林曉軒:信息科技“自主可控”之道
來源:《中國金融電腦》雜志
在加強(qiáng)金融信息安全的大背景下,商業(yè)銀行信息科技建設(shè)的“自主可控”越來越受到業(yè)界關(guān)注。然而��,“自主可控”一定就是簡單地用國內(nèi)產(chǎn)品替代國外產(chǎn)品嗎�?商業(yè)銀行到底應(yīng)該如何落實“自主可控”戰(zhàn)略?
近年來,國家有關(guān)部門和監(jiān)管機(jī)構(gòu)日益重視銀行業(yè)信息科技風(fēng)險管理工作,要求商業(yè)銀行加強(qiáng)信息科技風(fēng)險管理,實現(xiàn)對信息系統(tǒng)的“安全、可控”���。銀監(jiān)會近兩年在銀行業(yè)信息科技風(fēng)險管理年會上提出,銀行業(yè)要圍繞“自主可控”、“持續(xù)發(fā)展”��、“科技創(chuàng)新”三大戰(zhàn)略切實加強(qiáng)信息科技建設(shè)�����,要求銀行業(yè)金融機(jī)構(gòu)按照“自主可控”戰(zhàn)略�,合理構(gòu)建信息系統(tǒng)����。同時,人民銀行在相關(guān)工作中也強(qiáng)調(diào)“要提高金融信息安全自主可控水平”�����。根據(jù)監(jiān)管部門近期提出的有關(guān)要求��,工商銀行結(jié)合多年來自身的實際情況��,對如何規(guī)劃和實施自主可控戰(zhàn)略進(jìn)行了深入的思考與研究�����,并不斷探索實踐�����。
一、商業(yè)銀行落實“自主可控”戰(zhàn)略的思考
目前存在一種觀點�,認(rèn)為“自主可控”就是簡單地用國內(nèi)產(chǎn)品替換國外產(chǎn)品��,這一觀點在一些歐美國家也一定程度存在。簡單地使用國內(nèi)的軟硬件產(chǎn)品并不能達(dá)到自主可控的目標(biāo)��,特別是在當(dāng)前市場化和資本運作的大環(huán)境下,企業(yè)的國內(nèi)外資本性質(zhì)轉(zhuǎn)換很快����,所謂的國內(nèi)和國外都是相對的���,這方面市場上已經(jīng)有了很多實際的案例�����,包括一些與銀行合作密切的企業(yè)的案例。因此���,商業(yè)銀行落實“自主可控”要求,應(yīng)是在遵照國家政策和監(jiān)管要求的基礎(chǔ)上���,通過信息系統(tǒng)體系架構(gòu)的總體頂層設(shè)計和主要信息系統(tǒng)的自主研發(fā)或“自主可控”研發(fā),在滿足銀行自身信息系統(tǒng)整體體系架構(gòu)的前提下�,自主研發(fā)核心和關(guān)鍵信息系統(tǒng)�,并分層異構(gòu)使用外部產(chǎn)品����,實現(xiàn)對信息科技風(fēng)險的可監(jiān)控���、可管理�����、過程可審計�����。
1.自主設(shè)計和自主研發(fā)是落實“自主可控”戰(zhàn)略的主導(dǎo)思路
商業(yè)銀行在構(gòu)建自主可控的信息系統(tǒng)整體體系架構(gòu)時,一方面通過自主研發(fā)的途徑�����,開發(fā)出符合自身特點的應(yīng)用系統(tǒng)以滿足業(yè)務(wù)需求����;另一方面采用自主設(shè)計的做法,組合使用不同廠商的技術(shù)產(chǎn)品�����,以異構(gòu)的方式實現(xiàn)產(chǎn)品技術(shù)上的揚長避短和相互補(bǔ)充���。同時�,在外部廠商技術(shù)產(chǎn)品的使用上,也應(yīng)在充分消化吸收的基礎(chǔ)上���,做到知其形、究其因�、懂其理�,進(jìn)而探討自主研發(fā)予以替換和實現(xiàn)的可行性�,掌握技術(shù)的主動權(quán)。因此�,商業(yè)銀行“自主可控”信息系統(tǒng)并不是以國產(chǎn)產(chǎn)品技術(shù)簡單替換國外產(chǎn)品����,而是建立在自主規(guī)劃設(shè)計的基礎(chǔ)上��,做到“因我所需,為我所用”。
2.體系架構(gòu)的整體把控與設(shè)計是落實“自主可控”的關(guān)鍵
商業(yè)銀行通過自主規(guī)劃的頂層設(shè)計思路落實“自主可控”�。在信息系統(tǒng)的整體防護(hù)體系架構(gòu)設(shè)計上��,商業(yè)銀行應(yīng)關(guān)注體系架構(gòu)的整體把控,自主設(shè)計并建立起軟硬件架構(gòu)體系,著力研究體系中各個系統(tǒng)端到端的整體設(shè)計����,在不同環(huán)節(jié)應(yīng)用不同技術(shù)�����,合理進(jìn)行技術(shù)組合,實現(xiàn)對體系架構(gòu)整體的自主可控,進(jìn)而在信息系統(tǒng)的整體防護(hù)體系架構(gòu)設(shè)計和各個系統(tǒng)端到端整體設(shè)計的過程中����,實現(xiàn)可管理�、可監(jiān)控和過程可審計。這好比在汽車領(lǐng)域,一個國內(nèi)車企如果只是簡單地把國外整車引進(jìn)銷售���,不掌握關(guān)鍵技術(shù),就會失去話語權(quán),被動接受國外車企的各種要求���,但如果動力系統(tǒng)、轉(zhuǎn)向系統(tǒng)����、剎車和底盤��、主動安全與被動安全系統(tǒng)以及外形設(shè)計等都由國內(nèi)車企自行研發(fā)設(shè)計,即便使用的零部件來自于國內(nèi)外企業(yè)的全球采購���,技術(shù)主動權(quán)和零部件選擇權(quán)仍掌握在國內(nèi)車企手中,不會因所使用的零部件而受制于人�����。
因此����,不能簡單地認(rèn)為使用國內(nèi)產(chǎn)品就一定是安全的�����,使用國外產(chǎn)品就一定是不安全的�。簡單地對產(chǎn)品和技術(shù)進(jìn)行替換將造成商業(yè)銀行科技建設(shè)成本的增加���,同時���,也將對商業(yè)銀行信息系統(tǒng)的整體風(fēng)險留下隱患���。商業(yè)銀行只有立足于自主整體規(guī)劃和設(shè)計才能掌握技術(shù)控制權(quán)�����、選擇權(quán)和主動權(quán)�。國內(nèi)外廠商在為銀行提供具體的軟硬件產(chǎn)品和技術(shù)服務(wù)的同時��,更應(yīng)該幫助商業(yè)銀行提高其信息系統(tǒng)的自主規(guī)劃設(shè)計能力��。
3.實現(xiàn)產(chǎn)品及技術(shù)的異構(gòu)組合是實現(xiàn)系統(tǒng)端到端“自主可控”的途徑
商業(yè)銀行不可能自主研發(fā)所有需使用的軟硬件產(chǎn)品,因此在選擇外部軟硬件產(chǎn)品時,在符合國家政策和監(jiān)管要求的原則下,需要通過產(chǎn)品的異構(gòu)組合實現(xiàn)整個系統(tǒng)的端到端自主可控�。例如��,國家在網(wǎng)銀系統(tǒng)的各個環(huán)節(jié)上都有明確的規(guī)范和出臺了認(rèn)證要求,商業(yè)銀行在網(wǎng)銀系統(tǒng)設(shè)計與實現(xiàn)上,應(yīng)在嚴(yán)格遵守國家相關(guān)要求的同時�����,在客戶端安全控件�、認(rèn)證介質(zhì)����、硬件證書、軟件證書���、認(rèn)證數(shù)據(jù)傳輸加密算法等網(wǎng)銀系統(tǒng)的多個層面和處理流程上,通過合理的技術(shù)組合實現(xiàn)“自主可控”體系�����。
4.符合國家政策和監(jiān)管要求是落實“自主可控”的基本底線
商業(yè)銀行在構(gòu)建自身信息系統(tǒng)體系架構(gòu)時�,不管使用國內(nèi)還是國外的技術(shù),必須在符合國家的相關(guān)政策和監(jiān)管要求的基礎(chǔ)上�����,基于自行設(shè)計的體系架構(gòu)���,建立商業(yè)銀行自身的�����、與之配套的信息系統(tǒng)體系標(biāo)準(zhǔn)����、管理制度和規(guī)范體系,以及監(jiān)控和審計體系�����,實現(xiàn)對整體體系架構(gòu)和各系統(tǒng)的管理�����、監(jiān)控和過程審計。同時�,商業(yè)銀行也應(yīng)在遵照國家政策要求和監(jiān)管要求的基礎(chǔ)上���,以滿足商業(yè)銀行整體體系架構(gòu)需求為前提�,積極推動國產(chǎn)軟硬件技術(shù)和產(chǎn)品的使用�,積極使用優(yōu)秀的國產(chǎn)產(chǎn)品作為整個架構(gòu)體系中不可或缺的異構(gòu)組件。同時�,商業(yè)銀行要合法使用正版的國內(nèi)外軟硬件產(chǎn)品���,充分保障相關(guān)正當(dāng)權(quán)益�����。
二、工商銀行落實“自主可控”戰(zhàn)略的實踐
多年來����,圍繞上述思路����,特別是根據(jù)監(jiān)管部門的有關(guān)要求�����,工商銀行在“自主可控”戰(zhàn)略的實施方面做了一些具體工作��。
1.堅持走自主研發(fā)的技術(shù)創(chuàng)新道路,支持業(yè)務(wù)全面發(fā)展
工商銀行依靠自身科技力量���,始終堅持走自主研發(fā)道路,自主研發(fā)了各類業(yè)務(wù)應(yīng)用和經(jīng)營管理系統(tǒng)���。工商銀行先后啟動實施四代核心應(yīng)用系統(tǒng)開發(fā)和推廣工作,完全依托自身技術(shù)力量獨立研發(fā)了超大型的核心應(yīng)用系統(tǒng)�����,在同業(yè)中率先自主研發(fā)并全面推廣了多幣種����、多語言�����、多時區(qū)的境外核心業(yè)務(wù)系統(tǒng)�,具有自主知識產(chǎn)權(quán)的業(yè)務(wù)系統(tǒng)全面覆蓋客戶信息�、會計核算、存款、貸款����、匯款清算�、銀行卡����、金融市場業(yè)務(wù)等境內(nèi)外業(yè)務(wù)領(lǐng)域,為工商銀行改革發(fā)展提供了強(qiáng)大支撐,有力推動了全行各項業(yè)務(wù)的快速發(fā)展。截至目前��,工商銀行注冊登記軟件著作權(quán)275件��,擁有的專利總量達(dá)到了307個��,國內(nèi)同業(yè)占比超過60%。與此同時,工商銀行依靠自身科技力量,成功實施了數(shù)據(jù)集中、災(zāi)備體系、網(wǎng)絡(luò)體系等技術(shù)工程建設(shè);依靠自身科技力量開展各項生產(chǎn)運行維護(hù)和管理��、信息安全管理等工作�,通過采取各項技術(shù)手段和管理措施,確保信息系統(tǒng)的穩(wěn)定運行及客戶信息�����、內(nèi)部管理信息的安全。
2.通過頂層設(shè)計構(gòu)建自主技術(shù)架構(gòu)體系,實現(xiàn)技術(shù)整體把控
工商銀行通過管理和技術(shù)兩個層面的頂層設(shè)計�,實現(xiàn)了對整體技術(shù)架構(gòu)自上而下的嚴(yán)格自主把控。在管理層面�,根據(jù)監(jiān)管部門要求在董事會及高級管理層下設(shè)信息科技管理委員會����,主要負(fù)責(zé)信息科技戰(zhàn)略���、信息科技重大決策事項等����;信息科技管理委員會下設(shè)技術(shù)審查委員會,負(fù)責(zé)重大科技項目規(guī)劃與方案的審批。同時,對照國家標(biāo)準(zhǔn)和監(jiān)管要求�,工商銀行建立了較為全面的信息科技管理制度和技術(shù)標(biāo)準(zhǔn)規(guī)范體系��,并且每年結(jié)合執(zhí)行情況和新的工作要求進(jìn)行修訂完善,目前已經(jīng)形成了由136個信息科技制度管理辦法、實施細(xì)則和管理手冊組成的信息科技管理制度體系�����,形成了包含應(yīng)用�����、信息�、安全�����、系統(tǒng)���、網(wǎng)絡(luò)�����、基礎(chǔ)設(shè)施�����、其他等七大類123項規(guī)范的技術(shù)標(biāo)準(zhǔn)體系����。通過自主開展各種現(xiàn)場和非現(xiàn)場檢查���、自主研發(fā)應(yīng)用監(jiān)控系統(tǒng)�,輔以上下聯(lián)動的整改落實跟蹤機(jī)制,實現(xiàn)了信息科技風(fēng)險的可管理�、可監(jiān)控和過程可審計����。
在技術(shù)層面����,工商銀行在選擇信息技術(shù)產(chǎn)品時,從自身整體架構(gòu)體系出發(fā)���,綜合考慮產(chǎn)品功能和性能、運行穩(wěn)定性��、客戶服務(wù)效率和資金安全保障等多方面因素����,選擇適合工商銀行需要的軟硬件產(chǎn)品組合,以防范內(nèi)外部安全風(fēng)險���,確保系統(tǒng)穩(wěn)定運行和客戶資金安全。
工商銀行在推動技術(shù)架構(gòu)“自主可控”方面遵循的原則和做法主要有以下幾點:
一是分層次�����、分區(qū)域綜合保障����。按照“垂直分層、水平分區(qū)”的層次化防護(hù)思想進(jìn)行安全設(shè)計���,在縱向?qū)哟紊戏譃楹诵膶印?yīng)用層�����、隔離層和接入層��,在橫向區(qū)域上分為電子銀行區(qū)域����、自助區(qū)域�����、柜面區(qū)域等��,從整體上保障系統(tǒng)的安全性。
二是采用不同廠商����、不同類型產(chǎn)品實現(xiàn)異構(gòu)防護(hù)�。在同一層次上����,通過不同廠商、不同類型產(chǎn)品的異構(gòu)組合,相互彌補(bǔ)缺陷,避免單一廠商�����、單一類型的產(chǎn)品存在安全隱患所帶來的風(fēng)險����。
三是兼顧系統(tǒng)安全性和客戶服務(wù)需要�����。銀行信息系統(tǒng)是面向廣大客戶提供服務(wù)的����,在保障系統(tǒng)安全性的同時�����,也必須選擇適當(dāng)?shù)募夹g(shù)產(chǎn)品保障客戶服務(wù)需要�,實現(xiàn)系統(tǒng)的客戶便利性�、易用性。例如��,工商銀行在開展密碼技術(shù)防護(hù)體系建設(shè)中���,在核心層��、應(yīng)用層��、隔離層和客戶終端等層面分別部署和選用了不同廠商的軟硬件加密設(shè)備和產(chǎn)品,以達(dá)到確保系統(tǒng)安全�,方便客戶使用的目的�����。
3.通過自主研發(fā)實現(xiàn)關(guān)鍵業(yè)務(wù)系統(tǒng)風(fēng)險管理的“自主可控”,降低信息泄漏風(fēng)險
當(dāng)前,商業(yè)銀行金融市場已成為一項十分重要的業(yè)務(wù)領(lǐng)域,許多商業(yè)銀行的金融市場資產(chǎn)已經(jīng)達(dá)到上萬億元(人民幣)的規(guī)模���。但目前大部分商業(yè)銀行所使用的交易和管理軟件,基本是由在不同階段外購的不同系統(tǒng)組成,系統(tǒng)間相互獨立�����,難以實現(xiàn)信息交互�、數(shù)據(jù)共享和統(tǒng)一風(fēng)險管理�����,也難以實現(xiàn)對交易的風(fēng)險管理以及與商業(yè)銀行自身的中后臺風(fēng)險管理系統(tǒng)的聯(lián)動整合����,甚至一些銀行將交易數(shù)據(jù)提供給外部機(jī)構(gòu)幫助其完成對產(chǎn)品的定期估值和對設(shè)定場景的風(fēng)險壓力測試,形成了較大的信息安全風(fēng)險�。
按照“自主可控”的原則�����,2007年工商銀行開始自主研發(fā)金融市場業(yè)務(wù)管理平臺,經(jīng)過多年摸索實踐����,至2011年已構(gòu)建起金融市場交易管理��、風(fēng)險管理、產(chǎn)品控制���、定價估值平臺,不僅提高了工商銀行代客交易的產(chǎn)品創(chuàng)新能力�����,還實現(xiàn)了為境內(nèi)外機(jī)構(gòu)客戶產(chǎn)品推廣和統(tǒng)一報價�����、集中平盤��,逐步建立了自營業(yè)務(wù)前臺交易風(fēng)險控制����、中后臺風(fēng)險聯(lián)動管理的全球一體化處理平臺。
目前����,在監(jiān)管政策的大力推動下����,商業(yè)銀行�����、企業(yè)��、科研機(jī)構(gòu)積極開展技術(shù)合作、成果轉(zhuǎn)移和商業(yè)化應(yīng)用�,商業(yè)銀行落實信息系統(tǒng)建設(shè)“自主可控”戰(zhàn)略將得到更加有力的支持�����。工商銀行將按照監(jiān)管部門的要求,加強(qiáng)與相關(guān)企業(yè)和機(jī)構(gòu)的合作,進(jìn)一步提升信息科技的自主可控能力。
本文鏈接:http://www.lajishu.com/product/html/26.html轉(zhuǎn)載請注明!
