2019年3月起,香港金融管理局陆续发出8张虚拟银行牌照,众安银行成为首批获牌机构。众安银行由互联网保险巨头众安保险旗下众安科技与香港百仕达等合资成立,后获周大福、友邦保险等投资。自2020年3月开业以来,在业务创新与服务不断升级过程中,众安银行客户数量已超过70万,接近1/4的香港年轻人持有众安卡,资产规模在香港8家虚拟银行当中位居首位,被媒体称为“香港第一数字银行”。
因为涉及大量敏感信息和资金交易,银行等金融机构历来是最为重视网络安全的行业之一。正如美国在1995年成立的全球第一家网络银行Security First Network Bank一样,从命名上来看其安全工作就是银行的第一要务。众安银行作为香港首间数字银行,一切金融服务全部构筑在数字化技术之上,数字化时代,其定位是“致力于打造香港最安全便捷的银行”。
安全是数字金融信任底线 是数字银行获客基础工作
数字银行与传统金融机构对比最大的特点是没有任何线下网点,众安银行的全部业务基于“ZA Bank”App提供在线服务,让用户随时随地获得开户、储蓄、借贷、支付等金融服务。其主要的安全挑战来自以下两大方面:
第一,数字银行的所有活动全部依赖于网络,且需要7*24小时不间断提供数字化服务,这也对虚拟银行在安全方面的技术有了更高要求。另外为了提供创新和便捷的金融服务,数字银行在科技创新方面的速度也要高于传统银行。
第二,由于数字银行没有线下网点,如何“了解你的客户”将是一切业务开展的技术源头,也是业务安全的前提保障。传统银行有一个很重要的概念叫KYC,其核心的工作就是做好客户的身份验证工作,以安全合规地降低金融风险。众安银行作为数字银行则自研了一套eKYC系统,且经过不断的迭代升级,在安全保障的前提下能够获得更便捷的直通率,从而让客户获得更好的体验,而这一切的背后对技术要求是极高的。
“众安银行对于安全的态度上,无论是目标还是整体的重视程度,都是业内顶级的。安全是数字金融的信任底线,做好安全工作是与客户建立信任基础工作。”众安银行安全专家向安全419表示。据悉,众安银行通过自研的系统,风险控制效能较开业时提升了近400%,反欺诈决策所需时间,最快只需40毫秒。
构建基于云原生多云架构下的纵深安全防御体系
在IT基础设施的网络安全层面,众安银行在成立之初便确立了使用云原生基础架构和多云部署策略来支持其业务弹性运营。业务部署上采用容器化技术(如 Docker)和容器编排平台(如Kubernetes)来实现应用程序的弹性扩展、高可用性和快速部署。同时,众安银行采用多云部署策略,这一做法可避免过度依赖单一供应商,跨云双活可在发生不可抗拒风险时保障业务能够不间断运行。
在整体的网络安全体系方面众安银行同样在实践且不断丰富其纵深防御体系,从而全面降低网络安全风险,其为多云系统构建了完整的安全防御措施,以数据安全为云上核心安全机制,整体软硬件防御齐备。
众安银行背后科技力量雄厚,其成立之初就确立了关键技术自研的原则,比如其通过自研的多云管控平台来现实多云管控,与直接使用云控制台对比来看,相当于从机制上多了一层防护,从而根本上杜绝了因为权限管理不当,错误配置以及密钥泄露等带来的一系列安全问题。
据2023年发布的《众安银行技术白皮书》,众安银行还通过自研智能监控告警平台,实现覆盖全场景的系统稳定性监测,其面向基础设施层、系统服务层、应用监控层实现多层关键指标实时监控。经过多年深耕,该平台产品能力日趋完善,可覆盖生产环境各个环节,从事前发现,事中告警、定位、恢复,事后复盘总结,通过其丰富的工具能力,可随时发现潜在安全问题,并提前化解。据了解,该系统仍然在不断升级当中,比如AI技术带来的智能化就是其演进的方向之一。
对于做好云原生架构下的线上业务的安全问题,众安的安全专家分享了两个比较重要的工作,其一是要把网络隔离与访问控制做细做好,这一工作的必要性在于就算真的发生了网络攻击事件,攻击进入到了网络,隔离和访问控制可以大幅提高攻击的横向移动成本和时间,如此其背后的安全运营团队可以有更充裕的时间做出响应。另外,云上环境需要做好身份安全管理,从而解决鉴权和授权问题,另外身份验证体系的强壮度也需要额外关注。
众安银行背后技术团队奉行卓越的工程师文化,其中关键服务自研就是该思维下的三大关键词之一。
对于这一点,通过与众安银行安全专家交流时发现,从安全产品自研来看其主原因有两点,其中核心逻辑还是业务匹配度问题,这也是科技需要不断创新的行业困境。即当前乙方的安全产品或服务很难满足甲方不断变化的业务需求,与其长效的沟通和服务化的解决,通过自研以及不断的更新迭代可能是这种大甲方今后的主要选择。
另外一个原因是自研也是一家科技型企业科技力量的展现,这种科技力量也是企业不断发展壮大的必要保障,其进一步的优势是在迭代速度与成本方面都更具优势。在众安银行的一篇云上金融安全实践分享一文中我们就看到,由于其SIEM(安全信息和事件管理系统)是自研的,可以快速灵活对接众安银行的其他系统,真正做到安全运营的中心可视化和集中管理。
技术不断迭代升级 做香港业务安全性最好的数字银行
前文提到,数字银行的最大挑战之一是如何“了解你的客户”,众安银行通过自研eKYC系统,后期经过30多次优化迭代,已经可以实现120秒的最快开户记录。对于这一点,众安银行认为不断提升的优异直通率也是该行客户持续增长的原因之一。eKYC的主要作用是确定开户人是否合规,以及其检测其注册终端的安全性,从而避免业务安全风险。安全专家分享称,众安银行这套eKYC系统因为技术出色,能够将安全和效率做到兼顾,也是受到了香港金融管理局的夸赞,并希望其技术能够分享到其它金融机构当中。
金融机构有一项必要的业务安全工作要做,那就是构建风控系统与反欺诈工作。众安银行通过全面的自研能力,如今风控系统已经历经了三次重大的版本迭代,最新的3.0版本当中会更加注重风控数据效率和自动化,大数据和人工智能技术相结合,通过自动化预测、评级和决策等方式,对风控效果和效率都有了更好的表现。
众安银行曾强调,技术团队不应该是业务团队的附属,支持好业务只是及格线而已。我们还看到,其技术团队通过全自研的卡交易系统、模型驱动的卡交易风控体系等技术手段,结合针对卡交易创新设计的ZA Verify功能,使得众安银行卡的全年欺诈金额比香港同业平均低15倍,为客户提供了15倍的安全。
以ZA Verify功能为例,若用户在交易时收到ZA Verify提示,则需要登入ZA Bank App并确认交易,然后才可以重新发起交易。用户也可以通过ZA Verify拒绝交易,让线上消费更添保障。
当前,数字化转型持续提速,科技创新的速度超过以往任何一个时期,这也对企业的开发安全有了更高的要求。了解来看,众安银行的全研发体系已内建至DevOps体系中,升级成为DevSecOps体系。即以安全左移思想,在软件开发过程中及时发现潜在安全问题,并提前解决。对应而言,众安银行技术团队也通过大量的技术自研,实现了一整套的DevSecOps实践,在设计、开发、CI/CD、测试、上线五个阶段都设置有安全管控措施。
数字经济时代 数据安全保护工作是企业头等大事
进入数字时代,数据价值日益增长,数据的保护工作必然是企业额外关注的焦点工作。对于在港开展金融业务,众安银行安全专家也强调,如今全球各地区均高度重视数据安全工作,众安银行也是建立了完善且严格的数据安全与隐私保护体系。
众安银行建立了数据的全生命周期管理工作,从数据采集、传输、存储、访问、处理、销毁的每一个环节,都有着严格而又明确的规范要求,并且利用技术将其规范化执行落地。比如严格按照最小化原则收集金融业务所需数据,通过自研加密传输、加密存储工具,多级数据备份系统保障数据绝对安全可靠,通过自研的统一权限管理系统对各级的数据访问进行高标准的安全管理,并提供监控与审计、脱敏的数据处理流程上的技术机制,全面保护业务数据安全性。
安全合规重在持续运营 关注AI技术创新也需同步关注风险问题
咨询服务机构在提升金融机构网络安全成熟度方面的建议是,高昂的网络安全支出并不意味着能转化成更高的安全成熟水平,其核心看法是金融机构采用何种方式以更好的保护其数字资产安全才是这项工作能够做好的关键。
安全永远不是一劳永逸的工作,众安银行的安全体系建设能够如此完善,最重要的是本身对该项工作有着极高的重视程度,并且能够系统化的从持续运营角度来不断改善安全短板问题。这种持续运营工作的开展,一方面得以不断夯实现有安全体系,也对金融机构开展科技创新提供有力支持。
安全专家也谈到了当下及未来的AI技术创新应用带来的问题,从安全角度来看其提醒认为,以安全运营应用AIGC技术为例,其确实能起到一些不少的帮助,这项工作本身就是一项费时费力的事,且是一项长期工作,AI的加入可以大幅提高效率。但企业必须同时关注AI技术本身的风险,无论是从应用AI技术本身,避免数据泄露风险,同时安全专家也关注到了应用AIGC技术的攻击行为,比如针对员工的AI化的社工钓鱼,这些企业内部必须进行新一轮的安全意识培训以提前防范。
调研下来安全419最大的感受是,众安银行的数字化创新与安全正在高效地同步进行,数字化创新是提高App端服务便捷性和增加用户粘性的关键,从而全面释放金融普惠,安全则是所有的数字化服务的红线和底线,为保障IT基础设施安全性和业务抗风险能力,众安银行主要依靠强大的技术团队通过先进技术的自研与实践,并以持续运营的方式落地调优,众安银行的安全工作也得以持续升级。
注.众安银行此前发布的《众安银行技术白皮书》曾对香港第一数字银行背后的技术能力和安全能力进行了全面的介绍。关注“众安国际技术团队”公众号,后台回复“技术白皮书”,即可获取《白皮书》下载链接。
京公网安备 11010802033237号
