銀行的雲計算應用

導讀:這是系列文章之一。本系列梳理了國內外銀行信息化歷程,包含區塊鏈、雲計算、物聯網、移動端、人工智能各方面的應用情況。

一、雲計算髮展簡介

1963年,DARPA(美國國防高級研究計劃局)向麻省理工學院提供了約200萬美元的津貼,啓動了著名的MAC項目,要求麻省理工開發“多人可同時使用的電腦系統”技術。當時麻省理工就構想了“計算機公共事業”,即讓計算成爲像電力一樣供應。這個項目產生了“雲”和“虛擬化”技術的雛形。

然而,有趣的是,儘管思想萌芽出現的很早,但直到將近40年後的2006年,“雲計算”這一術語纔出現在商業領域,Google、亞馬遜和IBM先後提出了雲端應用。

Google一開始是爲了將大量廉價的服務器組合起來支持其龐大的搜索業務;亞馬遜則是因爲自建數據中心後,爲了將多餘的空間出租出去,而推出了EC2 (Elastic Compute Cloud)雲服務;IBM則是在從硬件製造商轉型爲企業級軟硬件整體解決方案供應商的過程中,逐漸形成雲服務能力,與2007年推出了Blue Cloud服務,但是最終,起步並不晚的IBM卻錯失了“雲計算”的快車;2008年,微軟在其開發者大會上發佈了PaaS雲計算平臺──Azure Service Platform。

我們今天理解的“雲計算”實際上只有十二三年的時間,比區塊鏈技術的歷史略長,但是,這短短的十二三年時間,已經使“雲計算”成爲了可有效駕馭龐大計算資源的成熟技術,其發展速度不可謂不快。

時至今日,從服務類型上分,雲服務可以分爲IaaS、PaaS和SaaS三種類型,分別對應只提供基礎設施、提供完整開發環境和提供成品雲端軟件三種服務方式;從部署模型上分,主要有公共雲、社區雲、私有云和混合雲,公有云是第三方提供者擁有的可公共訪問的雲環境,社區雲則僅供一組社區成員訪問的雲環境,私有云是僅供一個組織所擁有的雲環境,混合雲則是採用以上兩種或多種部署模型組合部署的雲環境。

國內雲計算市場發展很快。國際數據公司 (IDC)發佈的《中國公有云服務市場(2018下半年)跟蹤》報告顯示, 2018下半年中國公有云服務整體市場規模(IaaS/PaaS/SaaS)超40億美金,其中IaaS市場增速再創新高,同比增長88.4%,PaaS市場增速更是高達124.3%,增速遠高於全球。相比2014年,2018年中國公有云IaaS市場對全球的貢獻份額已翻倍,達到46.5億美元。2018年,公有云市場後發廠商頻頻發力,華爲、百度、浪潮、京東等均得力於其強大的研發和生態實力,實現了高達市場平均水平2-8倍的迅猛增長。

201第一季度中國公有云服務整體市場規模(IaaS/PaaS/SaaS)達到24.6億美金,同比增長67.9%。其中,IaaS市場增速有所減緩,同比增長74.1%;PaaS市場依然保持高增長,增速爲101.9%。
阿里、騰訊、中國電信、亞馬遜(AWS)位居前四,總共佔據70.2%的市場份額;金山、華爲和百度市場規模接近,隨着一季度華爲和百度IaaS業務的快速增長,三家廠商均錄得了第五位(5.2%)的市場份額。

二、國外銀行的雲計算應用

(一)荷蘭國際集團(簡稱ING)

ING是由荷蘭最大保險公司 (Nationale-netherlanden) 與荷蘭最大的郵政銀行 (NBM) 合併而成,已有155年曆史。

2008年,該銀行認爲自己的數據中心管理方式已經過時而且低效,成本遠高於市場平均水平,於是,啓動了雲計算項目。在第一階段,該銀行廢除了13家數據中心,對6000多臺服務器和350多個應用進行了虛擬化。2011年初,該銀行建成了連接6個數據中心的私有云。其後,進一步投資了混合雲技術。2015年,在雲化基礎上,該銀行進一步升級了其持續交付基礎設施,爲全行轉型敏捷開發、DevOps模式奠定了基礎。目前,該銀行已經成爲整體敏捷轉型實踐的範例。

(二)德意志銀行

2015年2月,HPE與全球最大的老牌銀行之一德意志銀行達成合作,簽署的長達十年的雲計算項目,部署一系列的私有云和公有云解決方案,這將作爲這家銀行長期IT轉型的一個重要步驟。

德意志銀行正在執行一個長達10年的長期IT轉型戰略,這一戰略的命名是:Project Nucleus——戰略轉型“核戰略”。顧名思義,德意志銀行對這一戰略寄予極高的期望,總預算高達數十億美元,目標是將德意志銀行的全球IT環境進行升級換代,從而實現IT基礎架構的成本降低,德意志銀行的IT部門將從成本中心轉變爲運營中心。

HPE主要爲德意志銀行的批發銀行業務的IT架構提供私有云產品和解決方案,其中包括存儲、平臺、和託管業務。HPE託管私有云整體解決方案將入駐德意志銀行全球約20個數據中心,包含按需計算資源、定價策略等,這也將改變德意志銀行的運行機制。

(三)西班牙對外銀行(簡稱BBVA)

BBVA較早採用了谷歌通過的雲方案,以提高生產效率,在2012年底,其分佈在全球26個國家或地區的超過11萬名員工已經通過雲服務進行協作與溝通。2016年BBVA分別與Red Hat、Amazon Web Services合作,着力提升其雲平臺管理、雲部署、雲計算能力,並搭建雲基礎架構與創建雲社區。

三、國內銀行的雲計算應用

(一)建行

2012年開始,建行率先進行了嘗試,成爲國內第一家在生產數據中心大規模應用私有云的商業銀行。當年,建行成立了雲平臺規劃組,對雲計算技術進行研究。2013年8月建行私有云平臺項目成功上線,有效地支持了新一代核心系統長達六年的建設和投產歷程。該項目也榮獲了2013年度銀監會“銀行業信息科技風險管理課題研究”一等獎、“2013年中國金融信息化年度十件大事”以及“IDC2014年度中國金融行業最佳(唯一)創新大獎”。

建設銀行雲管理平臺參考了開源項目OpenStack的架構設計,並根據商業銀行數據中心運維的特點進行了適當的擴展,主要增加了和運維有關的日常檢查、軟件分發、配置管理和服務啓停等功能模塊。在技術架構方面,主要由用戶門戶、服務管理、流程引擎、消息總線和資源適配五部分組成。實踐過程中,建行對大量產品進行了抽象化和標準化的工作。

隨着建行對“金融科技”戰略的推進,基於私有云的成功運行經驗,對外科技輸出的範圍不斷加大。2018年下半年,建行開始對同業提供建行雲服務,產品豐富多樣,涉及計算、存儲、網絡、數據庫等基礎服務,還包括行業應用、銀行業務等多種解決方案。

(二)工行

雲計算實施一般會經歷從數據大集中到資源虛擬化再到雲計算的路徑。工行1999年完成了數據大集中,2008年開始部署服務器虛擬化,2014年啓動雲計算的研究工作。

工行基礎設施雲IaaS是基於開放的OpenStack、SDN之上,自主研發雲管平臺,實現了計算、存儲、網絡資源的供應,與應用平臺雲PaaS、流程管理等系統的聯動以及資源的可視化管理。應用平臺雲PaaS則採用輕量級容器技術,引入業界主流的容器集羣編排及調度技術Kubernetes。

截至2017年12月,基礎設施雲IaaS實現了研發雲、測試雲和生產雲的部署,完成個人網銀、企業網銀等11個重點應用3800多個節點入雲實施;應用平臺雲PaaS落地應用超過40個,雲上服務調用量日均超過5億筆,主要涉及互聯網金融、合作方、物聯網和主機業務下移等相關場景。針對以互聯網金融接入帶來的業務突發高峯場景,雲平臺的彈性擴展和高可用能力支撐了工行2016~2017年的紀念幣預約、春節紅包、“雙11”大促等互聯網高併發場景,在生產經歷了上萬TPS的瞬時高峯考驗。

(三)中行

中行在2018年8月9日銀行業例行新聞發佈會上介紹了該行“加快金融科技創新,全面推動數字化轉型”的相關情況。中行首席信息官劉秋萬表示,2018年,中行將完成雲計算平臺、大數據平臺、人工智能平臺等三大技術平臺建設,全面推動技術架構由集中式架構向分佈式架構轉型,爲數字化發展提供有力的技術支撐。

在雲計算平臺方面,私有云平臺一期於2018年三季度完成部署實施。先後完成微信銀行等41個分佈式應用系統建設與改造工作。同步推進主機查詢類交易下移和小型機平臺應用遷移工作,累計實現下移MIPS 28000左右,佔全部核心系統交易比例58%以上,已完成17個應用系統由小型機平臺遷移至X86平臺。

(四)中國郵政儲蓄銀行

2018年8月24日,在金科創新社和IBM聯合舉辦的2018新一代金融雲平臺沙龍上,中國郵政儲蓄銀行(以下簡稱“郵儲銀行”)數據中心高級工程師穆冬生先生介紹了郵儲銀行的雲計算應用情況。

郵儲銀行是從2014年底開始嘗試雲計算技術,首先在廣州的一個消費公司示範;2016年通過四大類的開發測試項目和電子渠道的項目,夯實了雲技術平臺的架構體系,並將手機銀行遷移到雲;2017年在雲上部署大數據相關應用;2018年開始進行是負債和資產等核心業務系統上雲。雲上的整體交易量在行內業務中的佔比達到約60%。

郵儲銀行雲架構是基於Mirantis OpenStack的私有云,中間層也在不斷嘗試容器化推送。

(五)平安

平安科技從2013年年底開始籌備雲平臺建設,並從2014年逐步構建平臺和應用試點。

在架構上,平安雲先是採用公有云的服務設計和架構方式來做私有云,比如在設計之初就實現多租戶,平安內部有很多的專業公司,專業公司下面還有不同部門和項目組,這些基層組織在雲上都是租戶。此外,還採用了 VPC(虛擬私有云)的方式,把租戶和租戶之間通過網絡進行隔離開。這種架構設計使平安雲比較順利地實現了後續向公有云方向的發展。

在底層技術框架上,平安最開始用的是 CloudStack,在使用過程中也融入了一些 OpenStack 的模塊,相當於把 CloudStack 和 OpenStack 的相應模塊整合在一起。在五年多的持續使用過程中,逐漸構建起平安自己的 PAStack(也叫做平安 Stack),形成了平安自己的一套框架。平安雲從 14 年底 開始嘗試容器技術,提出了CaaS設計理念,目前應用重點仍放在 Kubernetes 上。

2015 年底,平安私有云搭建完成;2016 年初,平安提出平安雲要從對內服務轉變爲對外服務,要做最專業的金融公有云;2017 年年中,平安正式對外發布了平安公有云;2017 年底平安集團的又進行了新的業務戰略調整,在金融行業之外,增加了醫療和智慧城市兩個方向。

平安雲逐漸從私有云演變成行業雲,由於其服務的行業均爲強監管行業,因此在雲平臺構建上應用了很多隔離技術,使整個雲平臺可以支撐不同的行業。爲了應對政府對數據安全性的高要求,採用了不同的管理方式,託管和專區都有,以滿足不同行業對數據安全性上的各種特殊要求。

國內大型銀行多采用在原有數據中心的基礎上,從私有云做起、自建平臺的雲計算實施路徑,中小型銀行中雖然也有少部分銀行自建平臺,如江蘇銀行(2017年6月26日投產)、中原銀行(2018年9月29日招標),但大多數銀行難以負擔高昂的數據中心建設成本,其中少數行採用採購雲服務的方式實現業務上雲。

四、關於對銀行雲計算應用的思考

國內外大型商業銀行在雲計算方面都是從原有的數據中心經過技術改造轉型爲雲架構,也多是採用私有云建設方案,尤其是國內大型銀行。目前隨着公有云技術的發展,也有越來越多的銀行在考慮公有云、混合雲方案。但是雲計算目前依然存在以下兩個“惱人”的問題:

(一)穩定性

金融級應用最核心的訴求就是穩定性。目前公有云的頭部科技企業雖然技術發達,但是中斷依然時有發生,僅2019年,截止8月份已經有多個“巨頭”出現宕機故障。

國外方面。2019年5月2日,由於DNS配置事故,微軟的Azure雲在全球範圍內震盪不定,平臺範圍的中斷已經破壞了世界各地的各種Redmond託管系統,故障修復時間大約爲3小時;6月3日,美國東部發生網絡擁堵,影響到Google雲計算服務、G Suite(在線郵件以及企業生產力套件)服務、YouTube(國外版優酷)網站服務,根據 Google 的報告,宕機事故始於美國太平洋時間 6 月 2 日 12:25,到下午4點服務全部恢復;6月19日,IBM的Icloud出現大約1小時的較大範圍中斷,包括美國東海岸、歐洲、澳洲等地區受到影響,導致門戶和API不可用;日本亞馬遜AMAZON AWS雲端伺服器8月23日中午開始出現大規模異常,許多使用相關服務的日本手機遊戲紛紛出現連線異常狀態的lag或是讀取時間過長,部分遊戲甚至完全無法進行遊玩,影響用戶上百萬用戶的使用。

國內方面。2019年3月3日,阿里雲出現宕機故障,事故持續了3個小時左右,事後觀察了2個小時,這不是阿里雲首次出現宕機故障;3 月 23 日 16 時左右,騰訊服務器發生了大規模宕機,有網友發微博稱旗下《王者榮耀》、《刺激戰場》等多款熱門遊戲和網絡服務產品“集體陣亡”,據稱故障原因爲光纜被挖斷,故障恢復時間爲3小時左右;7月24日,騰訊雲廣東區域部分用戶出現資源訪問失敗、控制檯登錄異常等情況,經排查,確定該故障是因騰訊雲廣州一區的主備兩條運營商網絡鏈路同時中斷所導致,故障造成服務中斷4小時。

儘管“巨頭”在調流分流、彈性伸縮方面都“身懷絕技”,但是仍難免出現這些問題。上述級別的故障對於金融企業而言是難以接受的,尤其是國內人民銀行對信息安全事件分類和報告制度有着非常嚴格的規定,出現問題的金融機構會面臨嚴厲的監管問責。

目前除了中小銀行只能通過公有云方式實現“上雲”外,一些大型銀行也在對同業金融機構提供公有云服務,因此,需要時刻注意雲的穩定性問題,可用性無論達到多少個“9”,故障率依然不會是“0”,必須做好應急預案以保證業務連續性。

(二)安全性

金融級應用無法忽視安全性,尤其是數據安全。近年來,針對雲服務器進行攻擊而導致的數據泄露事件依然時有發生。

1. Equifax數據泄露事件

2017年7月29日,美國最大徵信機構Equifax發生數據泄露事件,波及約1.43億美國用戶,泄露數據包括駕照號、社保號、出生日期和地址。黑客通過利用廣泛使用的開源Web服務器軟件Apache Struts中的漏洞,盜竊了Equifax系統中的數據。Equifax總共犯了34個控制與過程錯誤導致數據泄露。可能只需其中5個控制措施和過程做對了就能避免這場數據泄露。其他29個左右可以儘早檢測到數據泄露情況,留出時間加以阻止。

Apache Struts在“財富100強”企業中應用廣泛,但該事件發生後,儘管該漏洞已被廣泛宣傳,開源自動化公司Sonatype提供的數據顯示,只有五分之一的公司不再使用該軟件的易受攻擊版本,大量的用戶仍然沒有將軟件升級或者安裝補丁文件。

2019 年 7 月 22日,Equifax 宣佈接受金額創紀錄的和解協議,了結了這樁最終導致 1.5 億人個人信息及財務記錄暴露的大規模數據泄露事件。Equifax需支付至少 13.8 億美元的消費者索賠金。受泄露事件影響的消費者可得到現金補償、信用監視和身份恢復幫助,所需資金由該公司投注的 3.805 億非復歸基金支出。協議還要求 Equifax 另外支付 1.25 億美元的現金賠償,且如果報名信用監視的人數超過 700 萬,該公司需支付的數額還將大幅增加。

此外,Equifax 還需支付 1.75 億美元的罰款以平息州檢察官的調查,美國消費者金融保護局和聯邦貿易委員會 (FTC) 的調查也需 1 億美元平復。

最後,未來五年內,Equifax 還必須拿出 10 億美元改善其數據安全。而且,這還是在 Equifax 自事件發生後已在安全及技術方面投入 12.5 億美元的基礎上。

2. 第一資本銀行(Capital One)數據泄露事件

2019年7月29日,據美國媒體報道,Capital One當天發佈聲明稱數據庫遭黑客攻擊,約1.06億銀行卡用戶及申請人信息泄露。遭到泄露的數據主要是2005年至2019年初期間,個人客戶以及小型企業在申請信用卡時提交的各項信息,其中包括約14萬個社會安全號碼和約8萬個銀行賬戶號碼,以及一部分用戶的信用評分和交易記錄。

犯罪嫌疑人名爲佩奇·湯姆森(Paige Thompson),曾經在亞馬遜公司擔任網絡服務工程師。美國檢方稱,湯姆森利用Capital One系統防火牆的漏洞,通過攻擊該銀行租借的雲計算服務器進入數據庫。據CNN報道,湯姆森曾在美國代碼存放網站和開源社區Github上放出她竊取的數據。據《華爾街日報》稱,此次泄漏事件可能給該銀行帶來1億至1.5億美元的損失。

3. 富國銀行數據中心因出現故障導致宕機

太平洋時間2019年2月8日早上6點左右開始,美國第四大銀行Wells Fargo的在線門戶網站及移動應用軟件已完全無法使用,報道稱富國銀行的銀行卡被衆多收銀機和商店拒絕。該銀行在一份聲明中表示:“我們遇到了系統問題,原因是我們的一個數據中心出現了電源關閉,在日常維護後檢測到煙霧後啓動了斷電機制。我們正在努力盡快恢復服務。我們對於給您帶來的不便深表歉意”。

滅火系統往往會對數據中心的機器、尤其是硬盤驅動器造成相當大的破壞。恢復電源並消除滅火系統的影響可能需要一段時間。故障出現後,雲計算服務隨之癱瘓,富國銀行在美國全境出現持續了數小時的大規模宕機。由於缺乏更進一步的信息,該事件如何引發了連鎖反應,影響了這家銀行面向互聯網的整套基礎設施尚不得而知。

4. 2019年發生的其他產生較大影響的泄漏事件

安全研究專家特洛伊·亨特( Troy Hunt )在博客中稱,在雲存儲服務平臺 MEGA 上,被黑客公開了竊取的 7.73 億個電子郵件地址和近 2200 萬個密碼,這些文件一共超過 1.2 萬份,數據超過 87 GB;因服務器出現安全漏洞,IT 安全和雲數據管理巨頭 Rubrik 的數據庫遭到泄露,該數據庫存儲了近 10GB 的數據,包括每個客戶的姓名和聯繫方式等;一位名爲 Andrew 的黑客在 Pastebin 網站上叫賣領英網站 1 億 5900 萬用戶的敏感數據,爲了表示數據的真實性,該黑客已放出 100 名用戶的登錄憑證,其中甚至包括知名 CEO 的登錄數據;荷蘭非盈利機構GDI基金會研究人員發現,位於深圳的某人臉識別公司發生大規模數據泄露事件,超過250萬用戶的680多萬條信息記錄被泄露,泄露數據包括身份證信息、人臉識別圖像、24小時內的位置記錄等敏感信息。

5. 國內雲平臺安全形勢依然嚴峻

據新華社報道,國家互聯網應急中心2019年8月13日發佈的《2019年上半年我國互聯網網絡安全態勢》顯示,2019年上半年,發生在我國雲平臺上的網絡安全事件或威脅情況相比2018年進一步加劇。

根據國家互聯網應急中心監測數據,發生在我國主流雲平臺上的各類網絡安全事件數量佔比仍然較高,其中雲平臺上遭受分佈式拒絕服務攻擊(DDoS攻擊)次數佔境內目標被攻擊次數的69.6%,被植入後門鏈接數量佔境內全部被植入後門鏈接數量的63.1%,被篡改網頁數量佔境內被篡改網頁數量的62.5%。

報告指出,攻擊者經常利用我國雲平臺發起網絡攻擊,其中利用雲平臺發起對我國境內目標的DDoS攻擊次數佔監測發現的DDoS攻擊總次數的78.8%,發起對境內目標DDoS攻擊的IP地址中來自我國境內雲平臺的IP地址佔72.4%,承載的惡意程序種類數量佔境內互聯網上承載的惡意程序種類數量的71.2%,木馬和殭屍網絡惡意程序控制端IP地址數量佔境內全部惡意程序控制端IP地址數量的84.6%。

穩定性和安全性對金融級應用非常重要,一旦發生問題,對金融機構而言影響極大。當然,上述例子並非是要銀行因噎廢食,而是銀行在雲計算方面依然需要不斷提升技術能力。總所周知,即便是大型銀行,其場景併發量當前仍比互聯網科技公司低至少一個數量級,所以在雲計算的基礎技術領域比後者還是稍差一些。當銀行不斷尋求雲上業務規模的拓展時,也必須注意到規模產生的複雜度,無論是在調流限流、降級、彈性伸縮、多活等技術上,都需要不斷加強。安全性則始終是一個“道高一尺魔高一丈”的循環過程,私有云安全保護程度相對還是要高於公有云,而希望提供公有云服務的銀行,需要格外注意加強安全管理。

參考資料
1.《雲計算定義、發展史及三個層次詳解》,網優僱傭軍,2017-12-02,電子發燒友網。
2.《雲計算概念、技術與架構》,Thomas Erl、Zaigham Mahmood、Riccardo Putttini,2017年7月,機械工業出版社。
3.《金融服務業的雲計算》,2019-06,伯納多·尼克萊蒂著,陳冰翻譯,經濟管理出版社。
4.《HPE Helion雲計算成爲德意志銀行數字化轉型的核心力量》,2015-11-03,huipuyunxitong的博客。該博客文章部分內容引自著名研究機構451Research發佈的研究報告《HP cloud is at the center of Deutsche Bank’s digital transformation》,原文作者:451Research分析師William Fellows。
5.《金融服務業的雲計算》,2019-06,伯納多·尼克萊蒂著,陳冰翻譯,經濟管理出版社。
6.《開放銀行:國際範式與中國實踐》,2019-06-14,楊望、王姝妤,瀚德金融科技研究院。
7.《雲計算技術研究——中國建設銀行私有云探索與實踐》,2017-12-28,全國金融標準化技術委員會。
8.《工商銀行金融雲如何助推工行“智慧銀行”建設》,2018-05-16,中國工商銀行軟件開發中心副總經理 王雍,金融諮詢網。
9.中國銀行:2018年將完成雲計算、大數據三大技術平臺建設》,2018-08-09,胡愛善,中國網財經。
10.《Equifax的問題出在哪裏:34項控制與過程失誤》,2018-12-07,安全牛。
11.《Equifax數據泄露一年後,500強公司仍然在使用相同有缺陷的軟件》,2018-05-11,企鵝號:過去未來現在化。
12.《億級美元已是常態:迄今爲止損失最大的數據泄露盤點》,2019-08-11,安全牛。
13.《美國第一資本銀行數據庫遭黑客攻擊 超1億用戶信息泄露》,2019-07-30,中國新聞網。
14.《富國銀行眼下亂成一團糟:數據中心被煙霧籠罩,銀行網站和應用軟件宕機》,2019-02-08,雲頭條。
15.《2019上半年度重大數據泄露事件盤點》,2019-07-15,駭極安全。

相關文章
銀行的區塊鏈應用

作者簡介
付曉巖,《企業級業務架構設計:方法論與實踐》圖書作者,原國有大行資深業務架構師,負責業務架構設計、項目管理,熱衷新技術探索與實踐,具有豐富的銀行業務經驗和企業級項目業務架構設計經驗,曾主導客戶關係、金融市場、同業、資管、養老金等多個領域核心系統的業務架構設計,現就職於建信金融科技有限責任公司。即將發行新書《銀行數字化轉型》,將通過對銀行信息化歷程的回顧、對新技術的思考,應用企業架構方法,從企業管理和技術設想兩個方面闡述了銀行數字化轉型的方法論,並對轉型後的銀行形態進行了預估。書中給出了筆者自己對數字化的定義和度量方法,區分了信息化和數字化兩個技術發展階段,使對數字化的理解更爲清晰,可供銀行業及其他行業踐行數字化轉型借鑑。公衆號:曉談巖說。

發表評論
所有評論
還沒有人評論,想成為第一個評論的人麼? 請在上方評論欄輸入並且點擊發布.
相關文章