下载掌阅APP,畅读海量书库
立即打开
随着传统金融机构逐渐走上金融科技快车道,在科技方面,需要维持传统科技架构,也需要发展基于新技术和以敏捷开发为特征的金融科技平台,基于此,Gartner提出双模(Bi-Modal)科技建设模式:
·模式一:可预测,更关注性价比;
·模式二:可探索,关注的是能否帮助增加销售收入,提升用户满意度,这属于加分部分。
从开发的角度来看,模式一的开发方法较多,属于传统的瀑布式开发,业务模式相对稳定,市场份额变化不大,节奏较慢。模式二更多的是用敏捷开发,甚至完全用敏捷开发,业务模式较为新颖,业务发展速度会决定市场地位。因为要不断探索,所以需要敏捷。
从治理的角度来看,模式一关注安全可靠,按计划进行,按部就班地做事;模式二在开始的时候较少有细节方面的计划。
从供应商选择的角度来看,模式一大多会选择一些长期固定的大型供应商;模式二则需要一些非传统的企业级的供应商,比如苹果、百度、阿里巴巴等,这些供应商具备一定创新能力,企业在探索新模式的时候会用到这些创新点。
从人才的角度来看,模式一需要能够解决复杂问题的人才;模式二需要对不确定性有很强把控能力的人才。
从文化的角度来看,模式一的文化是关注规模效应,模式二则是关注发现、探索。
Gartner于2012年又提出了DevSecOps的敏捷安全管理模式,其概念从DevOps延伸和演变而来,其核心理念为“安全是整个IT团队(包括开发、运维及安全团队)中每个人的责任,需要贯穿从开发到运营整个业务生命周期的每一个环节”。DevSecOps的出现是为了改变和优化之前安全工作中存在的一些现状,比如安全测试的孤立性、滞后性、随机性、覆盖性、变更一致性等问题,通过固化流程加强不同人员之间的协作,通过工具、技术手段将可以自动化、重复的安全工作融入研发体系内,让安全属性嵌入整条流水线。DevSecOps的作用和意义建立在“每个人都对安全负责”的理念之上,通过加强内部安全测试、主动搜寻安全漏洞,及时修复漏洞、控制风险,实现与业务流程的良好整合。对于安全而言,在双模科技的战略背景之下,还需要一个整合框架来构建金融科技安全战略与安全技术体系、运行体系、运营体系,如图1-3所示。
1) 安全战略: 通过智能自动化驱动构建安全技术、安全运行和安全运营三位一体的协同联动的安全体系。数字化安全需上升为顶层设计,安全思想要从之前的“查缺补漏”向整体防护、系统规划演进,从数字化的初始阶段开始,同步规划、同步建设和同步运营安全防护系统,将安全能力“嵌入”金融科技的数字化业务系统。
图1-3 金融科技双模信息安全架构
2) 安全运营体系: 建设数字化人才队伍,明确不同组织部门的安全管理工作职责分工,构建完善的信息安全制度体系。夯实数字化安全人才队伍建设;明确业务部门与科技部门在安全合规领域的职责分工和边界;为金融企业制定统一的信息安全管理标准、制度和规范。
3) 安全运行体系: 从数据、应用及运营3个层面,打造全方位安全运行体系,包括以生命周期为核心的数据安全防护体系、生命周期与安全防护结合的应用安全体系、数据驱动的自适应安全运营管理体系。
4) 安全技术体系: 利用数字化新技术,通过场景化风险分析和应用安全建模,构建关于数据、应用、基础架构等的安全基线标准;在深度研究应用行业规范及业务特性的基础上,通过场景化威胁分析和应用安全建模,打造关于数据、应用、基础架构等的安全基线标准,以自动化方式指导、监控应用安全生命周期,充分平衡用户体验。