11月30日，由中国金融认证中心（CFCA）、数字金融联合宣传年联合百余家银行主办的“数字化转型前瞻 第十九届（2023）数字金融联合宣传年年度活动”在京举办。本次活动设置“前瞻・数字新趋势”与“前瞻・转型新路径”两大板块，与会嘉宾围绕相关热点话题进行分享。《2023中国数字金融调查报告》发布、“2023数字金融金榜奖”颁奖，以及“2023信创‘大比武’金融场景适配验证赛道”专项奖表彰等重磅环节也在本次活动中精彩呈现。

11月30日，由中国金融认证中心（CFCA）、数字金融联合宣传年联合百余家银行主办的“数字化转型前瞻 第十九届（2023）数字金融联合宣传年年度活动”在京举办。本次活动设置“前瞻・数字新趋势”与“前瞻・转型新路径”两大板块，与会嘉宾围绕相关热点话题进行分享。《2023中国数字金融调查报告》发布、“2023数字金融金榜奖”颁奖，以及“2023信创‘大比武’金融场景适配验证赛道”专项奖表彰等重磅环节也在本次活动中精彩呈现。

交通银行网络金融部高级专家 陈利强

交通银行网络金融部高级专家陈利强出席活动并带来《统筹发展与安全，构建开放银行数字新生态》精彩分享。

陈利强首先分享了开放银行的发展背景和相关概念。他指出，从Bank1.0到Bank3.0，银行服务以自有渠道为“界”，渠道的演变催生新的银行服务模式，到Bank4.0时代，金融服务与银行的线上线下自有渠道在一定程度上“解耦”，为客户提供完全基于场景的金融服务能力。

开放银行是一种以API、金融生态云、银企直联等对接模式与合作机构系统互联，通过对内引入与对外输出，开放双方的产品服务、技术能力和渠道，共建生态场景，服务双边客户，实现合作共赢的模式。相比于银行自有渠道的经营模式，开放银行主要还有三个方面的特点：一是从服务银行私域流量客群，到通过合作机构场景服务公域流量客群；二是从全品类标准化银行金融产品，到结合场景特性，通过标准化接口，组装个性化、定制化、综合化服务；三是从为客户提供线上金融服务，到无感、无缝为客户提供场景+金融的服务闭环。

随后，陈利强介绍了交通银行开放银行的基本情况。交通银行自2020年系统性的启动开放银行建设以来，围绕数字化转型战略指引，不断创新融合大数据、人工智能等前沿技术手段，以技术领先、合作广泛、发展稳健、创新活跃、特色鲜明的开放银行为目标持续推进。

开放银行是交行对外服务的“毛细血管”，可以有效降低金融服务“门槛”，增加各业务条线产品服务的客户触点，将银行金融服务与场景有机融合，从而融入实体经济全链条，融入数字经济、数字生活、数字民生方方面面，充分践行金融工作的政治性、人民性。陈利强认为，开放银行通过“毛细血管”与“主动脉”构建了一个循环体系。一方面，利用“毛细血管”延伸金融服务触点，另一方面依托“毛细血管”将复杂的客户服务最终回流到“主动脉”之中，进一步提升和促进场景+金融服务的大循环。

目前，交行在产品层面累计开放接口超四千个，开放产品服务七大类、超四百项；在生态建设层面围绕医疗、交通、教育、政务四大民生场景，以及平台经济、跨境、司法、住房、养老、乡村振兴等特色领域开展合作，服务合作机构超千家；在服务终端层面整合形成综合场景解决方案，服务个人客户超两百万，产业链核心、上下游企业超四万。

在分享到开放银行发展过程中面临的新型风险时，陈利强从开放银行面临的业务风险和技术风险进行了深入的解析。

业务风险主要有四点。一是业务合规风险，主要包括运营风险和产品管理风险。运营管理风险包括第三方机构风险，比如营销、交易欺诈等或存续期管理不到位等风险；产品管理风险会遇到比如信贷、理财等产品在互联网平台展业的监管新规导致的合规性风险。二是数据合规风险，包括数据收集合规风险、数据使用合规风险、数据传输合规风险、数据存储合规风险。开放银行连接了诸多主体，风险点增多，任何一方数据保护存在薄弱环节，都有可能危及数据安全。三是商誉风险，开放银行合作模式容易将第三方的经营、信用风险传导至银行端，比如合作机构退出甚至倒闭带来的舆情，以及消费者投诉带来的声誉风险。四是衍生风险，开放银行综合化的服务模式将业务链条拉长，以及通过第三方平台提供业务，可能存在借产品创新之名迂回逃避监管的问题，如不恰当使用银行数据和产品，可能存在借银行渠道实现非法目的，导致洗钱、资金空转套利等风险。

谈及技术风险时，陈利强强调，“技术风险是开放银行面临的非常艰巨的防范任务，主要呈现三方面特征，如攻击手段多样化，攻击途径隐蔽化和攻击场景自动化。一是多样化，指一种攻击往往效果不好，举个例子，他打不过你，先把你绊倒再打你，组合法杀伤力还是很大的；二是隐蔽化，有些攻击往往我们看不到，等到发现的时候已经出现了一些真正的风险；三是攻击场景自动化，各种工具越来越多，用好了是服务大家，用不好就会用这些新技术做一些新的尝试，比如对接口漏洞自动扫描、自动调整参数攻击，这也是防不胜防的。”

最后，陈利强分享了交通银行(601328)开放银行如何统筹安全与发展的相关经验。

在顶层设计上。交通银行发挥网络金融条线渠道整合优势，联合行内公司、零售、同业等业务部门建立了交通银行开放银行建设的统一蓝图，在总行层面发布了开放银行三年规划，明确了各类重点任务和保障措施。在制度体系层面，主要以管理办法、业务指引、场景综合服务方案为核心，构建了一个新型管理模式和业务体系。在组织保障层面，重点以公私联动、业技融合作为核心，开放银行最大的好处是把G-B-C-F端有机地进行了整合。在风险管理层面，最核心的是合作机构的准入，当然还有审核机制也是一个重要的屏障，最终目标要实现可监控、可阻断、可溯源三位一体的预防体系。在业务管理层面，充分复用行内数字化转型的成果，例如企业级架构、风控中台等数字化转型成果，发挥统筹协调作用，最终做到风险防范。

在平台建设上。交通银行以业务安全发展为导向，打造完善的开放银行平台底座，一是开放银行门户网站，有场景和解决方案、成功案例的展示；二是合作机构管理平台，对合作机构进行全生命周期的管理，比如机构入驻、产品开通以及最终上线审批、存续期管理等都在这个平台上完成；三是开放银行治理平台，重点治理API接口/H5页面，通过治理最终形成开放银行产品的全生命周期管理；四是开放银行处理平台，实现了开放银行交易可监控、可阻断、可溯源的交易管理和网络监控防范体系；五是运维监控一体化平台，主要是建立业技一体7×24小时的监控，对API资产的监控、对合作机构交易的监控等必不可少。

在产品体系上。交通银行构建了三级产品体系，分为七大类服务能力，主要围绕生产经营、民生消费、政务服务、同业场景等方面，充分挖掘行内平台产品服务“宝库”，最终把行内的能力向外输出，不断升级产品的配置化、服务化和组件化。

在技术治理和安全实践上。陈利强阐释了API设计原则、API动态伸缩性、API多样对接能力、API监控报告、API全生命周期治理等全方位的技术治理规范。同时也分享了安全防护的实践经验，比如在网络安全防护方面，加强代码扫描，搭建WAF防火墙进行主动防御。采用多级nginx代理架构，实现流量分发和管理；在通讯安全方面，采用tls1.2协议链路加密并禁用tls1.2中的弱算法从而加固信息链路安全；在身份认证应用安全方面，支持公私钥、数字证书、硬件key、加密机等认证模式；在数据安全方面，支持多种数据算法，合作方选择RSA或SM2任一算法均可完成签名/验签处理。

在最后的分享寄语中，陈利强提出，交通银行希望以构建技术领先、合作广泛、发展稳健、创新活跃、特色鲜明的智慧化开放银行为契机，创新银行对外合作模式，打造G-B-C-F端多元联动的场景生态，统筹安全与发展，营造开放银行数字新生态，共建服务实体经济新模式。

全文详见：http://kzlcoin.com/post/2266.html

TOP