱。應(yīng)用具備多種形態(tài)，不同應(yīng)用的接口以及開放能力均不同。場景化金融將金融服務(wù)從傳統(tǒng)的顯式服務(wù)轉(zhuǎn)變?yōu)殡[式服務(wù)。API是這其中的關(guān)鍵技術(shù)。因而，構(gòu)建全行級API平臺是區(qū)域商業(yè)銀行將API從一個標(biāo)準(zhǔn)技術(shù)向API經(jīng)濟(jì)思維轉(zhuǎn)變的關(guān)鍵。借助應(yīng)用交付技術(shù)構(gòu)建統(tǒng)一的開放API調(diào)和平臺層能夠幫助屏蔽不同應(yīng)用接口、不同技術(shù)平臺之間的技術(shù)差異，實現(xiàn)統(tǒng)一接口技術(shù)，從而有利于業(yè)務(wù)的快速連接。借助應(yīng)用交付技術(shù)還可以使用統(tǒng)一API管理策略實現(xiàn)API全生命周期管理，以及精細(xì)化API安全防護(hù)。

兩個大數(shù)據(jù)平臺

1 運(yùn)營大數(shù)據(jù)平臺

區(qū)域商業(yè)商行的定位是服務(wù)本地中小企業(yè)，發(fā)展小微金融。然而，中小企業(yè)往往財務(wù)制度不健全，特別是小微企業(yè)或個體戶，其經(jīng)營過程往往免稅或無發(fā)票記錄。銀行業(yè)信息中往往缺少此類客戶的數(shù)據(jù)，通過國家統(tǒng)一征信數(shù)據(jù)也不能完全反應(yīng)其信用狀態(tài)。這導(dǎo)致區(qū)域商業(yè)銀行在放貸過程中存在較高的風(fēng)險。傳統(tǒng)模式下，區(qū)域商業(yè)銀行不得不通過人工審核的方式來規(guī)避信貸風(fēng)險，這極大的拖慢了業(yè)務(wù)的發(fā)展。區(qū)域商業(yè)銀行一方面應(yīng)積極利用外部數(shù)據(jù)平臺以彌補(bǔ)自身數(shù)據(jù)平臺的數(shù)據(jù)缺失，對接地方征信、運(yùn)營商、第三方支付、地方企業(yè)社保、公積金、稅務(wù)、司法、水電氣數(shù)據(jù)來獲取企業(yè)關(guān)鍵經(jīng)營數(shù)據(jù)以實現(xiàn)更加精準(zhǔn)的小微企業(yè)畫像，借此實現(xiàn)更快速的信貸審批與發(fā)放，更好的發(fā)展普惠金融。另一方面，需打破行內(nèi)系統(tǒng)數(shù)據(jù)壁壘，沉淀場景金融活動中獲得的用戶數(shù)據(jù)，借助應(yīng)用交付技術(shù)留存應(yīng)用訪問路徑中的關(guān)鍵訪問行為數(shù)據(jù)。構(gòu)建統(tǒng)一的企業(yè)數(shù)據(jù)倉庫并對數(shù)據(jù)進(jìn)行治理。實現(xiàn)知道數(shù)據(jù)有什么、數(shù)據(jù)在哪里、數(shù)據(jù)怎么用。充分發(fā)揮數(shù)據(jù)價值，向數(shù)據(jù)驅(qū)動業(yè)務(wù)模式轉(zhuǎn)型。

2 運(yùn)維大數(shù)據(jù)平臺

面對時刻在線的銀行業(yè)務(wù)需求，如何保障業(yè)務(wù)連續(xù)性是科技運(yùn)維人員的重要KPI。區(qū)域商業(yè)銀行科技力量相對薄弱，運(yùn)維過程中往往停留在傳統(tǒng)的監(jiān)控層面，缺少對運(yùn)維數(shù)據(jù)的分析與治理。相對應(yīng)用人員，在故障處置過程中，網(wǎng)絡(luò)人員往往缺乏話語權(quán)，無法以量化的數(shù)據(jù)及時反映生產(chǎn)活動中的故障。在業(yè)務(wù)的訪問路徑中存在眾多的關(guān)鍵設(shè)備節(jié)點，可以通過這些節(jié)點的能力將用戶訪問行為數(shù)據(jù)對接到運(yùn)維大數(shù)據(jù)平臺中。對這些數(shù)據(jù)加以分析來洞察應(yīng)用運(yùn)行狀態(tài)，在客戶投訴之前預(yù)警問題。提升用戶體驗，減少攜款轉(zhuǎn)網(wǎng)的發(fā)生。相對于通過網(wǎng)絡(luò)數(shù)據(jù)捕包方式，利用業(yè)務(wù)訪問路徑鏈條上的應(yīng)用交付設(shè)備獲取訪問行為數(shù)據(jù)具有數(shù)據(jù)量更小，數(shù)據(jù)更精細(xì)，捕捉延遲更小以及具有流式數(shù)據(jù)的特點，非常適合流式大數(shù)據(jù)的采集。

三條應(yīng)用安全路徑

1 從遠(yuǎn)離應(yīng)用向靠近應(yīng)用

傳統(tǒng)的應(yīng)用安全防護(hù)思維是假設(shè)在應(yīng)用訪問邊界構(gòu)建足夠強(qiáng)壯的安全屏障。但隨著開放API，流量加密以及微服務(wù)架構(gòu)的應(yīng)用，開源產(chǎn)品的大量使用，“馬奇諾防線”開始失效，攻擊更加容易滲透到應(yīng)用內(nèi)部并形成較大的爆炸半徑。應(yīng)用防護(hù)的部署位置需要更加靠近應(yīng)用才能更好的保護(hù)應(yīng)用。傳統(tǒng)應(yīng)用安全策略的思維是假設(shè)應(yīng)用不太頻繁變化，策略的收斂及變化頻度都很低。而業(yè)務(wù)的快速組裝需求則需要更加頻繁的應(yīng)用變化與發(fā)版，傳統(tǒng)穩(wěn)態(tài)的策略思想不再適應(yīng)新應(yīng)用保護(hù)訴求。因此，應(yīng)用保護(hù)策略需要更加動態(tài)，更加面向不同應(yīng)用、不同API，更加精細(xì)化?；诿繎?yīng)用或每API的安全策略能夠更好的適應(yīng)上述變化，這也需要將應(yīng)用保護(hù)策略部署在更加靠近應(yīng)用的位置。部署位置及部署策略的增多會大大增加運(yùn)維成本。通過在反向代理類軟件上附加輕量級軟件安全組件可降低部署數(shù)量及位置帶來的復(fù)雜性。采用具有高精度，低誤報，低人工維護(hù)，并擁有AI學(xué)習(xí)能力的軟件安全產(chǎn)品能夠有效降低動態(tài)策略帶來的運(yùn)維成本。在敏捷業(yè)務(wù)的訴求下，此類輕量級安全產(chǎn)品還應(yīng)具有和持續(xù)集成持續(xù)發(fā)布相融合的API接口以及聲明式策略的部署方式。

2 從單向防護(hù)變?yōu)榫W(wǎng)格防護(hù)

無論是采用分布式系統(tǒng)架構(gòu)還是微服務(wù)架構(gòu)，服務(wù)之間的通信都將急劇增多。特別是在微服務(wù)架構(gòu)下，服務(wù)通信呈現(xiàn)網(wǎng)格化趨勢。當(dāng)攻擊者通過某個薄弱環(huán)節(jié)滲透到內(nèi)部后，傳統(tǒng)南北單向安全防護(hù)的體系無法避免攻擊者橫向移動。區(qū)域城商行的應(yīng)用系統(tǒng)往往依賴外部服務(wù)商提供，應(yīng)用自身安全性薄弱。橫向移動極易造成巨大的安全威脅。一方面，安全人員應(yīng)采取上述提及的將安全防護(hù)組件部署在更加靠近應(yīng)用的位置。另一方面，應(yīng)采用更加高效和具有靈活部署能力的蜜網(wǎng)類產(chǎn)品，結(jié)合蜜罐，構(gòu)建從低交互到高交互以及靈活蜜罐引流的網(wǎng)格誘捕體系。將單方向防護(hù)轉(zhuǎn)化為網(wǎng)格化防護(hù)，能夠更好的在現(xiàn)代應(yīng)用架下保護(hù)應(yīng)用安全。安全部門不再是金融科技彎道超車過程中的制約點。

3 從固定結(jié)構(gòu)轉(zhuǎn)變?yōu)榫幣沤Y(jié)構(gòu)

伴隨國內(nèi)多輪安全攻防活動的舉行，銀行安全防護(hù)從合規(guī)型轉(zhuǎn)化到更具實戰(zhàn)型。安全部門由此在南北流量路徑上部署種類繁多的安全產(chǎn)品:IDS/IPS、WAF、機(jī)器人流量防御、動態(tài)混淆防御、文件檢測、反欺詐、防泄漏等等。這些安全產(chǎn)品在應(yīng)用訪問路徑上的簡單疊加不但會導(dǎo)致跳數(shù)與訪問延遲的增加，還會導(dǎo)致網(wǎng)絡(luò)結(jié)構(gòu)復(fù)雜度升高，不利于構(gòu)建更加動態(tài)彈性的接入架構(gòu)。不同安全產(chǎn)品亦具有不同的功能形態(tài)，不同業(yè)務(wù)也不必經(jīng)過所有安全設(shè)備。例如文件上傳流量需經(jīng)過ICAP類設(shè)備進(jìn)行文件檢測，Web訪問流量需經(jīng)過WAF，郵件流量需經(jīng)過深度包檢測設(shè)備等。這些不同的訴求需要靈活的流量調(diào)度能力，可以基于TCP五元組或應(yīng)用層信息等。借助這樣的編排思想，將這些安全設(shè)備按照應(yīng)用維度進(jìn)行靈活調(diào)度與編排能夠有效優(yōu)化安全架構(gòu)。需要注意的是，安全編排調(diào)度由于要求深度的內(nèi)容檢測以及TLS加解密，因此該類產(chǎn)品應(yīng)具有較強(qiáng)的縱向擴(kuò)容能力，同時其本身也應(yīng)能夠與外部負(fù)載均衡器配合實現(xiàn)水平彈性擴(kuò)展。

總體來說，植根當(dāng)?shù)靥厣?，服?wù)中小企業(yè)，發(fā)展普惠金融是區(qū)域商業(yè)銀行實現(xiàn)錯位競爭格局的關(guān)鍵?？萍夹枧c金融業(yè)務(wù)融合，大力引入互聯(lián)網(wǎng)思維，積極構(gòu)建敏捷安全的技術(shù)架構(gòu)方能實現(xiàn)區(qū)域商業(yè)銀行金融科技彎道超車，最終實現(xiàn)科技賦能業(yè)務(wù)轉(zhuǎn)型。