国舜股份副总裁、清华大学MBA、安全领域资深专家汤志刚
过去的2018年被业界称为“开放银行元年”,体现了外界对金融服务深入链接用户这一趋势的期许。那么,开放银行的应用场景和关键技术有哪些?存在哪些风险隐患?如何做好安全防护?关于这些问题,国舜股份副总裁汤志刚先生阐释了自己的看法。
一.开放银行:数据共享理念下的平台化商业新模式
Q:请谈下您对开放银行的理解?
汤志刚:对于开放银行的定义各方都有不同的理解和解释,在我看来,开放银行是一种平台化的商业模式。通过与商业生态系统共享数据、算法、交易、流程和其他业务功能,为商业生态系统的客户、员工、第三方开发者、金融科技公司、供应商和其他合作伙伴提供服务,使银行创造出新的价值,构建新的核心能力。
作为新型商业模式,开放银行构建开放平台,以服务客户为中心,以生态场景为延展,实现银行核心能力的拓展和创新。
Q:开放银行的特征和涉及到的关键技术有哪些?
汤志刚:开放银行以开放API为技术、以数据共享为本质、以平台合作为模式,以平台化、场景化的金融服务链接客户,满足客户最本真的需求。
开放银行所涉及到的API技术,一般可以分为三类,即内部API、伙伴API以及开放API。具体来讲,内部API仅供企业内部开发者使用,通过轻量级接口公开数据、业务流程和应用程序功能,尤其适合不愿意公开数据和应用程序的企业;伙伴API主要用于机构之间(B2B),其访问通常是根据业务协议授权的,对规模较小的合作伙伴具有较大吸引力;开放API在组织之外公开应用程序功能,主要供外部合作伙伴、第三方开发者使用,较前两类API开放程度更深、合作层面更广,最适宜用于开放银行领域。这三类API各有千秋,具有不同的特性和应用场景。
Q:开放银行的应用场景是怎样的?解决了哪些痛点?
汤志刚:随着直销银行、生活缴费、积分商城这些产品严重同质化,每家银行都面临着流量、产品与客户服务的困局。这就促使银行业进入了开放银行时代,银行需要实现跨界融合,实现银行与银行间、银行与非银金融机构甚至与跨界企业间的数据共享与场景融合。开放银行的出现,最重要的是帮助实现了银行与第三方之间的数据共享,银行可以根据客户需求快捷创新服务产品,有利于再建银行核心能力;方便客户获得多元化的、高度契合的金融服务,从各方面提升客户体验;第三方金融科技公司也可利用共享数据创新应用、迅速提升客户覆盖,实现互利共赢。
当然,不同的建设模式,不同的基础决定了不同银行的开放银行具有不同的应用场景。
Q:目前开放银行有哪些实际应用?
汤志刚:开放银行目前在大型银行已经开始应用,在中小型银行正在开展。
在国内,已有大型银行构建开放银行,提供给第三方联机接口、页面服务、文件三种形式的API服务,支持联网、专线等访问方式。通过开发者门户提供行业解决方案、接入指南、接口说明等相关文档,便于分行与合作方接入API平台、消费API服务。
在国外的例子就更多,有国际银行允许App在用户授权后获取账户及服务信息,第三方可以通过该服务获得用户信息共享,用户银行卡管理,用户跨行跨机构转账及管理;允许用户在合作商APP使用该行积分购买商品;用户自有该行账户情况查询及ATM密码更改等服务内容。
二.开放银行安全风险及解决方案
Q:开放银行存在哪些风险隐患?
汤志刚:开放银行安全问题对银行业安全是一个全新的挑战。以前银行对外的系统是与人对接,保护机制是围绕人展开,开放银行则是与系统对接,保护机制围绕系统展开,数据吞吐大、访问密度大,相比以往是一个巨大的变化。
实际业务中,开放银行技术存在一些严重安全隐患,例如,第三方机构从银行处获取用户相关数据后有对外泄露的可能,遭受拒绝式服务攻击,导致商业银行业务系统不可用,被利用成为进攻银行的通道等。另外,开放银行对商业银行外部合作方的管理也是挑战,准入机制不完善,将引入不良合作方,增加风险。
Q:开放银行如何规避安全风险?
汤志刚:开放银行的安全风险规避,一方面依赖监管层面的不断完善。可参考英国的《开放银行监管框架》、欧盟的《新杉德畅刷官网指令》(PSD2),以及美国、澳大利亚、新加坡等国家的监管举措,建立匹配国内开放银行发展的监管措施。
技术层面,必须对API等专业技术安全进行针对性防范。
针对开放银行的API平台建设过程面临的身份认证、未授权访问、信息泄露、参数修改、跨域访问、数据重放、行为抵赖、逻辑漏洞等8类安全问题,应该制定相应的安全架构标准、开发安全标准、安全测试标准,结合网络层面的纵深防御,实现专业的API标准安全防护。
针对开放银行安全的复杂性,还应该建设基于事后分析的大数据风控平台,实现业务风控,防范例如营销欺诈、交易欺诈、信用欺诈等业务风险。
典型的开放银行安全架构如下图:
随着开放银行模式在未来的进一步发展,希望银行在发展开放银行时更加重视安全问题,通过建立事前授权、事中跟踪、事后分析的风控机制,完善准入制度,确保开放银行业务稳健发展。
杉德畅刷是杉德支付网络服务发展有限公司总部直属推出的手机POS机品牌,目前市场上的杉德畅刷Mpos的2.0模式系统-杉德畅刷管家已经逐步占领市场!杉德畅刷官网提供杉德畅刷的全国加盟代理服务,详情请联系官网客服!
转载请注明:杉德畅刷官网 » 专访国舜股份副总裁汤志刚:开放银行如何做好安全防护