摘要：全景银行是银行技术和业务变革转型的新型平台化商业模式，承载着服务共享和生态共建的开放平台体系，并具备开放、敏捷、安全的融合能力。因此，如何利用互联网开放特征和新兴技术发展契机，同时兼顾银行业务安全性要求和生态合作共赢的诉求，成为开放平台成功建设的关键。针对全景银行技术业务特点，本文基于开放丰富的用户触点，并支持生态能力互联互通，构建了分布式云原生微服务平台架构，打造技术和运营立体式安全防护体系，形成面向全景银行的系统化开放平台建设方案。开放平台的体系化设计与实践不仅为全景银行业务快速稳健发展提供了坚实的平台基础，也为企业创建和发展能力开放以及生态协作的开放平台提供了指导和借鉴意义。

关键词：全景银行；开放平台；OpenAPI

一、引言

全景银行是银行围绕用户生命周期的需求，构建生态场景，同时与商业生态系统共享品牌、渠道、流量、技术等资源，运用数据智能动态感知需求、实现智慧联动，以提供聚合金融及非金融的综合产品和服务，从而为用户创造个性化价值，实现极致体验的平台化商业模式。如今，产业数字化、平台化趋势不可阻挡，客户结构与需求持续变迁，银行必须积极开放自身能力，参与并推动产业转型，同时转变客户经营方式，以有效实现市场穿透、客户下沉，并强化“留量”经营。随着监管要求不断提升以及监管体系逐步完善，我国对开放银行提出了新的要求，同时也带来新的机遇。区块链、物联网、大数据、人工智能、云计算、5G等数字技术的蓬勃发展为开放银行提供了大量的创新发展机会。全景银行作为一种新的平台化商业模式，技术平台构建和安全防护能力既是支撑全景银行建设和运营的基础，也是全景银行成功的关键要素[1]。

二、开放平台建设重点难点

银行的业务相对低频，无法在流量上比肩各类高频互联网应用，因此很难凭借银行自身业务打造生态转化为金融价值，而拥抱互联网则成为银行打破获客瓶颈打造新业态的银弹。建设全景银行是一项系统工程，需要在对金融、科技、生态等业务充分解构再重构的基础上，从技术、业务、数据和场景等多方面协同构建开放、敏捷、安全的平台体系，以支撑用户全生命周期端到端的业务场景服务。为了满足上述诉求，开放平台需要重点解决以下几项难点问题：

第一，打造银行开放平台的技术体系，使场景建设者能够快速连接银行，以获取数据和服务，并开放创新应用。

第二，建立与第三方合作的全流程解决方案，为合作方提供完整的服务功能，并具备合作业务和产品的可管理能力。

第三，建立数据开放的技术标准，通过开放的API接口实现与合作方间数据安全共享。

第四，打造丰富的能力库，并提供综合化的服务产品，以满足个人用户的衣食住行医以及企业客户的生产经营需求[2]。

三、平台设计

（一）总体架构设计

基于全景银行对开放、敏捷、安全的技术平台体系要求，本文建立了一套支持多模态技术连接、分布式云原生微服务和系统的平台技术规范和运营管理体系，总体架构如图1所示。

为了应对多行业的复杂生态环境开放需求，平台具有以下特点：

第一，既支持Web、移动APP、H5、小程序等客户端模式接入，也支持服务端模式接入；

第二，具有高度开放性和便利性，实现面向各类生态用户的广泛触达；

第三，建立开放门户，支持开发者在线发布、订阅和管理服务，以激励生态伙伴创新、为平台增效；

第四，支持第三方系统多方能力连接集成，快速实现行内外生态应用互联互通；

第五，为了提供随需应变的敏捷服务，搭建基于云计算底座和容器编排等技术的网关、应用、认证、计费等分布式云原生微服务架构体系；

第六，为了支撑业务平稳安全发展，构建以大数据、人工智能驱动的安全架构及平台技术规范和运营管理体系。

（二）API网关设计

网关具有路由器的基础职能和过滤器的可选职能双重能力。在微服务中，网关首要职责就是作为统一的入口对外提供服务[3]。

API网关作为开放平台入口，其稳定性和性能对整个系统正常运行至关重要。综合考虑网关成熟度和开放平台异构技术特点，并对比主流开源网关，最终选用OpenResty作为API网关基础框架。同时，为了最大化提升性能和可靠性，开放平台采用主从架构分布式缓存，API网关依据分布式缓存配置做鉴权、流控、日志记录等流程控制。

为了满足不同客户的网关使用场景，开放平台支持私有网关、平台网关、托管网关三种不同的网关类型。私有网关是面向有自建网关需求的客户，将开放平台标准化网关私有化部署在其自有网段内。平台网关是面向无自建网关需求的客户，直接使用开放平台网关。托管网关是面向无自建网关需求的客户，基于个性需求在开放平台进行SaaS化部署，并由平台统一运维管理。

整洁架构最主要的原则是依赖原则，外圆依赖只能指向内圆，网关处于整洁架构的接口适配器层将数据转换为适合内外部交互的格式[4]。

为了保障内外部数据交互的安全性和自主可控性，开放平台建立了一套基于国密的全报文双向验签的加解密机制。服务调用方将平台公钥进行SHA256再通过SM 3和MD5处理，转16进制的32位摘要作为加密key，再对报文体SM4加密，将最终加密结果进行Base64编码作为请求体，服务调用方使用私钥进行SM 2签名后Base64编码作为报文签名，API网关使用服务调用方的公钥验签、平台私钥解密报文，即通过国密加解密报文以及数据签名验签保证数据安全传输和转换。平台返回报文采用同样方式将数据安全返回服务调用方。

综上所述，API网关作为开放平台入口，其良好的安全性保障了内外部数据隔离和安全交互。

（三）服务治理体系设计

领域驱动设计是一种架构设计方法，微服务是一种架构风格，两者的本质都是为了追求高响应力。而从业务视角去分离应用系统建设复杂度的手段，领域驱动设计关注通过业务抽象建立领域模型，微服务关注服务的独立构建和部署[5]。

全景银行的开放平台不论是银行内部能力对外开放，还是银行外部生态能力引入及开放，从业务视角分析都是服务提供者发布API到开放平台，服务消费者订阅API服务，再使用订阅API调用服务提供者的服务的过程，具体的业务领域模型如图2所示。

应用中心连通银行内外金融、科技、生态能力，既需支持行外系统或互联网客户端通过企业服务总线调用行内服务，也需要打通调用第三方系统服务通路。为了兼顾物理部署隔离和应用逻辑集中，开放平台设计内外调两套API网关和应用服务，以保证开发同构运维异构。

此外，行内存在多个面向不同用户及场景的能力开放系统：

（1）为了集中提供在开放平台一站式服务发布订阅服务，设计配置中心以消息队列为媒介实时分发同步订阅发布及APP、API配置变更事件信息。

（2）为了支持平台用户、服务使用和运营多维数据分析，搭建以Telegraf数据采集、国产时序数据库TDengine为存储介质的数据中心。

（3）为了支持API计费、鉴权、管理等，开放平台搭建了计费中心、认证中心、管理中心等服务。

（四）客户评价设计

全景银行依赖客户经理线下尽调的方式存在较大主观性和滞后性，缺乏多维度数据的客观实时风险评价，也未考虑交易全过程的监控跟踪和风控指标量化。为了解决上述问题，以数据驱动全景银行客户评价及管控过程，开放平台搭建基于企业大数据的客户评价系统，建立全过程风险预警和评分画像，以形成风险数据资产，助力开放平台风控和运营管理能力提质增效。

客户评价系统包括数据接入、特征引擎、决策引擎、监控统计、用户画像、数据报表等服务。数据接入将行内外多方数据整合通过API暴露给其他服务。特征引擎针对配置指标按指定数据源和加工方式进行实时定时加工，暴露特征检索API检索指标。决策引擎将决策流和评分卡，并转换为规则执行和流程编排的实时决策API。监控统计定时监控量化指标，按指标阈值触发告警通知。用户画像对新增客户画像计算，对用户运营能力、科技能力等多维评分。数据报表运用机器学习模型和评分卡进行分值分布、评分稳定性计算生成报表。客户评价系统提供了灵活的规则管理决策和多维用户画像及监控预警能力，为开放平台客户洞察提供了可靠保障。

（五）异常检测设计

全景银行的API开放模式延展了业务范围，同时也扩大了安全风险。为了进一步增强全景银行的风险防控能力，应对API接口脆弱性、敏感数据、流量异常等各种威胁，开放平台建立了API异常检测系统，以实现API安全风险可感可控，助力全景银行打造坚实的API安全防御体系。

异常检测系统包括日志采集、日志合并、日志富化和风险检测等服务。API网关和应用中心日志经Filebeat汇聚到消息队列Pulsar；日志采集将网关和应用日志抽取到对象存储；日志合并关联合并网关和应用日志并做清洗消歧；日志富化根据敏感规则和业务字段富化日志；风险检测根据人工智能模型与规则引擎相结合的检测算法进行风险分析，并将风险告警事件存储到列式数据库ClickHouse触发告警。

目前，开放平台已支持API流量、访问时段、获取敏感数据等异常行为检测，并丰富用户行为标签库和异常算法模型库，根据API场景拓展和检测粒度变化，不断优化架构和检测算法，以应对未来新的防控风险挑战。

四、技术规范和管理体系

（一）技术规范

为了支撑全景银行场景体验创造个性化价值，实现从设计到实施的全生命周期覆盖，开放平台需要有一套高效的技术规范，以保障产品服务的快速创新。

技术规范按照业务领域建模、API技术规范和API能力库三个维度和阶段实施。首先，业务领域建模以场景用例和用户旅程进行全面业务流程梳理，按照领域驱动设计方法建立领域模型，划定领域边界。在请求响应式API范式中，相比RPC和GraphQL，REST更适合作为开放平台的交互标准[6]。

基于领域模型，为了保证API交互标准的通用性，开放平台遵循OpenAPI设计规范，利用基于模板引擎的代码工具生成RESTful接口。其次，为了提升API开发规范性和安全性，开放平台参考监管要求对内外部开发流程、标准和API加固方式做了规约，同时按产品、技术、场景多维度构建API类目体系，以持续丰富拓展API能力库。最后，为了提高实施效能和弹性伸缩能力，开放平台引入DevOps流水线，以分布式云原生微服务开发部署。

（二）管理体系

为了保障全景银行业务的有序开展，明确用户条款、隐私政策、合作协议等平台和API接入管理办法，开放平台提供注册、认证、调用的操作指导，对客户准入、数据服务安全等风险控制。随着多渠道场景创新、风险敞口增加、风险链条拉长以及风险管控难度不断加大，开放平台需要综合运用技术和运营管理手段，以保障生态安全。

为了系统地防范安全风险，开放平台从开放风险、业务风险、操作风险、生态风险四个维度构建防控体系：

（1）在开放风险发展方面，加强数据开放授权、签名加密、数据脱敏等开放保护；

（2）在业务风险方面，加强数据泄漏保护、客户评价、法律合规等风险识别和检查；

（3）在操作风险方面，将API做安全分类分级，利用异常检测等手段强化安全感知和预防能力；

（4）在生态风险方面，联动API开发者、使用者、最终用户共同构筑安全防线。

总之，开放平台技术能力是全景银行展业基础，而系统的平台运营管理体系和生态安全防控体系是保证平台化、场景化、个性化业务创新的防护网。

五、应用效果

在业务创新方面，开放平台的服务提供消费模式，支持跨行业和场景的供需匹配；银行内外多方能力链接开放模式，支持生态合作方深入协作；具备服务聚合模式，支持多种数据及能力灵活组合催生综合业务价值。

在技术创新方面，开放平台以标准化API开放金融、科技、生态能力，为金融科技公司、生态合作伙伴衍生新的服务能力提供了基础。大数据客户评价和智能异常检测的研究方法是全景银行领域的一次创新尝试，而开放平台面向生态开发者的能力共创模式，为场景服务能力无限延展以及持续赋能创新应用提供了可能。

在业务价值方面，开放平台已覆盖银行服务、人工智能、权益营销等诸多金融、科技、生态能力。开放各类API服务1700余个，接入各类创新应用数千款，日均交易规模3000万笔。

在技术价值方面，多模态API安全网关为不同场景客户平台接入提供了丰富的个性化服务能力，以场景设计和安全管控为重点的技术及管理体系，为全景银行平台及业务行稳致远构建了坚实基础和多重安全屏障。

六、结束语

针对全景银行开放、敏捷、安全的技术平台体系要求，本文设计并实现了一套支持多模态技术连接、分布式云原生微服务、多重安全保障的技术平台以及基于场景建模的技术规范和安全运营管理体系。随着全景银行平台化商业模式的持续探索和扩展，开放平台需对客户端安全、个人用户评价、异常行为溯源、生态连接器等多项能力进行持续完善，不断升级产品服务和管理模式，以打造极致客户体验，创造个性化价值，实现生态价值共创目标。

作者单位：包卫卫 上海浦东发展银行股份有限公司

参考文献

[1]顾蔚，Paolo Sironi，谢闵华，等.全景银行系列蓝皮书[R/OL].上海浦东发展银行股份有限公司，2020：3-20.

[2]中国银行业协会行业发展研究委员会.开放银行实践与发展研究[M].北京：中国金融出版社.2020：95-107.

[3]周志明.凤凰架构[M].北京：机械工业出版社，2021：186-187.

[4]Robert C，Martin，孙宇聪.架构整洁之道[M].北京：电子工业出版社，2021：177-182.

[5]欧创新，邓頔.中台架构与实现[M].北京：机械工业出版社，2021：40-46.

[6]Brenda Jin，Saurabh Sahni，Amir Shevat，等.Web API设计[M].北京：中国电力出版社，2021：17-28.