推進(jìn)銀行應(yīng)用安全可控技術(shù)的政策建議

□吳國(guó)強(qiáng) 韓 杰

推進(jìn)銀行應(yīng)用安全可控技術(shù)的政策建議

□吳國(guó)強(qiáng) 韓 杰

安全可控作為新常態(tài)下的發(fā)展理念，已貫穿到銀行信息化建設(shè)與發(fā)展的各個(gè)方面。本文以廈門市某法人銀行為例，分析了銀行在應(yīng)用安全可控信息技術(shù)推進(jìn)中的工作現(xiàn)狀、存在問(wèn)題，探討銀行如何通過(guò)提升自身信息科技治理水平，增強(qiáng)自主知識(shí)產(chǎn)權(quán)意識(shí)，完善管理、制度體系等途徑落實(shí)監(jiān)管要求，掌握銀行業(yè)信息化的核心知識(shí)和關(guān)鍵技術(shù)。

2013年以來(lái)，銀監(jiān)會(huì)明確要求銀行業(yè)要圍繞“自主可控”、“持續(xù)發(fā)展”、“科技創(chuàng)新”三大戰(zhàn)略切實(shí)加強(qiáng)信息科技建設(shè)。2014年3月，中央成立了以習(xí)近平總書記為組長(zhǎng)的中央網(wǎng)絡(luò)安全和信息化領(lǐng)導(dǎo)小組；9月初，銀監(jiān)會(huì)聯(lián)合發(fā)改委、科技部和工信部四部委發(fā)布了《關(guān)于應(yīng)用安全可控信息技術(shù)加強(qiáng)銀行業(yè)網(wǎng)絡(luò)安全和信息化建設(shè)的指導(dǎo)意見(jiàn)》（銀監(jiān)發(fā)〔2014〕39號(hào)）；12月，《銀行業(yè)應(yīng)用安全可控信息技術(shù)推進(jìn)指南（2014—2015年度）》（銀監(jiān)辦發(fā)〔2014〕317號(hào)）正式推出。至此，網(wǎng)絡(luò)安全與信息化建設(shè)頂層設(shè)計(jì)與宏觀規(guī)劃格局形成，而銀行業(yè)率先發(fā)力，兩個(gè)文件將國(guó)計(jì)民生重點(diǎn)領(lǐng)域安全可控軟硬件發(fā)展進(jìn)入務(wù)實(shí)推進(jìn)階段。

一、基本情況

廈門銀行業(yè)作為海西金融門戶，在推進(jìn)應(yīng)用安全可控信息技術(shù)中的地位舉足輕重，關(guān)系到兩岸區(qū)域性金融服務(wù)中心建設(shè)、海西綜合配套改革試驗(yàn)、廈漳泉大都市區(qū)同城化建設(shè)和廈門科學(xué)發(fā)展新跨越。此次調(diào)研的廈門某銀行，法人境內(nèi)外資產(chǎn)總額已達(dá)5000億元，分支機(jī)構(gòu)覆蓋2個(gè)國(guó)家和地區(qū)，7個(gè)省級(jí)行政區(qū)、13個(gè)地級(jí)市，賬戶總數(shù)137萬(wàn)，日均交易筆數(shù)23.49萬(wàn)筆、峰值34.38萬(wàn)筆，影響力逐漸擴(kuò)大。目前，該法人銀行已開(kāi)始推進(jìn)應(yīng)用安全可控信息技術(shù)落地工作，建立了推進(jìn)應(yīng)用安全可控信息技術(shù)的組織架構(gòu),修訂了本機(jī)構(gòu)的信息科技戰(zhàn)略規(guī)劃及推進(jìn)應(yīng)用安全可控技術(shù)總體規(guī)劃、財(cái)務(wù)預(yù)算及制度安排。在此次摸底調(diào)研中，該法人銀行應(yīng)用安全可控信息技術(shù)具有以下特點(diǎn):一是主機(jī)、存儲(chǔ)設(shè)備領(lǐng)域應(yīng)用集中以“IOE”為代表的國(guó)外技術(shù)。銀行核心應(yīng)用小型主機(jī)、存儲(chǔ)設(shè)備、PC服務(wù)器100%集中于IBM、HP、Oracle及EMC等為代表的國(guó)外廠商；二是骨干網(wǎng)絡(luò)設(shè)備、安全設(shè)備實(shí)現(xiàn)了異構(gòu)部署，加密、終端設(shè)備具備完全國(guó)產(chǎn)化條件。囿于國(guó)內(nèi)網(wǎng)絡(luò)、安全廠商的異軍突起，骨干路由器、核心交換機(jī)、負(fù)載均衡器、防火墻等流量設(shè)備目前已基本實(shí)現(xiàn)了異構(gòu)部署，認(rèn)證加密設(shè)備、POS機(jī)具等國(guó)產(chǎn)化率接近100%；三是操作系統(tǒng)、數(shù)據(jù)庫(kù)、虛擬機(jī)平臺(tái)等通用軟件領(lǐng)域完全被外資廠商壟斷。操作系統(tǒng)、數(shù)據(jù)庫(kù)一直是我國(guó)信息化產(chǎn)業(yè)發(fā)展的短板，而在目前虛擬化大行其道的時(shí)代背景下，國(guó)外虛擬化平臺(tái)產(chǎn)品已接管了大多數(shù)銀行業(yè)務(wù)系統(tǒng)。

二、存在問(wèn)題

一是信息科技治理能力薄弱、頂層設(shè)計(jì)不完善導(dǎo)致應(yīng)用安全可控信息技術(shù)推動(dòng)乏力。首先，董事會(huì)、高管層未能認(rèn)識(shí)并尊重科技活動(dòng)規(guī)律，未將敦促業(yè)務(wù)部門加強(qiáng)對(duì)科技活動(dòng)規(guī)律的認(rèn)識(shí)和理解作為工作重點(diǎn)，未能認(rèn)識(shí)到通過(guò)信息系統(tǒng)體系架構(gòu)的頂層設(shè)計(jì)和主要信息系統(tǒng)的自主研發(fā)實(shí)現(xiàn)對(duì)科技信息風(fēng)險(xiǎn)的可管理、可監(jiān)控和可審計(jì)是實(shí)現(xiàn)安全可控的主要路徑。其次，銀行未能將應(yīng)用安全可控信息技術(shù)要求有機(jī)融入其信息科技戰(zhàn)略規(guī)劃，導(dǎo)致銀行在推進(jìn)安全可控信息技術(shù)落地的進(jìn)程中片面強(qiáng)調(diào)分項(xiàng)指標(biāo)合規(guī)而忽視整體規(guī)劃與本行業(yè)務(wù)、科技發(fā)展實(shí)際的契合。

二是管理體系、制度規(guī)范與推進(jìn)應(yīng)用安全可控信息技術(shù)要求不匹配。第一，粗放的管理體系是安全可控信息技術(shù)的致命短板。調(diào)研中發(fā)現(xiàn)，在推進(jìn)應(yīng)用安全可控信息技術(shù)過(guò)程中規(guī)劃與日常工作的聯(lián)動(dòng)機(jī)制脫節(jié)、缺失，過(guò)分依賴技術(shù)手段而忽視管理措施等管理缺漏嚴(yán)重影響了應(yīng)用安全可控信息技術(shù)落地效果。第二，制度體系未能與應(yīng)用安全可控信息技術(shù)要求同步跟進(jìn)。如銀行未能根據(jù)安全可控技術(shù)要求修改采購(gòu)制度及流程，致使最終無(wú)法實(shí)現(xiàn)符合安全可控技術(shù)要求的產(chǎn)品落地；未將應(yīng)用安全可控技術(shù)因素納入績(jī)效考評(píng)，及未將業(yè)務(wù)與信息科技聯(lián)動(dòng)考核，引起推動(dòng)應(yīng)用安全可控技術(shù)動(dòng)力不足。

三是自主知識(shí)產(chǎn)權(quán)意識(shí)淡薄，唯“指標(biāo)論”盛行，安全與發(fā)展本末倒置。第一，轄內(nèi)銀行自主知識(shí)產(chǎn)權(quán)意識(shí)淡薄，數(shù)百套應(yīng)用系統(tǒng)中注冊(cè)登記軟件著作權(quán)為零、專利擁有數(shù)量為零，這與安全可控的量化目標(biāo)“到2019年，掌握銀行業(yè)信息化的核心知識(shí)和關(guān)鍵技術(shù)”的要求背道而馳。第二，未能正確處理安全與發(fā)展的關(guān)系，片面以安全可控信息技術(shù)使用率評(píng)價(jià)安全可控信息技術(shù)推廣效果。調(diào)研中發(fā)現(xiàn)，轄內(nèi)銀行未能將發(fā)展這第一要?jiǎng)?wù)放在應(yīng)用安全可控技術(shù)首位，存在誤將安全可控信息技術(shù)使用率作為目標(biāo)而忽視業(yè)務(wù)穩(wěn)定發(fā)展的問(wèn)題。

四是應(yīng)用安全可控信息技術(shù)生態(tài)環(huán)境尚不完善。首先，銀行作為技術(shù)應(yīng)用型企業(yè)，保持業(yè)務(wù)系統(tǒng)安全穩(wěn)定運(yùn)行是科技部門的首要職責(zé)，尚不具備進(jìn)行大規(guī)模技術(shù)創(chuàng)新或辨別產(chǎn)品（技術(shù)）是否安全可控的能力。其次，國(guó)內(nèi)信息化產(chǎn)業(yè)結(jié)構(gòu)與應(yīng)用安全可控信息技術(shù)要求相去甚遠(yuǎn)。目前銀行業(yè)信息技術(shù)產(chǎn)品應(yīng)用中，終端設(shè)備國(guó)產(chǎn)化率較高，而操作系統(tǒng)、數(shù)據(jù)庫(kù)、小型機(jī)、高端存儲(chǔ)、虛擬平臺(tái)等標(biāo)準(zhǔn)化、平臺(tái)性的關(guān)鍵核心產(chǎn)品尚無(wú)成熟的可替代解決方案。

三、政策建議

一是提升信息科技治理水平，提高駕馭全局的戰(zhàn)略思維能力。首先，銀行業(yè)金融機(jī)構(gòu)董事會(huì)、高管層應(yīng)高度重視信息科技治理工作，優(yōu)化董事會(huì)成員專業(yè)結(jié)構(gòu)，以機(jī)構(gòu)應(yīng)用安全可控信息技術(shù)推進(jìn)領(lǐng)導(dǎo)小組為抓手，督促、推動(dòng)牽頭部門和專題小組完成其既定工作職責(zé)，在推進(jìn)應(yīng)用安全可控信息技術(shù)工作中持續(xù)提升信息科技治理水平。其次，董事會(huì)、高管層應(yīng)從戰(zhàn)略、管理、技術(shù)等各方面提高駕馭全局的思維能力，在遵循科技活動(dòng)內(nèi)在規(guī)律的前提下，將應(yīng)用安全可控信息技術(shù)推進(jìn)工作融入本機(jī)構(gòu)信息科技戰(zhàn)略規(guī)劃及銀行業(yè)信息科技十三五規(guī)劃，增強(qiáng)頂層設(shè)計(jì)的指導(dǎo)性、實(shí)用性，確保安全可控信息技術(shù)落地生根，保障銀行業(yè)系統(tǒng)安全穩(wěn)定運(yùn)行。

二是建立推進(jìn)應(yīng)用安全可控信息技術(shù)長(zhǎng)效機(jī)制，完善管理體系及制度規(guī)范。銀行業(yè)金融機(jī)構(gòu)應(yīng)以推進(jìn)安全可控信息技術(shù)為契機(jī)，建立信息科技戰(zhàn)略規(guī)劃、總體規(guī)劃、年度計(jì)劃與日常工作的聯(lián)動(dòng)機(jī)制，完善推進(jìn)應(yīng)用安全可控信息技術(shù)的組織體系、制度規(guī)范、技術(shù)手段和管理措施，平衡銀行信息化建設(shè)中的安全與發(fā)展的矛盾，加大復(fù)合型人才的培養(yǎng)力度，加強(qiáng)業(yè)務(wù)人員和科技人員的交流，強(qiáng)化業(yè)務(wù)條線與科技條線的互動(dòng)與融合，形成順暢的溝通和協(xié)作機(jī)制，建立多層次、立體化的信息科技管理體系，提升信息科技工作的內(nèi)在發(fā)展質(zhì)量。

三是強(qiáng)化自主知識(shí)產(chǎn)權(quán)意識(shí)，正確處理安全與發(fā)展的關(guān)系。首先，銀行業(yè)金融機(jī)構(gòu)應(yīng)深刻理解自主知識(shí)產(chǎn)權(quán)對(duì)推進(jìn)應(yīng)用安全可控信息技術(shù)的關(guān)鍵作用，切實(shí)強(qiáng)化自主知識(shí)產(chǎn)權(quán)管理，積極注冊(cè)登記軟件著作權(quán)，持續(xù)提升專利擁有數(shù)量，真正做到依法擁有、獨(dú)立支配并能不受他人制約地進(jìn)行集成創(chuàng)新和引進(jìn)消化吸收再創(chuàng)新。其次，銀行業(yè)金融機(jī)構(gòu)應(yīng)以市場(chǎng)為導(dǎo)向，以開(kāi)放、共贏為合作原則，以安全保障發(fā)展為最終目標(biāo)，積極運(yùn)用新技術(shù)支撐、引領(lǐng)銀行業(yè)務(wù)發(fā)展，切實(shí)在發(fā)展中自主掌握核心知識(shí)和關(guān)鍵技術(shù)。

四是構(gòu)建應(yīng)用安全可控信息技術(shù)的良好生態(tài)環(huán)境。其一，銀行業(yè)金融機(jī)構(gòu)應(yīng)在著力提升科學(xué)運(yùn)維水平的同時(shí)，積極推進(jìn)實(shí)施基礎(chǔ)軟硬件國(guó)產(chǎn)化和持續(xù)提升核心技術(shù)自主研發(fā)能力，大力推廣使用能夠滿足銀行業(yè)信息安全需求且技術(shù)風(fēng)險(xiǎn)、外包風(fēng)險(xiǎn)和供應(yīng)鏈風(fēng)險(xiǎn)可控的信息技術(shù)。其二，在銀監(jiān)會(huì)統(tǒng)籌規(guī)劃的基礎(chǔ)上，銀行業(yè)金融機(jī)構(gòu)應(yīng)加強(qiáng)與國(guó)內(nèi)廠商的協(xié)同合作，共同構(gòu)建銀行業(yè)信息技術(shù)自主可控的生態(tài)鏈，營(yíng)造安全可控信息技術(shù)研發(fā)、發(fā)展和應(yīng)用的良好生態(tài)環(huán)境。

（作者單位：建設(shè)銀行山東無(wú)棣支行、廈門銀監(jiān)局）