CN111614727A

CN111614727A - 监管沙盒架构、监管方法、装置及存储介质

Info

Publication number: CN111614727A
Application number: CN202010344565.7A
Authority: CN
Inventors: 王世平
Original assignee: OneConnect Financial Technology Co Ltd Shanghai
Current assignee: OneConnect Financial Technology Co Ltd Shanghai
Priority date: 2020-04-27
Filing date: 2020-04-27
Publication date: 2020-09-01
Anticipated expiration: 2040-04-27
Also published as: WO2021218333A1; CN111614727B

Abstract

本发明属于云技术领域，公开了一种监管沙盒架构、监管方法、装置及存储介质，其中，监管沙盒架构包括：基础组件层，包括内置于容器平台的API场景化应用模块，用于接入操作系统，持续集成和发布模块，用于集成和发布源代码，中间件模块，用于为应用软件提供运行与开发环境；能力和解决方案层，包括多租户容器PaaS平台，用于为多个租户提供应用服务，微服务架构，用于提供开发微服务需要的组件，API输出模块，用于应用接口自助上架和网管服务，数据中台，用于提供数据服务，持续交付模块，用于自动化发布应用软件；产品应用层，用于将操作系统部署且运行在容器平台上。本发明可进行有效的穿透式监管，提高事前风险的防控能力。

Description

监管沙盒架构、监管方法、装置及存储介质

技术领域

本发明涉及云技术领域，尤其涉及一种监管沙盒架构、监管方法、装置及存储介质。

背景技术

随着金融科技、移动支付和人工智能的飞速发展，各类新兴金融产品呈百花齐放的态势成为人们生活中必不可少的一部分。但是，现有的金融监管方式很难高效、精准、及时地监管防范此类产品，例如，各类暴雷的P2P金融和消费贷、网贷产品等，此类金融产品和服务的多样化给整个市场带来了极大的风险和不确定性，也给监管机构带来很大的困惑，一边需要大力发展普惠金融，一边又要具有有效的事前、事中、事后的监管。

监管沙盒在这样的背景下孕育而生，最早作为扶持新型金融产品和服务的特比管道。从事金融创新的机构，在确保消费权益的前提下，按照特定审批，提交相关申请，在得到了授权之后，在适当的范围内进行金融产品或者服务的内心测试，监管部门通过监管沙盒对整个实施过程、业务生命周期和上下游数据流进行全程监控，保证测试的安全并得到风险评估报告，最后根据评测结果发放对应的业务证照。在监管沙盒中进行的尝试业务与实际社会和生产环境进行了有效的隔离。

但是，整个监管沙盒目前还停留在线下的治理和流程，没有系统化的落地方案，没有解决系统和数据隔离的系统、数据、接口的开放底层架构。并且，由于金融产品运用的技术种类繁多，监管人员对技术的敏感性和能力不足，导致其很难全方位的评估一款新的金融创新产品系统，尤其是在系统架构、生态上下游和数据的交互和利用上，无法进行有效的穿透式监管。另一方面，各类开发平台/PaaS提供的平台服务颗粒度太细，对使用者有很高的技术门槛，对金融机构开发和接入自有系统难度大、成本高；并且，由于金融行业的特殊性，对系统核心模块和数据的信息安全性要求比较高，一般的云/容器服务很难在开放性和信息安全合规性上做到平衡。

发明内容

本发明提供一种监管沙盒架构、监管方法、装置及存储介质，以解决现有技术中没有解决系统和数据隔离的系统、数据、接口的开放底层架构，难以进行有效的穿透式监管的问题。

为了实现上述目的，本发明的第一个方面是提供一种监管沙盒架构，包括：

基础组件层，包括内置于容器平台的API场景化应用模块、持续集成和发布模块、中间件模块，其中，所述API场景化应用模块用于接入操作系统，所述持续集成和发布模块用于集成和发布源代码，所述中间件模块用于为应用软件提供运行与开发环境；

能力和解决方案层，包括多租户容器PaaS平台、微服务架构、API输出模块、数据中台和持续交付模块，其中，多租户容器PaaS平台用于为多个租户提供应用服务，所述微服务架构用于提供开发微服务需要的组件，API输出模块用于应用接口自助上架和网管服务，数据中台用于提供数据服务，持续交付模块用于自动化发布应用软件；

产品应用层，用于将操作系统部署并且运行在容器平台上。

在一个实施例中，所述API场景化应用模块包括：API接入单元、API编排单元和API网关服务单元，其中，所述API接入单元用于调用API接口，所述API编排单元用于根据API模板和参数信息创建API分组，所述API网关服务单元用于提供API托管服务。

在一个实施例中，所述中间件模块包括数据服务与治理平台、源代码托管单元、源代码镜像安全扫描单元、代码自动生成单元，其中，数据服务与治理平台用于根据业务数据验证金融科技解决方案的有效性和必要性；源代码托管单元用于上传源代码并且提供从源代码层面端到端的构建；源代码镜像安全扫描单元用于提供预定义的信息安全和代码质量检测；代码自动生成单元用于辅助生成应用模板。

在一个实施例中，所述中间件模块还包括：监管目的接口或者开发包，用于收集上报的业务数据和分发组件。

在一个实施例中，所述中间件模块还包括：敏感数据自动识别单元，用于自动检测敏感数据；自定义脱敏配置单元，用于自定义配置脱敏功能。

在一个实施例中，产品应用层包括：数据开放和聚合平台、开放银行和API市场、银行数字化转型系统中的一种或多种。

为了实现上述目的，本发明的第二个方面是提供一种如上所述的监管沙盒架构的监管方法，包括以下步骤：

根据待监管应用软件的操作系统确定基础组件层的组成；

将所述待监管应用软件的操作系统一键式部署在所述基础组件层的容器平台上，并在所述容器平台上运行；

通过能力和解决方案层对待监管应用系统运行过程中产生的数据进行分析；

根据数据分析结果对待监管应用软件进行监管。

在一个实施例中，所述监管沙盒架构的监管方法还包括：监控运行在监管沙盒架构中的应用软件的流量和信息流动向。

为了实现上述目的，本发明的第三个方面是提供一种电子装置，包括：处理器和存储器，所述存储器中包括监管程序，所述监管程序被所述处理器执行时实现如上所述的监管方法。

为了实现上述目的，本发明的第四个方面是提供一种计算机可读存储介质，所述计算机可读存储介质中包括监管程序，所述监管程序被处理器执行时，实现如上所述的监管方法。

相对于现有技术，本发明具有以下优点和有益效果：

本发明的监管沙盒架构的基础组件层运用容器和虚拟技术(Kubernetes或Docker应用容器引擎)，封装和聚合了多个服务工具，端到端的帮助用户快速和低成本的尝试或者开放各类金融创新应用系统，同时帮助监管部门对金融创新产品系统的合规性和风险性进行更加精准的评估和改善，大大提高了事前风险的防控能力。

附图说明

图1为本发明所述监管沙盒架构的构成示意图；

图2为本发明中监管沙盒架构的监管方法的流程示意图；

图3为本发明中监管程序的模块示意图。

本发明目的的实现、功能特点及优点将结合实施例，参照附图做进一步说明。

具体实施方式

下面将参考附图来描述本发明所述的实施例。本领域的普通技术人员可以认识到，在不偏离本发明的精神和范围的情况下，可以用各种不同的方式或其组合对所描述的实施例进行修正。因此，附图和描述在本质上是说明性的，仅仅用以解释本发明，而不是用于限制权利要求的保护范围。此外，在本说明书中，附图未按比例画出，并且相同的附图标记表示相同的部分。

图1为本发明所述监管沙盒架构的构成示意图，如图1所示，本发明所述监管沙盒架构包括基础组件层、能力和解决方案层、产品应用层。采用开放底层架构使得系统和数据隔离，可以快速高效的帮助金融和科技机构把操作系统迁移到监管沙盒架构的容器平台里模拟运行，帮助监管机构或者行业协会提供更加快捷、直观和高效的风险和模式评估。

下面详细说明监管沙盒架构的各个具体组成部分。

基础组件层，包括内置于容器平台(Kubernetes或Docker应用容器引擎)的API场景化应用模块、持续集成和发布模块、中间件模块，其中，所述API场景化应用模块用于接入操作系统，操作系统指的是金融科技机构待开发运行的业务处理系统，例如，信用卡积分交易系统、债权交易系统等，持续集成和发布模块用于集成和发布源代码，所述中间件模块用于为应用软件提供运行与开发环境；

能力和解决方案层，包括多租户容器PaaS平台、微服务架构、API输出模块、数据中台和持续交付模块，其中，多租户容器PaaS平台用于为多个租户提供应用服务，本发明中，租户指的是金融科技机构、金融监管部门等，所述微服务架构用于提供开发微服务需要的组件，API输出模块用于应用接口自助上架和网管服务，数据中台用于提供数据服务，持续交付模块用于自动化发布应用软件；

产品应用层，用于将操作系统部署并且运行在容器平台上。

本发明的监管沙盒架构在银行私有云的物理隔离的基础环境(IaaS)上，运用容器虚拟化技术(Kubernetes，简称k8s)和API数据接口化技术标准构建而成，是一套适用于金融场景的开发者平台(PaaS)，帮助监管机构为金融科技服务商、金融科技机构等提供开发者服务平台。

本发明的监管沙盒架构不单单提供平台即服务的特点，并且在基础组件层封装和聚合了很多基础API的场景化模板和代码生成工具等，能够标准化保障操作系统代码层面的信息和合规安全，尤其便于对金融产品系统的监管。

在一个实施例中，所述API场景化应用模块包括：API接入单元、API编排单元和API网关服务单元。其中，所述API接入单元用于调用API接口，所述API编排单元用于根据API模板和参数信息创建API分组，所述API网关服务单元用于提供API托管服务。其中，API接入单元调用API接口之后，根据调用的API接口，可以获取其API模板和参数信息；之后，API编排单元可以根据API模板和参数信息创建分组，而API网管服务单元是为调用的API接口提供API托管服务，提供完整的生命周期管理。

在一个实施例中，所述中间件模块包括数据服务与治理平台、源代码托管单元、源代码镜像安全扫描单元、代码自动生成单元，其中，数据服务与治理平台用于根据业务数据验证金融科技解决方案的有效性和必要性，使得金融机构或者政府监管部门可以在保障数据信息安全的隔离环境中开放自有操作系统中的业务数据，来进行金融科技解决方案的有效性和必要性测试和论证；源代码托管单元用于入驻金融机构或者科技公司上传技术方案源代码并且提供从源代码层面端到端的构建，来确保最终系统的一致性和代码层面的合规性；源代码镜像安全扫描单元用于系统构建中提供预定义的信息安全和代码质量检测，杜绝系统漏洞或者后门，以保障金融产品系统代码层面的信息和合规安全；代码自动生成单元用于辅助入驻金融机构生成应用模板，此模板可以根据用户选择的订阅数据接口标准自动生成对应程序的客户端调用方法。

进一步地，所述中间件模块还包括：监管目的接口或者开发包(SDK)，嵌入监管沙盒架构中，用于收集上报的业务数据和分发组件，从而实现真正意义的穿透式监管。

所述中间件模块还包括：敏感数据自动识别单元和自定义脱敏配置单元，其中，敏感数据自动识别单元用于自动检测敏感数据；自定义脱敏配置单元用于自定义脱敏功能，以消除产品应用层在信息安全上的顾虑。

本发明通过基础组件层设置的各个组件工具，端到端的帮助用户快速和低成本的尝试或者开放各类金融创新应用系统，同时帮助监管部门对金融创新产品系统的合规性和风险性做到系统和产品模式的精准评估，并可以提供有效的改善建议，大大提高了事前风险的防控能力。

在一个实施例中，产品应用层包括：数据开放和聚合平台、开放银行和API市场、银行数字化转型系统中的一种或多种，通过监管沙盒架构的组件化、容器化、微服务化，使得该监管沙盒架构可以应用于上述不同的场景中。

本发明所述监管沙盒架构提供灵活的系统资源接入接口/协议，帮助金融机构或者金融科技公司快速对接或开放内部业务处理系统和相关数据，提供敏感数据自动检测和脱敏功能消除机构在信息安全上的顾虑。傻瓜式向导一键式构建部署整个应用和二开POC大大降低了系统接入的难度和周期。在监管的元素之外，开放式的API/系统镜像市场能够大大的活跃区域金融创新市场和氛围。

图2为本发明中监管沙盒架构的监管方法的流程示意图，如图2所示，本发明的监管沙盒架构通过下述方式实现监管:

根据待监管应用软件的操作系统确定基础组件层的组成，包括API场景化应用模块的类别、持续集成和发布模块和中间件模块的组成类别，由于基础组件层包括多个构成组件，当待监管应用软件的操作系统确定之后，可以根据操作系统得知所需要的构成组件，从基础组件层中选择出相应的组件构成，即为确定与该操作系统对应的基础组件层的组成，其中，基础组件层的模块类别根据监管需求侧重增减；

将所述待监管应用软件的操作系统一键式部署在所述基础组件层的容器平台上，并在所述容器平台上运行；其中，通过容器镜像的方式实现一键式部署，具体地，包括：在云端自动生成任务构建机，在任务构建机中生成与待监管应用软件对应的应用包，然后将所述应用包构建成镜像，在运行与开发环境中对应用镜像进行部署，使得启动容器平台即可运行所述操作系统；

根据数据分析结果对待监管应用软件进行监管，确定其合规性以及使用效果。

在一个实施例中，所述监管方法还包括：对待监管应用软件的操作系统进行标准化的代码扫描检测，包括代码漏洞和恶意代码检测等。优选地，所述基础组件层可以连接外部依赖包/接口扫描灯，通过基础组件层可以提供标准化的代码检测报告，通过代码检测报告可以明了代码出现的缺陷。

在一个实施例中，所述监管方法还可以包括：将待监管应用软件的操作系统与所述监管沙盒架构中的设定API绑定，比如支付类API，身份核实，风控扫描，或者穿透式监管用到的报数API等。

在一个实施例中，所述监管沙盒架构的监管方法还包括：监控运行在监管沙盒架构中的应用软件所有的流量和信息流动向(监管部门可以运用管理员权限实现流量监控等，具体监控方法属于现有技术，不再赘述)，由于运用了私有网络和容器平台体系，在监管沙盒架构中运行的应用软件，除了预设的网关出口(例如，80网关出口)，无法和外部网络通讯，从而做到杜绝个人敏感信息非法泄露，避免给用户带来任何损失，增强用户体验。

需要说明的是，本发明中，监管部门等监管机构可以根据实际的监管需求选择监管沙盒架构所能实现相应功能的监管模块，根据侧重按需添加相应模块。

下面以金融科技公司欲做一个信用卡积分交易系统为例，说明本发明的监管沙盒架构对该系统实现监管的方法。

首先在监管沙盒架构上选择经过认证的金融机构的开放银行API，API通过OAuth协议安全的开放了授信终端方客户的信用卡积分，同时选择在平台上提供试点的支付API的订阅。接下来可以把业务处理系统以容器镜像的方式一键式部署并且运行在容器平台上。监管方或者被调用API方可以同时从数据、系统架构和产品应用层校验应用的合规性以及使用效果，获取业务处理系统的评测报告，基于统一的评测报告给予正式生产投放市场许可。

本发明所述监管沙盒架构的监管方法应用于电子装置，所述电子装置可以是电视机、智能手机、平板电脑、计算机等终端设备。

所述电子装置包括：处理器和存储器，其中，存储器用于存储监管沙盒架构的监管程序，处理器执行所述监管程序，实现以下的监管方法的步骤：

根据待监管应用软件的操作系统确定基础组件层的组成；

根据数据分析结果对待监管应用软件进行监管。

所述电子装置还包括网络接口和通信总线等。其中，网络接口可以包括标准的有线接口、无线接口，通信总线用于实现各个组件之间的连接通信。

存储器包括至少一种类型的可读存储介质，可以是闪存、硬盘、光盘等非易失性存储介质，也可以是插接式硬盘等，且并不限于此，可以是以非暂时性方式存储指令或软件以及任何相关联的数据文件并向处理器提供指令或软件程序以使该处理器能够执行指令或软件程序的任何装置。本发明中，存储器存储的软件程序包括监管程序，并可以向处理器提供该监管程序，以使得处理器可以执行该监管程序，实现监管沙盒架构的监管方法的步骤。

处理器可以是中央处理器、微处理器或其他数据处理芯片等，可以运行存储器中的存储程序，例如，本发明中监管程序。

所述电子装置还可以包括显示器，显示器也可以称为显示屏或显示单元。在一些实施例中显示器可以是LED显示器、液晶显示器、触控式液晶显示器以及有机发光二极管(Organic Light-Emitting Diode，OLED)触摸器等。显示器用于显示在电子装置中处理的信息以及用于显示可视化的工作界面。

所述电子装置还可以包括用户接口，用户接口可以包括输入单元(比如键盘)、语音输出装置(比如音响、耳机)等。

在其他实施例中，监管程序还可以被分割为一个或者多个模块，一个或者多个模块被存储于存储器中，并由处理器执行，以完成本发明。本发明所称的模块是指能够完成特定功能的一系列计算机程序指令段。图3为本发明中监管程序的模块示意图，如图3所示，所述监管程序可以被分割为：组件确定模块1、系统部署运行模块2、数据分析模块3和监管模块4。上述模块所实现的功能或操作步骤均与上文类似，此处不再详述，示例性地，例如其中：

组件确定模块1，根据待监管应用软件的操作系统确定基础组件层的组成；

系统部署运行模块2，将所述待监管应用软件的操作系统一键式部署在所述基础组件层的容器平台上，并在所述容器平台上运行；

数据分析模块3，通过能力和解决方案层对待监管应用系统运行过程中产生的数据进行分析；

监管模块4，根据数据分析结果对待监管应用软件进行监管。

需要说明的是，本发明中，电子装置的具体实施方式与上述监管沙盒架构和监管方法的具体实施方式大致相同，在此不再赘述。

本发明还提供一种利用监管沙盒架构进行监管的监管装置，包括：

组件确定模块1，用于根据待监管应用软件的操作系统确定基础组件层的组成；

系统部署运行模块2，用于将所述待监管应用软件的操作系统一键式部署在所述基础组件层的容器平台上，并在所述容器平台上运行；

数据分析模块3，用于通过能力和解决方案层对待监管应用系统运行过程中产生的数据进行分析；

监管模块4，用于根据数据分析结果对待监管应用软件进行监管。

所述监管装置通过组件确定模块确定监管沙盒架构的具体构成，对待开发运行的操作系统进行有效的穿透式监管，提高事前风险防控能力。

所述监管装置还包括：代码检测模块，对待监管应用软件的操作系统进行标准化的代码扫描检测，包括代码漏洞和恶意代码检测等。优选地，所述基础组件层可以连接外部依赖包/接口扫描灯，通过基础组件层可以提供标准化的代码检测报告，通过代码检测报告可以明了代码出现的缺陷。

所述监管装置还可以包括：API绑定模块，将待监管应用软件的操作系统与所述监管沙盒架构中的设定API绑定，比如支付类API，身份核实，风控扫描，或者穿透式监管用到的报数API等。

所述监管装置还包括：流量监控模块，监控运行在监管沙盒架构中的应用软件所有的流量和信息流动向(监管部门可以运用管理员权限实现流量监控等，具体监控方法属于现有技术，不再赘述)，由于运用了私有网络和容器平台体系，在监管沙盒架构中运行的应用软件，除了预设的网关出口(例如，80网关出口)，无法和外部网络通讯，从而做到杜绝个人敏感信息非法泄露，避免给用户带来任何损失，增强用户体验。

需要说明的是，本发明中监管装置的具体实施方式与上述监管方法的具体实施方式大致相同，在此不再赘述。

本发明的一个实施例中，计算机可读存储介质可以是任何包含或存储程序或指令的有形介质，其中的程序可以被执行，通过存储的程序指令相关的硬件实现相应的功能。例如，计算机可读存储介质可以是计算机磁盘、硬盘、随机存取存储器、只读存储器等。本发明并不限于此，可以是以非暂时性方式存储指令或软件以及任何相关数据文件或数据结构并且可提供给处理器以使处理器执行其中的程序或指令的任何装置。所述计算机可读存储介质中包括监管程序，所述监管程序被处理器执行时，实现如下的监管方法：

根据待监管应用软件的操作系统确定基础组件层的组成；

根据数据分析结果对待监管应用软件进行监管。

本发明之计算机可读存储介质的具体实施方式与上述监管沙盒机构、监管方法、电子装置的具体实施方式大致相同，在此不再赘述。

需要说明的是，在本文中，术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含，从而使得包括一系列要素的过程、装置、物品或者方法不仅包括那些要素，而且还包括没有明确列出的其他要素，或者是还包括为这种过程、装置、物品或者方法所固有的要素。在没有更多限制的情况下，由语句“包括一个……”限定的要素，并不排除在包括该要素的过程、装置、物品或者方法中还存在另外的相同要素。

上述本发明实施例序号仅仅为了描述，不代表实施例的优劣。通过以上的实施方式的描述，本领域的技术人员可以清楚地了解到上述实施例方法可借助软件加必需的通用硬件平台的方式来实现，当然也可以通过硬件，但很多情况下前者是更佳的实施方式。基于这样的理解，本发明的技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来，该计算机软件产品存储在如上所述的一个存储介质(如ROM/RAM、磁碟、光盘)中，包括若干指令用以使得一台终端设备(可以是手机，计算机，服务器，或者网络设备等)执行本发明各个实施例所述的方法。

以上仅为本发明的优选实施例，并非因此限制本发明的专利范围，凡是利用本发明说明书及附图内容所作的等效结构或等效流程变换，或直接或间接运用在其他相关的技术领域，均同理包括在本发明的专利保护范围内。

Claims

1.一种监管沙盒架构，其特征在于，包括：

产品应用层，用于将操作系统部署并且运行在容器平台上。

2.根据权利要求1所述的监管沙盒架构，其特征在于，所述API场景化应用模块包括：API接入单元、API编排单元和API网关服务单元，其中，所述API接入单元用于调用API接口，所述API编排单元用于根据API模板和参数信息创建API分组，所述API网关服务单元用于提供API托管服务。

3.根据权利要求1所述的监管沙盒架构，其特征在于，所述中间件模块包括数据服务与治理平台、源代码托管单元、源代码镜像安全扫描单元、代码自动生成单元，其中，数据服务与治理平台用于根据业务数据验证金融科技解决方案的有效性和必要性；源代码托管单元用于上传源代码并且提供从源代码层面端到端的构建；源代码镜像安全扫描单元用于提供预定义的信息安全和代码质量检测；代码自动生成单元用于辅助生成应用模板。

4.根据权利要求3所述的监管沙盒架构，其特征在于，所述中间件模块还包括：监管目的接口或者开发包，用于收集上报的业务数据和分发组件。

5.根据权利要求3所述的监管沙盒架构，其特征在于，所述中间件模块还包括：

敏感数据自动识别单元，用于自动检测敏感数据；

自定义脱敏配置单元，用于自定义配置脱敏功能。

6.根据权利要求1所述的监管沙盒架构，其特征在于，产品应用层包括：数据开放和聚合平台、开放银行和API市场、银行数字化转型系统中的一种或多种。

7.一种如权利要求1所述的监管沙盒架构的监管方法，其特征在于，包括以下步骤：

根据待监管应用软件的操作系统确定基础组件层的组成；

根据数据分析结果对待监管应用软件进行监管。

8.根据权利要求7所述的监管方法，其特征在于，所述监管沙盒架构的监管方法还包括：监控运行在监管沙盒架构中的应用软件的流量和信息流动向。

9.一种电子装置，其特征在于，该电子装置包括：处理器和存储器，所述存储器中包括监管程序，所述监管程序被所述处理器执行时实现如权利要求7所述的监管方法。

10.一种计算机可读存储介质，其特征在于，所述计算机可读存储介质中包括监管程序，所述监管程序被处理器执行时，实现如权利要求7所述的监管方法。