本章的开始部分将对数字银行面临的机遇与挑战,从成本、商业逻辑、面临的安全风险这三个维度进行说明,以让大家对数字银行业务有一个初步的认识,后面通过对银行业和互联网企业典型网络安全架构与数字银行安全诉求的讲解,重点说明数字银行所需要的安全架构。
“数字银行”是指所有活动、计划和职能全面数字化的银行。区别于传统银行,数字银行无论是否设立分行,都不再依赖于实体分行网络,而是以数字网络作为银行的承载体。数字银行借助前沿技术为客户提供在线金融服务,服务趋向于定制化和互动化,结构偏向于扁平化。
在理解数字银行安全体系之前,需要对数字银行业务特性有深刻的理解。同样,在理解数字银行之前,需要对银行业有充分的理解。有了这些业务背景知识,你就可以更轻松地理解数字银行的安全体系了。
作为世界上最古老的行业之一,金融业已有4000多年的历史,它有其自身的运作逻辑,并与国家经济息息相关。银行是金融资源配置的重要一环,它作为债务人吸收公众的存款,同时又作为债权人把吸收的存款贷给有需求的人或组织。货币银行学的经典理论告诉我们,银行是经营信用的,所以银行业形成了一套成熟的信用评估、授信和风险计量管理系统,也是由于这套系统,银行的贷款业务逐渐偏向大而不倒的企业,偏向财务报表完整的上市公司,偏向拥有充足抵押品和资金实力强大的贷款人 ,因而存在不同类型的客户获得差异化待遇的情况。
现代商业银行每年在IT系统的软硬件上要耗费上亿元资金,运营成本高昂。据统计,国内大银行一个账户一年的维护成本在50元上下,小银行则在80~100元之间。从日常支付业务来看,银行每笔支付的技术成本为6~7分。在业务处理量上,一般的商业银行会按照网点的人员和处理能力预估一天的业务量,比如一个网点一天5000笔,最多20000笔。在贷款业务流程上,营销人员寻找贷款用户,信贷人员上门做入户调查,回来之后准备材料,再由客户经理和风险经理通过详实的调研确认可行性,期间需要多个人来审批,最后须分管领导签字并同意发放。传统银行的高昂运营成本注定了无法完美照顾到众多小微经营者。
因此,小微企业融资难并不是一个新问题,甚至可以说由来已久。民间金融鱼龙混杂,利率高,小微企业主为何仍然火中取栗?一边是宏观经济流动性过剩,一边是小微企业嗷嗷待哺,这中间该用何种商业模式去突破?为小微企业引水固然重要,如何激浊扬清、调节水量、管控风险更是重中之重。
马云曾有一个形象的比喻:如果我们把资金比喻成水,把大企业比喻成树,传统银行发放贷款就好比一个农夫挑着水来浇灌这些树。我们国家的小企业就好比广阔无边的草原上的草,如果还是让农夫挑水灌溉,那是不切实际的。要解广大中小企业的融资之渴,就必须建立水利工程,挖水渠、铺水管,进行系统性灌溉。
中小企业是那缺水的草原,资金就像是水,而数字银行要做的就是铺设管道、开沟挖渠,通过建设一个体系化、富有科技含量的金融水利工程,像都江堰一样,让涓涓细流惠及普罗大众。数字银行的本质是用互联网技术将线下传统银行业务搬到线上,通过科技手段极大降低服务成本,从而服务无数小微商家。这也是网商银行所做的事情,2014年经过中国银监会批准,网商银行正式成立,成为中国首批民营银行。网商银行依托于阿里巴巴集团和蚂蚁集团多年来沉淀的云计算和分布式底层平台技术,从筹建之初就将核心业务系统以分布式架构创建于云平台上,是国内乃至世界上首家完全去除IOE 并将核心系统建在云计算和分布式数据库上的银行。
基于金融云计算平台,网商银行拥有处理高并发金融交易、海量数据和弹性扩容的能力,在行业内首创无接触贷款“310”模式(“3”分钟申请,“1”秒钟放款,全程“0”人工干预),发挥互联网和数据技术的优势,专注于为更多小微企业和个人经营者提供金融服务。网商银行没有线下网点,也没有一名信贷员,不做现金业务,也不涉足商业银行的线下业务。网商银行的业务量不会受限于柜台和营业人员的数量,交易数量从每天零笔到几百万笔都能支持,扩展性更强,成本也更低。通过在线分析小微用户的信用情况,与政府、金融机构等合作伙伴的各种数据打通印证,路边小贩、菜农、养猪人都能获得迅速、高效与公平的金融服务。总之,通过科技提高运营效率,为风险控制提供有效的手段,从而显著降低金融服务的成本,并不断重塑银行与小微企业的交互模式,网商银行成为一家真正意义上的数字银行。
近年来的科技发展使得中国小微企业贷款可得率大幅提升,自网商银行成立以来,累计超过5000万小微经营者使用了网商银行的数字信贷服务,以助力自己的经营与发展,而他们中的80%过去从未获得银行经营性贷款。未来,网商银行会坚持以领先科技作为发展引擎,用开放平台的方式,扩大对小微企业服务的覆盖广度和深度,深耕场景,推动小微企业的数字化进程,为其提供丰富和实时可得的金融服务,打造小微企业的数字金融之家。
数字银行的出现带来了一系列的变化,其中最显著的变化是将原本需要在线下窗口办理的服务全部转移到线上,这也导致了风险敞口的扩大。随着数字银行业务的多样化,相应的漏洞数量也会增加。同时,数字银行在技术层面更加开放和互通,采用了各种云原生技术和云服务,与多个机构进行交互,也带来了各种无法控制的供应链安全风险。这些变化不仅仅局限于以网商银行为代表的数字银行,越来越多的金融机构也会面临相似的安全问题。随着金融业数字化转型的推进,人们减少了去实体网点办理业务的频率,越来越多的金融服务可以在线上提供。
作为运行在云上的数字银行,全部数据都通过在线形式进行流转。其中包含大量敏感数据,一旦这些数据被泄露或破坏,将对银行的声誉造成严重的损害,甚至可能导致关门歇业。同时,《数据安全法》《个人信息保护法》相继发布,人们对个人信息和数据保护的要求也越来越高。因此,在保护数据不泄露的基础上如何保障数据被安全合理使用也是数字银行面临的挑战。除了数据泄露,资金被盗的情况在银行业也很常见。随着业务全部线上化,银行被盗的方式也由原先的线下转变为线上。匿名网络的滥用,以及数字货币的迅猛发展,使得通过网络抢劫银行变得更加难以阻止。近年来,全球范围内发生了多起银行因网络入侵而导致资金被盗的事件。
●2016年,开曼国家银行和开曼国家信托因入侵被转出数十万英镑。
●2016年,孟加拉国央行因入侵被划走8100万美元。
●2017年,尼泊尔亚洲银行因入侵被盗窃440万美元。
●2018年,墨西哥银行因入侵被转走2000万美元。
●2022年,DeFi平台Deus Finance遭到攻击,被盗取1300万美元。
●2022年,Beanstalk Farms遭闪电贷攻击,被盗取1.8亿美元。
●2022年,印度支付公司Razorpay遭黑客入侵,被盗取7383万卢比。
作为最早建设在云上的数字银行,由于行业内还没有现成的案例和经验可供参考,因此在正式开始介绍数字银行安全体系之前,我们需要先了解传统银行和互联网企业的典型网络安全架构是如何实现的。
由于业务差异,传统银行和互联网企业的安全目标和安全建设策略有所不同。传统银行拥有悠久的历史,其业务往往涉及资金,因此对安全有着较大的诉求,同时对安全等级要求也较高。而互联网企业作为新兴行业,虽然相对年轻,但由于涉及大量用户敏感信息和技术设施,对安全也非常重视。那么两者典型的安全架构是怎么样的,它们之间又有何差异呢?接下来我们将浅谈两个行业的典型安全架构。
在介绍数字银行安全体系之前,我们需要先理解架构和安全架构的概念。人们常说“鱼与熊掌不可兼得”,在很多问题中,很难同时兼顾两个方面,就像一个杠杆,哪边重哪边就会下来,另一边就会上去。谈到安全就不能避开效率,追求安全往往会牺牲效率,而追求效率可能会影响安全。很难找到同时满足效率和安全的方案,就像CAP理论 一样,不存在绝对完美的方案,每种方案都有优点和缺点。
当引入一个新的技术来解决一个已有的问题时,往往会带来新的问题,而问题的多少与系统的复杂度有关。不同公司的侧重点也不同,有些公司对安全风险非常敏感,有强烈的安全需求;而另一些公司将效率视为生命,安全则放在次要位置。在这种情况下,一些资深的工程师会站出来尝试解决这些问题,他们熟悉业务的各个方面,了解每种选择的优势和劣势,既懂技术又懂产品。他们可能基于业务分析提出平衡方案,开始尝试设计先进的技术,设计灵活的系统或简化系统等,通过各种方法找到适应当前企业环境的最优解,然后持续投入资源朝着这个方向发展,这就是架构的意义。类似地,安全架构是一种适合企业的安全解决方案,需要考虑企业业务和资产情况、风险场景、安全目标、安全职责范围、安全体系、安全资源投入和安全风险优先级等方面,旨在更好地实现最终的安全目标。
传统银行对安全有非常高的要求,对风险非常敏感。一旦发生安全事件,银行将面临监管问责甚至停业整顿的严重后果。因此,传统银行在构建安全体系时有一些明显的特征。首先,在安全体系设计方面,传统银行以强管控、硬隔离并符合各类合规要求为主导思想。它们愿意在整体效率上做出一定的牺牲,以确保安全。顶层架构设计上会尽量避免依赖员工的意识,也会降低对安全从业人员个体能力的依赖,从设计之初就尽可能地消除风险的出现。此外,监管和行业机构为金融业和银行制定了大量的行业安全标准、规范和要求,传统银行人员对合规意识相对较高,注重数据保护、加密等措施,在合规落地实施上更加彻底。
其次,在网络安全方面,传统银行会将生产网划分为接入区、DMZ 、业务区、数据中心区等区域,采用防火墙进行隔离,并采购各类入侵检测系统来防止网络攻击。各个区域默认为隔离状态,这样即使某一个区域出现问题,其他区域的安全也不会受到较大影响。再次,在办公网安全方面,传统银行通常为员工配备两台计算机。一台台式机用于访问内部办公系统,禁止访问互联网。在需要同时进行开发工作时,员工通过远程桌面进行操作,以避免代码存储在本地计算机上。另一台笔记本电脑用于上网,可以访问互联网,但不允许接入银行办公网,与办公网络默认隔离,无法访问内部办公系统。此外,在生产网系统服务发生变更时,所有的变更和数据分析工作只能在独立的ECC 操作室中进行,并且只有少部分人拥有变更权限。除了常规审计,所有操作还会受物理摄像头监控,管理后台的数据访问均需要通过远程桌面进行。需要注意的是,以上只是以典型的传统银行架构为例进行说明,并不代表所有传统银行都采用相同的模式,下面讲述的互联网企业网络安全架构与此相同。
互联网企业具有快速迭代、小步快跑的特点,将业务发展视为首要任务,非常重视用户体验,视效率为生命线。在应对安全风险方面,互联网企业通常会重点关注突出的安全风险,并在各个阶段采用多层安全措施来发现和防御风险。它们重点防范互联网边界风险、用户隐私保护风险以及关注员工安全意识提升,并注重风险感知和快速响应能力的建设。
如图1-1所示,互联网企业的生产环境通常是一个大型内网,缺乏严格的隔离措施,业务之间的调用复杂且频繁变动。一旦某个应用被入侵,攻击者就可以访问生产网内的任何主机。在办公网设备方面,员工通常只有一台笔记本电脑,通过WiFi或网线接入办公网络,可以访问各种内部办公系统,并将代码、数据等下载到本地计算机进行开发。该设备通常可以直接访问互联网,而且无论员工在家还是在咖啡馆,都可以通过VPN连接公司的内部网络,访问内部系统。在线上变更方面,只要员工连接到办公网络,无论是在公司还是在咖啡馆,都可以发布应用程序或查询业务数据。
图1-1 典型互联网企业网络安全架构
在员工终端管控方面,互联网企业的员工通常有很大自由度,基本上可以访问任何互联网网站,并且可以使用各种网盘服务,连接各种外部设备,甚至可以直接通过USB复制计算机中的数据。这导致各种因内部员工引起的数据泄露事件频繁发生。
除了上述方案或架构外,近年来安全业界还出现了许多新的安全理念和做法,如表1-1所示。其中一些理念值得我们学习,例如通过流量分析和结合专家经验的行为建模来发现高级威胁的智能威胁感知,这种方法本质上摆脱了基于攻击特征的黑名单方式,转而通过定义正常行为来发现异常威胁。另一个例子是微隔离,它将传统的网络隔离策略深化为更细粒度的访问控制,更明确地限制了只允许正常行为的访问。值得一提的是,安全平行切面让我们意识到安全和效率之间的矛盾是可以解决的,并且它是一种通用的、可适应各个层面并提高效率的安全思路。它可以很好地解决因原有的安全和业务强耦合而导致影响效率的问题,以及外挂式的安全防御可能在安全性上是无害的,但对效果有损的难题。
表1-1 安全业界新思路
需要注意的是,以上只是一些新的安全理念和做法的例子,实际上安全领域还有许多其他的创新和发展。对于每个组织来说,选择适合自己的安全方案和架构,以及借鉴新的安全理念和做法,都需要根据具体情况进行评估和决策。
这些新的安全思路为数字银行安全体系的设计提供了大量支持与帮助。
本章对数字银行面临的机遇、挑战,以及银行业和互联网企业典型的安全架构设计进行了分析说明,为后续数字银行安全体系设计的目标、要求等因素做铺垫。