​​​说到开放银行这个概念，确实蛮头痛的，不论是互联网还是银行的同事在交流中都会说它是什么？进展到哪儿了？“锄禾日当午，哪有金融苦，一个新概念，一查一下午”。搞技术的人都有一个特点，手上拿一个锤子，看什么都是钉子！今天请听易谷网络开放银行首席专家覃健祥解读金融科技新趋势——开放银行。

演讲视频抢先看：覃健祥：金融科技新趋势——开放银行

全文阅读约需10分钟

开放银行兴起与进展

开放银行本身就是银行业务在开放平台之上构建生态系统，把银行核心的能力、竞争优势把握在自己手中，然后让整个生态系统形成一个互利互赢的关系，本质是接口。

从开放银行的历史来看，开放银行的概念最早在2015年由英国和欧盟提出，2015年，欧盟发布了开放银行立法的指导性文件（非正式法律）。2016年-2018年，中国香港和新加坡地区也出台了类似指导文件。2018、2019年开放银行在中国大陆兴起，浦发银行、微众银行等多家银行正式推出了开放银行的概念。

银行的业务和客户端都来访问这个银行里的接口，我们说开放银行本质就是开放平台，开放平台的本质又是一系列API加上一系列合作伙伴自助操作平台以及运营方的操作平台。但是这个图里的东西比较理想，对于自己发展业务很成熟的，在线下有庞大业务的银行就没有那么理想。ATM还是走传统的平台。开放银行专门服务新兴的客户端，比如微信小程序、京东金融等等，输出银行的资产管理能力。

开放平台是大公司利润放大器

接下来用几个比较熟悉的例子，开放平台最早应用在社交领域，如Facebook，其次在电商领域，开放平台运用得非常成熟，不管是从接口调用量、应用丰富度还是与直接产生的收益的角度，电商开放平台表现都非常不错。

结合大家日常生活经验，我们来理解这个场景。

第一个是淘宝开放平台，这里用大家都耳熟能详或比较有共鸣的三个场景来解释一下淘宝开放平台开放了什么，合作伙伴在这个体系里面做什么。

第一个开放场景是开放订单流程。双十一后，淘宝很多大卖家一天下来有几千、几万订单要发货，过去没有开放平台，卖家要登陆淘宝后台网页，填快递公司，一天发一千个订单一定会出错，那个时候眼睛都花了。怎么办？就做开放平台。我们把发货接口都开放出去给第三方厂家，传统做ERP的软件厂商，以及互联网新兴的ERP厂商。这个时候卖家做什么？不需要再登录淘宝网页了。只要条码枪扫一下货品就可以实现发货自动化，背后就是ERP软件在调淘宝的发货接口。

第二个开放场景是开放客流。之前店铺为了提升自己的搜索权重（淘宝权重与销量、好评度、收藏量等都有关系），淘宝买家发送收藏店铺截图发给该店客服，就能拿到几块钱优惠券。但是这个效率低还有一点伤面子，操作也麻烦。某公司就利用这个收款接口，用户点了收藏就调一个接口收藏店铺，同时自动发放一张券。最后效果是买家体验变好了，然后也刺激一些冲动性消费。

第三个开放场景是开放导购端口。有一家公司就做导购，导购各种白菜价的、羊毛党们一看就觉得很值得买很便宜、很时髦很有趣的东西。这个网站有很大的客流。我们都知道淘宝是靠客流信息流来获取大量的商家交易佣金，怎么把没有进淘宝的人，而是在B站、抖音等平台上的流量引进来呢？就是用这种方式，把搜索接口开放出去，你在什么平台看到商品点击过来，最终成交了，淘宝也会有佣金给他。相当长一段时间内把流量导入淘宝，交易佣金排名第一的是360浏览器。

京东和亚马逊是电商领域做自营的王者。其实做招商的阿里巴巴才是最大赢家。

我们做互联网的人，其实是非常敬佩和敬畏银行业同行的。比如招商银行，我们传统上认为是重资产，但招商银行2018年是2500亿左右的收入，有800多亿的净利润，阿里巴巴也是2500亿左右的收入，却只有600多亿，净利润率没有招行高。在电商零食领域就不同了，苏宁有2400多亿收入，但是净利润只有100多亿，净利润率只有5%左右，而阿里巴巴净利润率是25%，是苏宁的五倍。

京东做自营，积累了大量的客流物流优势和渠道，现在开放出来做利润更高的招商运营。

这是淘宝开放平台和支付宝开放平台的截图，左图中有几个，就是前面说的卖家交易工具，这些工具自动把订单下载下来，自动打印，并且自动把物流单号扫描进去完成发货。阿里巴巴八百万卖家（现在估计一千多万），有接近四分之一的卖家在花钱用这个工具。右边是支付宝开放平台，支付宝把收费通道开放出去给合作商家，让大家在很多地方停车时，都可以通过开放平台来交停车费，扫码支付或者无感支付。

开放互联是金融科技趋势

开放互联是金融科技的趋势，有这三个需求。第一就是稀缺资源变现，第二个是社会化分工，社会越发展分工一定是越来越细腻的，差异化一定是越来越大的。第三就是智能终端的普及。

从这个图中我们可以看到好几个与银行业有关的，比如银行卡二元素、三元素、四元素的认证，银行卡号的真伪查询。这些都是银行把卡的鉴定能力向外开放。电商企业、互联网企业，调一个接口就可以知道是有意向的客户还是捣乱的客户。还有移动运营商短信接口，这是最初级的，我们的交易提醒等各种验证码都是通过短信接口发过来的。

社会化分工，我们可以用航空业正在实施的案例来说明。在旅游市场，尤其是航空和酒店，由于需要将资源最大程度利用，充分提高酒店的入住率和飞机的上座率，但是不能过度超卖，不管什么渠道订票都能实时查询舱位还剩下多少票、多少钱。有了这个开放平台，才能实现官网、电话、互联网平台包括微信公众号，这么多渠道都来帮其推销。

前面王总演讲提到，智能终端可以通过智能音响，直接呼出银行的客服，这就是银行业开放API给智能音响的厂商的例子。智能音响厂商完成语音分析，把文字拿回，我们银行做相应的业务处理。智能终端越来越多渗透到人的生活当中。

开放银行业务场景分五类：

第一种是移动客户端方面，银行推出的IOS和安卓的智能客户端，中间一定有开放平台。还有一种就是HTML5的网页，今天很多营销专家来了，HTML5还是营销的一大利器，这个也是非常需要开放银行API的支持。一个静态页面营销往往不如动态网页更有吸引力更有价值。第三个就是微信支付宝的小程序，这些也要调服务的API，调的就是开放银行的接口。这是第一种场景。

第二种是联盟伙伴，有几种情况。传统的联盟伙伴比如说联名信用卡，银行和航空公司的联名信用卡，还有积分优惠的商户。过去没有开放银行的情况下，就有一个集中入帐的延期，今天消费了可能明天才能积累。但是要是今天兑换不了，等明天可能错过消费者最佳使用期了。如果有开放银行，联盟商户可以把这些业务操作做到实时的，消费立马累计了。这就是联盟伙伴跟银行实时的操作。还有互联网平台跟银行平台的合作关系，银行是需要互联网的经营者向银行业导入一些客源，比如导入信用卡新客户。比如京东金融，为各家银行提供一些小额金融理财用户。在没有API之前，只能将页面掐头去尾，做一个简单的页面变成京东自己的。但是这种方式，灵活性、安全性都越来越不如接口，接口才是最灵活、最安全的做法。现在在互联网金融的进攻之下，银行业也在大量拥抱变化。开放银行可以为大型互联网公司和银行平台合作搭建很好的桥梁。

第三种就是公共API，比如第三方支付。几乎每家银行都有在线支付ToB的还有大客户，比如四川大学给教职工发工资，如果银行开通各种接口的话，对帐、税务、财务可以自动化整合起来，操作效率会高很多。开放银行就是做两件事，第一件事就是寻找新的业务增长点，带来新的客户和新的业务场景。另外一种能让正在做的业务更准确、更高效，客户体验更好，成本更低。

第四块就是大数据，就是向外输出大数据，把大数据变现。一种大数据就是用户的认证。早期支付宝实名认证要往银行卡打几分钱来通过认证，这实际上也是银行向外输出数据。第二种就是用户征信，现在每个互联网金融公司，包括每个做分期消费的公司，也有需求去人行查询征信报告，通过API才可以比较好的支撑大数据变现的需求。不可能一次性给一万个用户的数据，这是很低效的，而且可能是违法的。一定是通过微支付来实现。还有一个消费偏好，比如路过这个商场，可能是喜欢买包的，还是喜欢买电子产品的，喜欢哪一个档次哪一个品牌，银行有大量消费记录，可以做一些预测和推荐，不仅为线下商城提供供应链金融支持，甚至还可以提供营销能力的支持。

最后就是嵌入设备，有一种是银行自用的，包括已经在营业厅里面的，还有一类是第三方的设备，像高铁取票机这些机器，但是主要是接微信、支付宝和银联统一支付平台的接口。

高效安全开放

说到开放，就不能不提安全。一旦东西开放出去就意味着人人都可以访问，就有很大的安全挑战。可能同一秒有来自全球几十万上百万人的访问。逃避不了就是安全的问题。如何高效安全地开放，这就是平台的重要性。如果没有开放平台来做支撑的话，很多安全规则的执行、安全数据的收集落到业务开发上，要想安全就不高效，要想高效就不安全。如果用传统的开发模式，没有一个API治理的开放平台就安全高效难两全。开放平台就是让安全和高效找到一个比较好的平衡点。

安全漏洞的危害有四类，资金损失、服务中断、数据泄露和数据失真。

第一个案例是百度外卖，前面讲了很多互联网公司，跑得快迭代快，高效安全难两全，跑得快就不安全。这个例子是百度外卖，这是新闻公开报道过的。百度外卖里面有一个余额提现。有一个黑客就发现了漏洞，通过负负得正的数学原理，提现金额输入负数，把余额改成了4900多万。这个漏洞原因是什么？就是开发者没有想到还有人输负数。这种漏洞简直超越我们短时间的思考极限。

第二个案例是洪水攻击，导致服务中断。形象点说，好比有20个对银行网点有恶意的人霸占窗口反复存一块钱取一块钱，导致其他客户不能享受服务。当然银行现在没有人攻击，攻击金融机构是刑法犯罪。民营的互联网企业就会有很多人去攻击，就导致正常用户进不了。甚至一台笔记本就可以把几十个服务器弄垮。防范方式也和以前不同，科技是双刃剑，科技带来了高效便利，给坏人也带来了便利，让坏人做这些东西成本大大降低。让服务器瘫痪，只需要买云服务一个小时，就能不停地攻击，成本极大降低。IT部门封IP的方法也不管用了，因为淘宝花一百块钱就有一千万个IP，随便换。这就需要有一个非常强大的开放平台的流量控制器来限制这个东西，非常聪明的识别出来谁是僵尸，谁是真正的客户。

第三个案例是暴力扫号。所有银行业都知道，从一个卡号密码错误三次会锁卡，电子银行就会禁止使用。也有聪明人发现同一个密码换卡号会怎么样？总有人密码是六个八这样子。有相关新闻报道，操作方式就是固定一个密码，一万个卡号总有一个能对上。通过银行口令安全等级的提升，包括其他的IP终端数据号的绑定，这种攻击造成的损害越来越小了。但银行是信用等级最高的机构，安全没有小事。

第四个案例是越界参数攻击（美链虚拟币）。这个造成的损失金额巨大，达到120亿，攻击的黑客套现了60亿。什么叫整数溢出攻击？就是整数溢出归零。咱们今天这个大会所在酒店的电梯最高41层，电梯的数码管能显示两个数字，如果让它两位的数码管显示一百层，就只能显示两个零，前面那个数字一就溢出了，你看到电梯上就是两个零在那里。计算机在软件里面就是这样，超过了表示范围会回到零。

有个人发现美链虚拟币用的是以太坊的智能合约，因为都是开放的智能合约协议嘛，就发现这个代码有漏洞，没有做整数归零的验证。于是他就转了一个天文数字，10的76次方，从A账号同时转这么多钱给B和C账号（三个账号都是他自己的），转账金额乘以2是刚好归零了（因为要转给两个账号同样的金额），软件判断，欲转帐的总金额是零，现有金额是一，可以转账赚。于是第一笔A给B的转账就成功了。转完之后A的余额是负数，第二笔没成功。但这不要紧。他就刷了很多美链虚拟币出来，然后抛售出去，套现了60亿，赶紧买成了比特币以太坊等其它比较值钱的虚拟货币。虚拟货币交易在中国不受法律保护，区块链都是匿名的，这个案子到现在没有查出来。

第五个案例，通信篡改攻击。这是一个理财网站，没有支付渠道能力，用户充值要跳到支付宝这些地方去支付。支付完了之后支付宝财富通跳一个链接告诉理财网站充值成功，这个是HTTP数据包，通过用户浏览器跳转。理财网站没有做合法性检验，没有判断有没有被篡改，没有验证这个东西，导致有黑客发现。黑客用HTTP调试工具充一块钱，把支付通道加传的数据包改成充值了二十万，理财网站就真的认为他充值成功二十万。黑客把这个漏洞公布了，两个小时，这个理财网站被大量攻击者提走一千八百万。后来警察追回来987万，但是最致命的是这个理财网站刚开业就发生这么大的问题，谁还敢把钱放在你这时。商誉极大受损，就没有办法开下去了。

今天由于时间的关系，我只讲这5个案例，还有其它十几个案例，印在产品手册上了，每人都有一本。大家在桌子上找到这本册子可以深入阅读。

怎么防范这些东西呢？现在中国大概十几家上市公司提供这种防火墙。但这些传统的web应用防火墙还是从2到7层的防火墙。开放平台就有机会做8层防火墙，应用层之上就有API层的防御。因为传统的防火墙不能知道你这个人想干什么，只知道进来一个通信包，不知道你是要取钱还是登录还是改密码。有API就知道你想干什么。比如某银行现在有300个API，每个API进来都知道想干什么。于是开放平台就知道这个API合理的参数应该是什么，合理的反馈值应该是什么，合理的调用路径和频率是什么。比如转帐的接口，转账金额就不可能是零就不可能是负数。安全产品都是这样，离业务越近安全能力越好，离业务越远安全做得越差。

正因为有八层安全的优势，我们这个开放平台基于API的解决方案，除了具备传统的应用防火墙能力，还可以防御通信篡改、参数越界、爬虫等等更多类型的攻击，是传统防火墙望洋兴叹的。

我本人和开放平台的渊源，07年做雅虎开放平台，09年在淘宝做开放平台，14年做手机淘宝开放平台，15年就做了自己的开放平台解决方案。

这是一个典型的开放平台的架构，回到最初的问题，什么是API银行，开放银行？就是这些东西，有服务提供方，还有使用方。还有平台的监管方运营方，要看每天的成交量是不是有突然十倍的暴增，是不是有密码错误的次数比以前多了很多倍，完整的开放平台体系会包含将近20个子系统。

这是API网关，最核心就是做四件事情。第一件是安全校验，如果做得好参数越界、通信篡改就会在这儿被解决。第二是协议转化，有时候内部用的传统的远程调用协议（RPC），客户端可能是HTTP协议。第三是服务路由，每一个接口在什么地方，就是网关来负责做路由。第四是日志监控，哪一个接口访问多少次，信任怎么样，延迟多少，密码错误多少次。做这四件事情。右边是一个沙箱环境，是给开发者做测试的。

开放银行的厂商比较多，我们跟他们相比有几个优势。

第一个就是我们是真正意义上的开放平台的解决方案，国外很多开源的多半是属于API网关的范畴，就是缺乏自助服务的系统。像脸书也有，还有奈飞也有。

然后是防护能力强，在阿里云很便宜的云主机可以做到每秒几万次的防护能力。性能也比较好。比开源的好十倍。

第二就是后端的易用性。我们可以帮业务团队快速开发，前面讲了那么多，没有开放平台没有网关，攻击就落到业务开发人员身上，现在网关做了开发人员就可以做到高效了。

然后就是兼容性，已有的业务和代码可以快速迁移升级过来。

我们的使命就是希望把高智商的人才解放出来做创造性的工作，标准化的工作就让机器做。

演讲回顾合集

△ 演讲回顾 | 李凌：中国银行视频服务营销探索

△演讲回顾 | 王鸿冰：智能服务与营销

△演讲回顾 | 岳欣：智能视频服务与营销整体解决方案

智能服务与营销公众号

​​​​