在 2013 阿里云开发者大会上,北京银盾思创网络技术有限公司总经理、北京科蓝软件系统公司首席信息官(CIO)总经理戴林巧做了题为「互联网金融时代传统金融 IT 服务的变迁」的分享,会后 InfoQ 针对互联网金融的定义、安全措施的建立、传统银行向云端转型等问题对他进行了采访。
InfoQ:请您做下自我介绍?
戴林巧:我是戴林巧,22 年前毕业后一直在金融领域工作,最早在香港港中银的深圳开发中心,后来就加入到了北京科蓝,科蓝应该是中国网银方面最悠久、也是最专业的公司,目前市场占有率百分之六十多,我是科蓝的 CIO。2012 年,我就把科蓝公司里面的安全部门剥离成一个独立的公司:银盾思创,定位两点,第一,因为现在金融的领域要解决最根本的问题,就是安全和便利问题。这个独立公司专门做安全这块的一些配套产品;第二就是多渠道整合平台,就是电子银行统一化体系。因为现在银行的已经不满足于像以前那样做个网上银行,将来有手机银行、各种各样的其他的一些接入手段,包括内部的电话银行、传统的 ATMPos,他想把这个圈子集中起来,统一来进行处理,因为它的业务流程应该是交迭的,甚至是可以互动的,这就是我们做的两块主要产品。
InfoQ:现在我看您这次演讲时来讲互联网金融这块的迁移,对互联网金融您是怎么定义的?
戴林巧:我今天议题的着重点还不是互联网金融,是互联网金融时代,银行 IT 迫于压力,他准备怎么办?我个人认为,所谓互联网金融如果按我们现在的共识理解,就应该是说:互联网企业做金融。因为如果说是金融企业在互联网上做得金融,那就是金融互联网,我觉得这样的定义可能会比较清晰一点。
总的来讲我觉得核心的命题是互联网金融的实质,从产品理念来看,金融的产品就是金融产品,并不是因为你是在互联网金融上,还是金融互联网上用,它就会有本质差别。但是二者的主要差别在于,它产生产品的模式是不一样的。如果按照互联网金融的产品来做,同样做基金,就像余额宝那样:
- 首先,营销渠道是不一样的;
- 第二,营销方式也不一样的;
- 第三,信用体系不一样;
整个互联网金融,我觉得最关键的是信用体系。银行现在本身把客户信息都集中进行漂洗、梳理,但实际它的数据质量都不高,因为银行和客户接触的点不是很深入,也就是存钱、取钱、买东西,他并不是和生活联系的。而像支付宝等,是把大量客户产生交易的数据基于内部建立的信用体系和名誉等联系在一起,解决诸如阿里小贷等的问题。所以我认为互联网企业说白了,就应该利用互联网现有的渠道能力、营销平台等整个体系,收集了客户的准确行为分析信息,建立信用体系,和金融的某一个产品进行混合包装出来的东西,那就是互联网金融。
InfoQ:比如传统的金融企业要往云上来迁,一个是内力还是外力导致的,这两个关系怎么来看?
戴林巧:其实内力外力都有。从内力来讲银行本身实际是需要云的,早期就有很多网上银行,当数据库服务器不够、要配置的时候,要申请一个新的服务器,审批流程是很费时费力的。因此如果有云的弹性计算,他当然很需要了。还有就是目前国内大部分的金融行业还是本位主义,就是开发的管开发、运维的管运维,所以说等他出了问题,一般会找到开发商,把开发商给拽过来,说为什么性能那么低?举个例子,比如我刚才谈下载安全控件,因为我们银盾独立做安全控件给银行做升级。升级之后,控件比原先复杂、而且越来越严谨,导致安全控件肯定越做越大。原来控件可能 1M,新的可能要 2M。结果下载的时候呢,当时用户就是几乎没法登陆了,整个网络带宽一百兆就被占满了。因为要进网上银行的前提是首先要登录,但是登录就需要下载控件,你没有控件的保护就进不去,这就成了「鸡和蛋」的问题。当时就紧急的拓带宽,拓到 500M。如果我现在有阿里云网络的弹性基础设施,就可以按需扩张,这肯定是个解决问题的方式。
又回到我们的问题,他们有没有抵触呢?既使这样,我们推了那么多银行的,也卖了不少的网银管家,但是真正接受云服务的还是少数。很多银行说我有钱,买两台高端的服务器用 Linux 自己做,但问题是银行有时候自己建设的系统还不是云,如果是私有云还可理解,如果私有云都没用,这就是一个问题,如果有一天整个业务量压力大到一定程度,就没办法支撑了。
还有比如说利息市场化,到了有一天银行充分竞争之后,存贷差异大可以压缩之后,银行的利润还是随便花钱吗?无论从网络上、从存储上内力肯定是有。另外从安全上也是有的,现在银行自己雇了一些人员,他有可能接触这些敏感信息,这就需要从内部信息安全上做。假设有一个产品能放在阿里云上,阿里云一定会要想出很多方法防止别人作弊,而这些手段就比每个银行自己去做这个事情要强的多,所以一个个问题放到台面来做,就可以做得很安全。
从外力来讲,那就是双十一,双十一期间很多暴露的问题,很多报道是数据库版本升级的原因、系统原因,但实质主要是机房能力问题和网络带宽问题。但是你没法去预知双十一的量有多大,所以我认为外力也是一个需要。并且随着互联网金融、金融互联网的融合,到了一定程度,银行不得不采用云计算,或者至少从网络带宽上动态解决问题的方式。
InfoQ:现在国外有一些可以借鉴的模式吗?
戴林巧:国外借鉴的模式,特别在网上银行、金融互联网这一块,中国的很多模式应该国外来借鉴我们。比如安全这一块,因为中国整个环境相对来讲比较恶劣,所以我们的安全手段技术肯定是比别人要先进,在安全和方便上怎么去平衡的思考也会比别人多,银行现在有的产品,除了取现之外,有什么没有在互联网上的?应该都有的。所以说这是很同质化的问题,但是互联网金融就不一样,互联网金融本身最关键的是我们不一定会把眼睛放在一个产品上,比如还有信用、营销渠道和营销手段等,这几样东西是决定创新的内在因素。还有一个问题,就是大家都满街喊「屌丝经济」,其实中国目前银行做的客户群和现在阿里做的客户群是不太一样的。传统的银行机构接受这些国企一些大型的机构,而现在谈的中小型、微型银行、微型企业,其实没有落地。阿里目前就在弥补这个空白,所以这个方面的创新也是值得推广的。
InfoQ:刚刚您提到传统银行可以把整个服务器或者架构迁到私有云上,那么它和现在的模式可以并行存在吗?
戴林巧:对,这个问题我们也和银行探讨过,有些网上银行实在不愿意迁到阿里云,是不是可以先让阿里云输出技术,给你建私有云?有些银行还是感兴趣的。而且这个对安全的敏感度要低很多,这个可能是第一步。事实已经有银行在做一些云,比如虚拟桌面等,而真正在核心业务这块还没人考虑,但是我认为这只是个时间问题。
InfoQ:现在已经有些银行开始迁到云服务上,对他们来说最重要的其实就是安全,安全能讲一下吗?
戴林巧:安全其实有两方面,一个是安全体系绝对不是某一端的,比如现在目前国内的很多二代 Key 都有安全缺陷和漏洞,有些很致命的厂商的 Key,我们拿过来可以让他不做确定、也不显示,直接就签名,服务端可以照样过。基于这一点,我觉得这个行业的责任感是第一位的。因此首先解决的就是那些冒牌的安全公司、冒牌的硬件厂商的问题,让他慢慢淘汰。回到本质,云安全的核心问题要解决密码安全问题,对于密码安全问题,安全控件是一种补充手段,如果专业人士如黑客组织开始搞这些事的时候,就需要系统性工具的帮助,例如我们现在在做的 Key;
第二个问题就是从系统安全的角度来考虑,目前现有的 RC1024 只能用到 2012 年,现在是 2013 年,真正能够替代 RC 的是 ECC 图形曲线算法,但怎么在中国的整个金融领域普及 ECC 图形曲线算法,这是必须大家要不能回避的问题。因为如果用 RC 算法,要升级到 2048,它的代价很高,所以就需要用新的技术。我们也和阿里云谈过,未来可能也要做这一块的产品。例如在阿里云建立个服务,满足最新的安全标准,如果不做这个事情,意味着什么?斯诺登事件已经说明这个问题,现在中国的金融计算中心,随随便便用美国的超级计算机就可以很快给破解 Key,如果要发起攻击,他就完全可以伪制你的 Key,那还要二代 Key、三代 Key 干吗?所以没有意义了,这就是我说的核心的密码问题。
第三个,未来移动化的情况下云的管理和原来是不太一样的。银行的计算中心是他自己的,现在不可能让计算中心的人都到阿里云来上班吧,我们和阿里云提议过建立一些模型能够使金融领域放心使用。因为金融领域都有堡垒机的概念,管理员要通过中间的过渡机器来管理终端机器,阿里云早期是针对普通 Web 网站的,但是我们托管网银管家后就发现不能做,如果随便一个知道超级用户密码的人就可以进去,那是挺可怕的,对金融特定的安全应用领域,应该把这块封掉,也就说只面向客户的服务,可以公网发布,至于我内部管理的服务可能要通过特殊的安全强制手段来进行解决。
InfoQ:我就想问一下,基于现在您在阿里云上做的一些业务,介绍一些比较成功或者具有可借鉴意义的?
戴林巧:我负责的银盾做的网银管家,应该是非常有价值的东西,为什么这么讲?每个银行都需要面临控件升级问题,用户并不是下载一次、装完一次就完了,需有有套软件能帮你进行定期维护、定期的更新,同时现在钓鱼网站很猖獗,而网银官家能够对软件的环境、钓鱼网站、设备更新进行检查。这个产品和云是非常合适的,在使用云之前,我们自己曾经建过服务器,后来发现业务量一旦大了之后,完全不能满足要求。这就使得我们想能不能让客户下载的带宽是不受限制进行动态调整?在了解阿里云的 OOS 开放存储之后觉得如获至宝,所以我们就托管阿里云上,第一我们本身低成本,不需要为那些商用软件去付钱。第二个问题,本身他下载的带宽是弹性的,第三它的安全管理,DDOS 会由阿里云解决;
第二个,我现在也兼任科蓝公司的 CIO,我们现在在做各个银行的快捷支付,我们只要在阿里云上托管支付网络的代理服务器就可以和很多银行对接,而每个银行自己的差别,我们去消化,但是对于阿里云和支付宝来说,只需要做一次结合就行了。当然,我认为从更大战略来讲,这就打通了银行和中小银行的通道;
下一步我们也会准备把现有传统的网上银行进行云上的托管,所以我认为在阿里云上下一个潜在大规模爆发的应用,应该是网上银行。
评论