摘要:本期云栖说的主题是金融云与安全,我们都知道金融行业因为其特殊性往往成为关注的焦点,并且也往往会吸引众多黑客的目光。那么对于像天安人寿这样的保险行业企业来讲,如何实践自己的上云之路呢?上云又为他们带来了哪些便利呢?金融行业上云需要面对怎样的安全方面的考量呢?本期云栖说,天安人寿信息技术部总经理姚仁毅、资深架构师山虎、阿里云安全专家张伟伟以及阿里云保险行业总监戴飞飞将为您分享金融云与安全的那些事。
如果想更直观、更有意思地了解天安人寿金融云实践之路,还可以看看这一期的:云栖说视频。小提示:据说本期嘉宾很帅,主持人很美。
以下内容根据本期云栖说嘉宾讨论与分享整理而成。
天安人寿在保险行业近年来发展非常迅猛,目前已经跻身亚洲保险行业500强,并且取得了很多成果,2016年被评为中国十大领军品牌,并且取得了2016年卓越领先奖。在天安人寿十分迅猛的发展态势下,对于IT部门的管理有什么样的心得呢?
姚仁毅谈到,对于天安人寿而言,阿里巴巴是一家非常值得尊敬的企业。在过去的一年中,天安人寿在SaaS方面取得了一些成绩,为什么天安人寿的IT部门敢于去进行尝试和创新呢?其实主要是受到了公司管理思路的影响,接下来就与大家分享一下天安人寿在公司管理上的一些想法。对于天安人寿而言,IT的发展是用来服务业务发展的。在这样的背景下,公司希望IT部门能够做到两点,第一点就是提供先进的工具来提高公司的作业效率和质量,并且降低人工成本;第二点就是对于数据的应用,IT部门需要能够通过对于数据的分析总结过去并预测未来。对于这个过程,公司要求IT部门做到“成绩看得见,过程讲得清,结果管的住”。所以天安人寿的IT部门非常关注新技术的应用,并且不断尝试如何引入新技术来为公司提供新的发展。
那么天安人寿在IT架构过程中是如何进行思考的?在实践的过程中又进行了什么样的尝试呢?姚仁毅谈到:“在过去的一年里,我们有一个比较深刻的体会,就是对于IT工作,有多专业就决定能够走多远,做得多大。按照公司管理的要求,IT部门需要为员工提供相应的作业工具,举一个业务场景的实例,天安人寿特别注重价值业务的发展,所以就会大力发展个人保险业务,那么需要对于个人保险业务团队应该提供什么样的工具呢?其实为他们提供的工具应该实现将个人保险业务的各个步骤所组成的闭环全部搬到线上,实现包括投保之后在线上获取客户的签名,承保之后对客户进行回访,以及在一些地区实现对于录音和录像功能的这些功能的支持。而对于这些功能的实现过程中,我们通过对于SaaS服务的引入做到了技术真正服务个人业务的发展。”
接下来为大家分享一下天安人寿的“天派”系统的实践过程中是如何使用阿里云SaaS服务的。天安人寿在“天派”系统中使用了阿里云的OSS云存储,目前天安人寿的代理人队伍大约是两三万人的规模,如果大家同时都集中在北京的服务器上下载应用的APK的时候的话,可能会受到带宽等因素的影响导致下载速度非常慢。而在使用了阿里云的OSS云存储之后,无论是北京、上海还是四川都可以有N条百兆带宽去下载APK,这样就避免了造成网络拥堵。另外对于录音录像上传的场景,也可能造成网络的拥塞,为了解决这个问题也是用了阿里云的OSS,保险代理人只需要从服务器获取一个授权令牌,就可以通过系统将录音或者录像上传到阿里云OSS上面。
天安人寿一直专注于保险行业,并且致力于服务最终用户。在服务最终用户的同时也发现,在做寿险业务时,需要面对是个体客户,在这样的情况之下,客户往往希望能获取更加方便快捷的用户体验。刚刚也提到了天安人寿在使用SaaS技术服务工作时,并不是为了云计算去做云计算,而是为了使用云计算来支撑业务,为用户提供更好的体验。员工在使用阿里云OSS云存储进行下载的时候,可以省出公司的带宽,而使用云上的带宽提供服务,同时云储存本身也比较廉价,所以性价比相对很高。
与此同时,对于上传文件而言,由于保监会的监管政策可能需要对于用户进行录音和录像,做到整个保险的销售过程可回溯,所以这个数据量将非常巨大,如果使用公司的服务器,将会极大地消耗公司的带宽,另外存储的数据量也会非常大,使用云存储将不仅方便于使用,还将极大地降低存储的成本,使得保险公司和最终用户都能受益。
目前天安人寿在阿里云OSS上用到的存储大约在100G之内,而一个应用的APK的大小大约为20M,峰值带宽能达到70M,如果不将其放在阿里云上,靠公司的单点服务器很难支撑。其实在使用云计算的时候更看重SaaS的服务,“天派”系统首先将整个投保的过程放在了线上;其次它还使用了SaaS服务中的OCR进行身份证以及其他证件的识别,极大地降低了出错率;另外客户将会使用电子签名在投保过程中进行确认;当保单生效之后,系统还可以实现对客户进行在线语音回访以及发送电子保单的回执,所以这样来看天派系统完全借助于SaaS服务,并且这样的SaaS服务在阿里云上已经非常成熟,并且这些SaaS服务的价格也非常便宜。所以对于公司而言,真正做到了小投入高产出。在没有做这个系统之前,人工办理保单在柜面与代理人以及客户之间将花费大量的时间,而如果公司要做大做强,必须要提高效率和作业质量,并且减少人工操作。通过线上系统的闭环实现,无论是对于客户和代理人队伍,在办理投保的过程中是不需要柜面干预的,此时可以将人脸识别的应用也引入到系统中,以此来使得工具能够提高员工的作业效率和工作质量,并且同时也降低了人工成本。
对于金融行业而言,往往对于上云存在着很多的顾虑,那么在天安人寿对于云的选型中,对于云计算平台的选择是怎样思考的呢?以及在上云的过程中踩过哪些坑以及收获的心得呢?
姚仁毅在对这方面进行分享时谈到:“其实对于天安人寿而言,上云的过程是非常顺利的。在IT管理上,天安人寿秉承的理念是专业人做专业事,内部的员工无论是从选择还是团队组建中都要求是专业的。另外天安人寿在选择合作伙伴的时候往往会选择行业中的领军企业比如阿里巴巴。对于一些上云的收获,举个具体的例子来讲,客服节是天安人寿一年一度的活动,这个活动主要是为了回馈老客户以及吸引新客户,而客服节的奖励是由红包以及抽奖等线上方式发放的,在这个过程中就往往会造成访问量剧增,如果使用以前的单片机的方式来做这样的活动就需要所有的IT技术专家来24小时保障系统稳定。而到了2016年,天安人寿开始使用云架构,前端使用到了阿里云Web防火墙、DDoS高防等云安全服务,也用到了反欺诈等工具保障了客服节的顺利开展;而中台就是用了CDN、LBS、负载均衡,后端使用到了弹性计算服务器等。”
而对于为什么会选择阿里云的问题?姚仁毅谈到:“其实对于IT系统的建设而言,我们希望合作伙伴有能力提供IaaS层,SaaS层等多方位的服务,另外对于阿里而言,在世界范围内可以说在电商方面都取得了巨大的成就,在这个过程中必然有很多的经验的积累。打个比方,在IT行业,阿里巴巴就是一艘航空母舰,而天安人寿则是一片轻舟,所以希望将阿里巴巴成熟的技术引入进来,使得天安人寿可以站在巨人的肩膀上发展。业务的发展不会等待,用户的体验也需要快速提升优化,所以基于此选择了阿里云。”
对于金融云而言,安全是重中之重,也是核心命脉。对于上云的安全方面,期初天安人寿也存在一些顾虑,但是在上云之前,天安人寿进行了大量的调研。其实天安人寿与同行业相比是存在一个优势:“天派”系统的软件架构是松耦合的,非常便于拆分上云。姚仁毅谈到天安人寿IT部门在使用云计算之前也进行了充分的调研,所以选择在期初将场景化的系统应用放到云计算上,而核心系统和核心数据还是存储在自己搭建的物理机房中,物理机房与云端两边通过物理专线进行访问,加上像防火墙、白名单等的访问策略进行管理。天安人寿上云时间还比较短,未来将可能越来越多地依靠云计算。
另外其实现在讲的安全其实是一个“泛安全”的概念,一方面需要合规,另外一部分就是需要保证数据安全,以及防护常说的DDos等黑客攻击以及构建应用防火墙等,这些综合起来就是安全的概念。目前通过阿里云上云的保险企业大约有五六十家,占到了保险市场所有公司的三分之一左右。其实对于每家保险公司而言,在考虑要不要上云或者如何上云的时候都会考虑到上云的安全问题。对于监管合规问题,其实保监会在2015年就发文鼓励保险行业新筹建的系统使用云计算,与此同时工信部也发文鼓励整个社会使用云计算,从那时起,各个行业逐渐开始越来越多地使用云计算,并且可以说是大步向前,各种应用纷纷上云。但是这时大家都基本在遵循一个原则:先新后旧,先小后大,先外围再核心。其实这也需要考虑企业所处的不同阶段的一些策略决定的,对于一些渠道类的应用,偏向外围和互联网的,以及电商可以快速上云,在此基础之上,一些企业也尝试将更大的或者更加核心的应用迁移到云上来,这样才能将整个系统打通,带来的效率提升是非常显而易见的。
其实真正的上云就是将系统进行解耦,将系统进行模块化拆分并且做成分布式系统,这样才能使得整个系统变得平衡,不会出现云上系统扩展性很强,而中间件以及应用层无法扩展的情况。很多企业也意识到这一点,并开始向这个方向迈进。对于阿里云而言,还有一些像银行、证券等传统的金融机构以及一些新型的互联网金融公司、财经直播以及交易所这样的客户都在上云,这些客户的数量是巨大的,而又因为金融机构往往是焦点,所以也会吸引很多黑客的目光,往往经常会遇到客户收到DDoS等攻击的威胁。而在他们上云之后,首先阿里云会提供全链路的安全保护,并且提供免费的产品帮助客户进行安全防护,在此基础之上,还会提供一些增值的付费服务帮助帮助客户进行安全加固,为用户提供更贴身的安全防护。在传统情况下,新系统上线前需要请外部公司进行安全监测,而上云后,阿里云则会提供时时刻刻的安全监测,将每个功能漏洞及时反馈给用户,避免问题发生。而且阿里的主要业务是电子商务,本身的系统都能支撑安全稳定运行,所以阿里云的安全防护能力是非常可靠的。
监管机构希望金融公司能够创造更多有价值的保单,那么发展如此迅猛的天安人寿在创新方面是如何做的呢?其实对于天安人寿而言,更多的是尝试引入新技术,比如将阿里的SaaS服务引入系统,站在巨人的肩膀上进行发展。在经过了6个月的调研和论证后,天安人寿决定上云,这个决定并不是为了上云而上云,其实是因为天安人寿的IT部门遇到了一些困难。一方面服务器采购周期非常漫长,不能满足价值业务的快速发展和系统建设的需求。另一方面,虽然对公服务器经常进行安全漏洞的扫描和防护,但是偶尔也会发生小范围的安全事件,无法实现全天候的安全防护。所以选择了阿里云,选择了上云。其实在2012年,天安人寿就进行搭建了VMware这样的虚拟化来做IaaS层的应用,但是发现IaaS层的应用只能解决服务器的问题,而不能处理系统的功能扩展问题,进而降低人工成本。
在分享中,架构师山虎也谈到:“利用阿里云的经过验证的SaaS服务,就可以少走很多弯路。在天安人寿上云之前,在做客服节的时候,羊毛党往往在我们的服务器上刷流量,还有一些黑客会探索机器的目录,这些恶意行为通过后端的日志才能发现,而防御的手段就是一堆专家及时调整策略响应这样的安全事件。在2016年上到阿里云之后,这样的事件就变得看得见摸得着了,因为阿里云的后台完整地展现了这些攻击,有什么样的类型,有多少次,现在天安人寿的系统就很少有黑客能够扫进来了。”
另外谈谈区块链技术,对于区块链技术,阿里很早就在进行技术上的相关研究和储备,也已经和合作伙伴进行了共创,比方蚂蚁金服正在使用区块链做公益场景。而在保险行业,阿里也在和很多的客户探讨区块链的作用,比如保单是否可以通过区块链做,以及互助式保险等,也就是说大家都是股东来对保险产品进行孵化,而区块链则将去中介化以及去中心化,保证真实性。另外一些区块链的联盟也开始部署在阿里云上,大家都知道如果区块链只是作为一个私链来用的话,节点则会比较少,参与的人少,功用则比较低。只有将区块链做成公链,让更多的人参与进来,才能增强其功用性。
对于传统金融行业来说,核心业务上云的前景是如何的呢?姚仁毅这样谈到:“天安人寿在上云前进行了大量的调研,总结发现新的保险公司的一些核心业务已经部署在云上了,当更多的业内公司开始使用云计算或者一些条件门槛进一步明确的话,天安人寿也会更进一步进行上云实践。”
而其实我们谈到的是金融上云,将应用或者服务搬到云上,这只是上云的第一步。要做的其实不是为了上云而上云,而是为了满足业务的发展,为了实现云上金融,为了可以通过低成本进行快速创新,并且与生态对接。在这样的共识之下,无论做公共云还是专有云,都需要将系统云化,支撑业务的发展,另外就是将制度和流程云化,甚至将组织结构也要云化。在这样的几层的云化之后,也要选择适合企业的发展路径。对于新的保险公司而言,往往需要轻资产,快速开业,然后进入市场才能有回报,在这样的情况之下往往会选择整体上云。而对于其他的一些企业往往选择双核上云的方式,将一些传统业务需要跑在传统的机房上;而对一些轻应用,并发访问量很高的应用则更适合运行在互联网核心上,所以不同的企业需要在不同的时期选择适合自己的上云路径。
