當(dāng)前��,開放銀行已經(jīng)成為金融科技領(lǐng)域的熱點(diǎn)話題�����,并在全球呈現(xiàn)快速發(fā)展態(tài)勢(shì)��,國(guó)內(nèi)外眾多商業(yè)銀行紛紛布局開放銀行或?qū)㈤_放銀行作為戰(zhàn)略推進(jìn)���。
當(dāng)前�,開放銀行已經(jīng)成為金融科技領(lǐng)域的熱點(diǎn)話題����,并在全球呈現(xiàn)快速發(fā)展態(tài)勢(shì)����,國(guó)內(nèi)外眾多商業(yè)銀行紛紛布局開放銀行或?qū)㈤_放銀行作為戰(zhàn)略推進(jìn)����。
F5作為全球銀行業(yè)緊密合作伙伴,密切關(guān)注國(guó)內(nèi)外開放銀行的發(fā)展進(jìn)程與趨勢(shì)��。F5委托金科創(chuàng)新社邀請(qǐng)廣州銀行魏生博士針對(duì)開放銀行的現(xiàn)狀�、面臨的問(wèn)題和挑戰(zhàn);開放銀行面臨的風(fēng)險(xiǎn)及應(yīng)對(duì)�����;開放銀行的實(shí)踐經(jīng)驗(yàn)及發(fā)展趨勢(shì)等話題撰寫《開放銀行:銀行數(shù)字化轉(zhuǎn)型的未來(lái)之路》白皮書��。本刊摘取“開放銀行的潛在風(fēng)險(xiǎn)和應(yīng)對(duì)”章節(jié)�����,閱讀二萬(wàn)字長(zhǎng)文請(qǐng)點(diǎn)擊文末閱讀原文或是掃碼查看�����。
魏生博士:開放銀行的潛在風(fēng)險(xiǎn)和應(yīng)對(duì)
銀行業(yè)作為經(jīng)營(yíng)風(fēng)險(xiǎn)的行業(yè),無(wú)論業(yè)務(wù)形態(tài)如何改變�,經(jīng)營(yíng)風(fēng)險(xiǎn)的本質(zhì)都不會(huì)改變�����。開放銀行是銀行業(yè)發(fā)展的一種新業(yè)態(tài)�,也仍然需要遵循相關(guān)風(fēng)險(xiǎn)與安全原則。
01
開放銀行的潛在風(fēng)險(xiǎn)
開放銀行涉及的風(fēng)險(xiǎn)���,主要包括三個(gè)方面:一是目前監(jiān)管層尚未出臺(tái)開放銀行的有關(guān)監(jiān)管規(guī)則�。目前�����,業(yè)內(nèi)對(duì)數(shù)據(jù)的開放范圍�、數(shù)據(jù)的安全性、客戶信息的保密性����、數(shù)據(jù)傳輸?shù)陌踩砸约伴_放接口的標(biāo)準(zhǔn)化等還沒有相關(guān)規(guī)范,對(duì)于如何開放�、開放什么等均沒有標(biāo)準(zhǔn)的定義。特別是客戶隱私及數(shù)據(jù)安全的保障問(wèn)題�、黑客攻擊帶來(lái)的網(wǎng)絡(luò)安全問(wèn)題以及政策和監(jiān)管不明確導(dǎo)致的數(shù)據(jù)采集的合規(guī)性風(fēng)險(xiǎn)等是業(yè)界比較關(guān)注的����。
在數(shù)據(jù)安全方面����,API連接服務(wù)提供者、場(chǎng)景建設(shè)者��、交易發(fā)起者等眾多主體����,導(dǎo)致數(shù)據(jù)泄露的風(fēng)險(xiǎn)點(diǎn)增多,任何一方數(shù)據(jù)保護(hù)存在薄弱環(huán)節(jié)����,都有可能危及數(shù)據(jù)的安全。一旦開放API存在設(shè)計(jì)缺陷或是權(quán)限設(shè)置不當(dāng)����,惡意攻擊者就可以非法獲取客戶的數(shù)據(jù),應(yīng)用方就可能違規(guī)使用信息�。
在網(wǎng)絡(luò)攻擊方面,API接口具有共享屬性����,通過(guò)API連接銀行端和外部應(yīng)用端�,延伸了銀行的網(wǎng)絡(luò)����,風(fēng)險(xiǎn)傳導(dǎo)的路徑加長(zhǎng),更容易遭到攻擊�����。
在業(yè)務(wù)風(fēng)險(xiǎn)方面����,事前�,如果缺少健全的授權(quán)機(jī)制,資質(zhì)不佳的外部合作環(huán)境和方式�����,有可能混水摸魚��,非法盜用銀行的服務(wù)和銀行的數(shù)據(jù)�,增加風(fēng)險(xiǎn);事中��,外部合作方可能超范圍使用銀行提供的接口,將日常的繳費(fèi)接口用于理財(cái)����,或?qū)⒔涌诙未虬o未經(jīng)授權(quán)的調(diào)用方使用,帶來(lái)新的安全挑戰(zhàn)�;事后,如果沒有完備的風(fēng)控體系����、糾紛投訴等機(jī)制,一旦發(fā)生跨機(jī)構(gòu)跨行業(yè)的糾紛�����,可能出現(xiàn)權(quán)責(zé)不清的情況����,進(jìn)而損害消費(fèi)者利益。
二是互聯(lián)網(wǎng)“開疆拓土”與銀行“穩(wěn)健經(jīng)營(yíng)”的基因始終存在本質(zhì)差異���。金融是強(qiáng)調(diào)風(fēng)險(xiǎn)管控的���,非金融是強(qiáng)調(diào)客戶體驗(yàn)的,需要尋找體驗(yàn)與安全之間的平衡點(diǎn)����。銀行應(yīng)當(dāng)專注主業(yè)�、理清邊界����,在金融場(chǎng)景生態(tài)建設(shè)中必須確保相關(guān)創(chuàng)新業(yè)務(wù)符合監(jiān)管要求,嚴(yán)格界定各參與方的職責(zé)邊界�����、強(qiáng)化風(fēng)險(xiǎn)研判和管控���,嚴(yán)格風(fēng)險(xiǎn)隔離、有效控制風(fēng)險(xiǎn)傳染��。這種金融與非金融的沖突��,還體現(xiàn)為金融消費(fèi)者權(quán)益保護(hù)的審慎性與非金融服務(wù)的便利性�����。如果完全依據(jù)金融消費(fèi)者權(quán)益保護(hù)標(biāo)準(zhǔn)去運(yùn)營(yíng)整個(gè)場(chǎng)景���,在涉及非金融業(yè)務(wù)時(shí)服務(wù)效果就會(huì)大打折扣��。
三是金融業(yè)務(wù)同質(zhì)化���。開放銀行后��,銀行的個(gè)性化特色��、品牌優(yōu)勢(shì)等均面臨挑戰(zhàn)���,特別是對(duì)中小銀行而言,面臨開放銀行后���,護(hù)城河在哪里��?特色化服務(wù)如何體現(xiàn)���?品牌知名度如何打造?核心優(yōu)勢(shì)如何凸顯等諸多問(wèn)題�。
02
開放銀行技術(shù)風(fēng)險(xiǎn)應(yīng)對(duì)
2020年2月13日,中國(guó)人民銀行發(fā)布了《商業(yè)銀行應(yīng)用程序接口安全管理規(guī)范》(JR/T0185—2020)����。該文件是監(jiān)管部門發(fā)布的首份開放銀行監(jiān)管政策和行業(yè)標(biāo)準(zhǔn),在滿足平衡服務(wù)快速響應(yīng)與金融信息保護(hù)的基礎(chǔ)上�����,對(duì)銀行應(yīng)用程序的接口設(shè)計(jì)、應(yīng)用部署��、集成運(yùn)行����、運(yùn)維監(jiān)測(cè)及系統(tǒng)下線等全生命周期過(guò)程提出安全技術(shù)與安全管理要求。
對(duì)照該文件�����,可以通過(guò)自查方式進(jìn)行問(wèn)題排查����,從而制定機(jī)制和技術(shù)應(yīng)對(duì)措施�。
01
Num
一是建立應(yīng)用方技術(shù)準(zhǔn)入及退出機(jī)制、標(biāo)準(zhǔn)���,制定管理流程��,明確業(yè)務(wù)方和技術(shù)方職責(zé)��,在業(yè)務(wù)洽談前期進(jìn)行嚴(yán)格的背調(diào)��、法律合規(guī)評(píng)審����、合同評(píng)審、合作商資質(zhì)及規(guī)模審核�����,對(duì)接企業(yè)信息查詢平臺(tái)和黑名單系統(tǒng)進(jìn)行自動(dòng)審查�,對(duì)應(yīng)用方進(jìn)行身份有效性、完整性�、真實(shí)性審核及反洗錢黑名單檢查,同步進(jìn)行技術(shù)準(zhǔn)入評(píng)估���,降低項(xiàng)目實(shí)施風(fēng)險(xiǎn)���。
02
二是加強(qiáng)開放API服務(wù)治理工作,參考安全規(guī)范要求����,更新服務(wù)治理規(guī)范,統(tǒng)一應(yīng)用接口的識(shí)別碼編碼規(guī)則��,開發(fā)過(guò)程中嚴(yán)格執(zhí)行服務(wù)治理規(guī)范���。
03
三是對(duì)業(yè)務(wù)交易風(fēng)險(xiǎn)控制進(jìn)行需求分析���,由開放API平臺(tái)提供數(shù)據(jù)��,行內(nèi)反洗錢����、反欺詐以及交易監(jiān)控等相關(guān)系統(tǒng)進(jìn)行完善����,最終實(shí)現(xiàn)對(duì)開放API平臺(tái)交易場(chǎng)景范圍的全覆蓋。
04
四是提升軟件安全檢查機(jī)制���。強(qiáng)化服務(wù)安全設(shè)計(jì)�,整改排查問(wèn)題�,加強(qiáng)接口權(quán)限控制和密鑰管理,完善服務(wù)下線流程等����;除已有的安全漏洞輿情監(jiān)測(cè)手段外�,持續(xù)補(bǔ)充完善監(jiān)測(cè)方法,如增加安全輿情監(jiān)測(cè)合作機(jī)構(gòu)�、定期獲取開源軟件網(wǎng)站信息等�����;建立安全漏洞修復(fù)機(jī)制�,明確漏洞修復(fù)的方案制定�����、時(shí)間���、驗(yàn)證等要求���。
05
五是持續(xù)提升開放API平臺(tái)的運(yùn)維監(jiān)控能力,實(shí)時(shí)監(jiān)控服務(wù)器運(yùn)行狀態(tài)����、接口服務(wù)狀態(tài);梳理服務(wù)日志的格式內(nèi)容����,并制定日志保留策略,滿足監(jiān)控和管理要求�����;配置不同的故障隔離策略參數(shù),實(shí)現(xiàn)API級(jí)別的參數(shù)控制���,解決不同API對(duì)于故障隔離異常場(chǎng)景的需求���;完善監(jiān)測(cè)異常告警機(jī)制,專人跟蹤處理���,事件統(tǒng)一上報(bào)��,及時(shí)處理異常事件��。
06
六是�,強(qiáng)化監(jiān)管科技研究與應(yīng)用����,利用人工智能、大數(shù)據(jù)����、區(qū)塊鏈等信息技術(shù),建立數(shù)字化的監(jiān)管規(guī)則庫(kù)���、監(jiān)管知識(shí)圖譜和智能化的數(shù)字監(jiān)管平臺(tái)�����,探索新型數(shù)字化監(jiān)管范式�,識(shí)別開放銀行的邊界���,解構(gòu)業(yè)務(wù)數(shù)據(jù)的糾纏�,落實(shí)各項(xiàng)監(jiān)管要求���。
立即登錄����,閱讀全文
版權(quán)說(shuō)明:
本文內(nèi)容來(lái)自于F5Networks����,本站不擁有所有權(quán),不承擔(dān)相關(guān)法律責(zé)任���。文章內(nèi)容系作者個(gè)人觀點(diǎn)���,不代表快出海對(duì)觀點(diǎn)贊同或支持。如有侵權(quán),請(qǐng)聯(lián)系管理員(zzx@kchuhai.com)刪除����!
閩公網(wǎng)安備 35010202001226號(hào)
