在9月25日举办的外滩大会上，浦发银行发布《开放银行2.0——全景银行系列蓝皮书》（下称“蓝皮书”），提出开放银行发展新阶段——“全景银行”。

全景银行是银行围绕用户生命周期的需求，构建生态场景，与商业生态系统共享品牌、渠道、流量、技术等资源，运用数据智能动态感知需求、实现智慧联动，提供聚合金融及非金融的综合产品和服务，从而为用户创造个性化价值，实现极致体验的平台化商业模式。

作为一种平台化商业模式，全景银行一大特点是开放的生态圈。在平台经济的话语体系下，多元化的参与主体是平台经济存在的基础，同时，主体之间更加密切的连接也为安全带来了更严峻的挑战。

对于银行服务来说，安全的重要性毋庸置疑。

全景银行的安全挑战

开放银行通过API/SDK等技术连结生态各方，以场景为触点，通过场景感知、用户洞察等手段，为用户提供金融服务，提升用户体验。

作为开放银行新阶段，全景银行同样重视生态打造，在新的服务模式下，全景银行面临新的安全挑战，包括数据安全、网络安全、合规、生态合作等方面。

数据安全方面，全景银行需要满足用户连续时域、连贯场景的服务体验。在这一过程中，数据流转环节多，数据类型多样（涉及个人金融数据和业务数据）；另外，服务场景连接了多个合作主体，数据泄露和欺诈风险点增多，任何一方服务接口存在缺陷或权限设置不当，都会出现数据保护薄弱环节。

网络安全方面，随着技术发展、融合，网络边界逐渐模糊，银行原有的防护边界和防护手段无法满足面向全旅程互联互通的安全需求，服务接口易被恶意调用，遭致网络攻击。比如，API恶意合作方用无效的认证请求可导致业务服务质量下降或中断。

业务安全方面，开放生态意味着交易行为、业务模式以及风险类型的多样性。在多方共同参与构建的服务场景中，必然面临不断衍生的新型欺诈方式以及快速发展的网络黑灰产威胁，相应的欺诈手段也呈现出专业化、产业化、隐蔽化、场景化等特征。

合规方面，全景银行面临业务开展形式和范围、合作方式、数据开放与使用等方面的合规性风险，如何平衡和协调好合规与服务创新之间的关系，是全景银行发展需要关注的一大问题。

生态合作方面，银行与合作方在品牌、渠道等方面的合作可能面对多种风险环境，比如违规操作、外部攻击、交易欺诈等；同时，银行和各合作方面临不同的监管要求、技术基础设施存在差异、对安全风险理解和接受度不一致，在合作中如何确保安全、避免系统性风险就成为重点。

全景银行的安全框架和方法

为防范全景银行面临的安全风险，蓝皮书提出基于用户旅程的风险分析、安全设计和控制措施动态部署的思维范式，形成适应开放生态特点的全景银行安全框架----“CARE”模型：C代表开放能力、A代表保障体系、R代表风险轮廓、E代表生态各方。

• 开放能力（Capability）是模型的核心要素。
• 保障体系（Assurance）从保障措施的视角明确全景银行应具备的安全能力。
• 风险轮廓（Risk）主要反映全景银行生态中动态变化的风险种类和风险等级。
• 生态各方（Ecosystem）包括与全景银行生态场景相关的最终用户、API使用者（合作方）、API平台方以及API提供者。

在具体的安全设计上，在CARE安全模型的基础上，全景银行以场景构建为切入点，基于用户旅程进行动态风险分析和安全设计，包括七个阶段。

1、API安全类别梳理。根据业务活动范围、数据敏感度、资金流动范围等，可分为资金有限制流动类操作、信用担保类金融操作、账户信息查询、通用金融信息查询等类别，以此作为风险识别的基础。

2、安全风险识别。风险类型主要有以下几种。

3、风险级别判定。根据不同类别API出现安全事件的影响，确定API安全类别在各风险维度（共6个维度：隐私与数据泄露、技术风险、洗钱风险、欺诈风险、法律合规风险、合作方信用风险）的风险等级（分5级），形成全景银行安全热力图。

4、静态及动态措施制定。静态控制措施是用于防范安全风险的通用要求或组件，适用于所有API类别，不随场景的转移而发生变化；动态控制措施是针对风险类型和级别动态变化而调整的控制措施，以应对用户旅程快速变化的风险。

5、动态风险分析。提取构成用户旅程的API，识别API安全类别，依托安全风险热力图，分析旅程中风险轮廓的动态变化。

6、用户旅程动态控制措施设计。针对用户旅程中动态变化的风险轮廓，借助控制措施库，识别需要采取的防护措施，构建适应用户旅程安全需求快速变化的方案。

7、部署方案制定。包括技术组件的封装与适配、部署位置的确定、启用时间与触点的控制、服务调用与集成等。

此外，蓝皮书还指出，要保障全景银行的生态安全能力，可从加强多元安全治理、规范化安全管理、自适应技术架构、智慧化安全运营着手。

责任编辑：陈爱