当前,开放银行已经成为金融科技领域的热点话题,并在全球呈现快速发展趋势。对传统银行来说,需要主动转变经营思维适应时代发展,并以强大的技术能力作为支撑,积极搭建平台生态圈。值得关注的是,作为新行业发展的新业态,开放银行依然需要遵循相关风险与安全原则。那么开放银行有哪些潜在风险,又应该如何应对?今天就由F5为大家解读。
开放银行涉及的潜在风险
开放银行涉及的风险,主要包括三个方面:一是目前监管层尚未出台开放银行的有关监管规则。目前,业内对数据的开放范围、数据的安全性、客户信息的保密性、数据传输的安全性以及开放接口的标准化等还没有相关规范,对于如何开放、开放什么等均没有标准的定义。特别是客户隐私及数据安全的保障问题、黑客攻击带来的网络安全问题以及政策和监管不明确导致的数据采集的合规性风险等是业界比较关注的。
在数据安全方面,API连接服务提供者、场景建设者、交易发起者等众多主体,导致数据泄露的风险点增多,任何一方数据保护存在薄弱环节,都有可能危及数据的安全。一旦开放API存在设计缺陷或是权限设置不当,恶意攻击者就可以非法获取客户的数据,应用方就可能违规使用信息。在网络攻击方面,API接口具有共享属性,通过API连接银行端和外部应用端,延伸了银行的网络,风险传导的路径加长,更容易遭到攻击。
在业务风险方面,事前,如果缺少健全的授权机制,资质不佳的外部合作环境和方式,有可能混水摸鱼,非法盗用银行的服务和银行的数据,增加风险;事中,外部合作方可能超范围使用银行提供的接口,将日常的缴费接口用于理财,或将接口二次打包给未经授权的调用方使用,带来新的安全挑战;事后,如果没有完备的风控体系、纠纷投诉等机制,一旦发生跨机构跨行业的纠纷,可能出现权责不清的情况,进而损害消费者利益。
二是互联网“开疆拓土”与银行“稳健经营”的基因始终存在本质差异。金融是强调风险管控的,非金融是强调客户体验的,需要寻找体验与安全之间的平衡点。银行应当专注主业、理清边界,在金融场景生态建设中必须确保相关创新业务符合监管要求,严格界定各参与方的职责边界、强化风险研判和管控,严格风险隔离、有效控制风险传染。这种金融与非金融的冲突,还体现为金融消费者权益保护的审慎性与非金融服务的便利性。如果完全依据金融消费者权益保护标准去运营整个场景,在涉及非金融业务时服务效果就会大打折扣。
三是金融业务同质化。开放银行后,银行的个性化特色、品牌优势等均面临挑战,特别是对中小银行而言,面临开放银行后,护城河在哪里?特色化服务如何体现?品牌知名度如何打造?核心优势如何凸显等诸多问题。
开放银行技术风险应对
对照中国人民银行发布的《商业银行应用程序接口安全管理规范》,可以通过自查方式进行问题排查,从而制定机制和技术应对措施。
银行可以通过强化服务安全设计,整改排查问题,加强接口权限控制和密钥管理,完善服务下线流程等;除已有的安全漏洞舆情监测手段外,持续补充完善监测方法,如增加安全舆情监测合作机构、定期获取开源软件网站信息等;建立安全漏洞修复机制,明确漏洞修复的方案制定、时间、验证等要求。
与此同时,银行需要持续提升开放API平台的运维监控能力,实时监控服务器运行状态、接口服务状态;梳理服务日志的格式内容,并制定日志保留策略,满足监控和管理要求;配置不同的故障隔离策略参数,实现API级别的参数控制,解决不同API对于故障隔离异常场景的需求;完善监测异常告警机制,专人跟踪处理,事件统一上报,及时处理异常事件。作为多云应用安全和应用交付技术的全球领导者,F5的新解决方案使银行业拥有安全、顺畅和现代的应用体验。
F5推出应用安全增强解决方案
一年多前,F5收购了Shape Security,这一举措进一步扩展了公司在应用安全方面的SaaS产品,并通过收购引入了一个强大的人工智能分析平台。这说明F5重点开发三种相关的SaaS解决方案:Device ID、Shape Recognize和Shape AI Fraud Engine(SAFE),它们利用独特的数据和机器学习能力,通过消除用户的登录障碍而简化客户体验,同时防范欺诈。值得注意的是,这些易于部署的解决方案采用了Shape的核心技术,吸收了F5为世界顶级机构提供保护的丰富经验。这些创新成果融入F5不断增多的应用安全产品组合中,并通过其他战略收购进一步加强,例如NGINX – NGINX的App Protect等解决方案支持DevOps使用容器、微服务和CI/CD流水线 - 以及最近对Volterra的收购。
Device ID是一个实时的高精度设备标识符,有助于帮助客户更好地了解与网站和移动应用交互的设备。该解决方案采用先进的信号收集技术和成熟的机器学习算法,根据每个设备的浏览器、操作系统、硬件和网络属性,为其分配唯一的标识符。对于留存用户,对其使用行为的分析可以减少欺诈,并为已知的良好用户提供顺畅的体验,这意味着用户可以在更多时间内享受数字体验,并且缩短验证(和重新验证)设备合法性所用的时间。
Shape Recognize利用Shape全方位遥测技术的智能化,基于Device ID的能力,获得关于整个网络的登录历史记录、环境和完整性的洞察数据,从而进一步增强消费者体验,并消除认证障碍。该解决方案通过识别合法用户,使已知的行为良好消费者无需被过多的登录和重新身份验证而困扰,从而增加收入。Recognize实现这一目标的方式通过深度分析、行为和上下文感知以及Shape的巨大网络,准确地实时识别留存用户和其他合法用户。凭借这种洞察力,Web和移动应用可以动态减少或消除登录障碍,在增加收入的同时,显著增强消费者的便利性。
Shape AI Fraud Engine (SAFE) 使用闭环机器学习方法实时检测和阻止欺诈。SAFE识别并阻止账户侵权、恶意账户发起、使用被盗账户以及其他欺诈活动。SAFE借助Shape的AI引擎,以及从日均超过10亿笔交易的数据中获取的洞察,寻找并阻止欺诈者在所有用户交互点的行为,包括登录、账户创建以及可能成为潜在目标的其他活动。作为一项完全托管的服务,SAFE还减少了欺诈团队经常疲于处理的工作量,从而阻止可能需要付出昂贵代价才能调查并且补救的威胁。
基于对多云应用安全和应用交付服务技术的多年深耕,F5 始终服务于数字时代中的“应用”这一组织的核心资产。F5提供的解决方案,也能助力企业实现从云、边缘到应用的覆盖端到端的安全防护。
扫一扫
1669
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
