□吳國(guó)強(qiáng) 韓 杰
推進(jìn)銀行應(yīng)用安全可控技術(shù)的政策建議
□吳國(guó)強(qiáng) 韓 杰
安全可控作為新常態(tài)下的發(fā)展理念,已貫穿到銀行信息化建設(shè)與發(fā)展的各個(gè)方面。本文以廈門市某法人銀行為例,分析了銀行在應(yīng)用安全可控信息技術(shù)推進(jìn)中的工作現(xiàn)狀、存在問(wèn)題,探討銀行如何通過(guò)提升自身信息科技治理水平,增強(qiáng)自主知識(shí)產(chǎn)權(quán)意識(shí),完善管理、制度體系等途徑落實(shí)監(jiān)管要求,掌握銀行業(yè)信息化的核心知識(shí)和關(guān)鍵技術(shù)。
2013年以來(lái),銀監(jiān)會(huì)明確要求銀行業(yè)要圍繞“自主可控”、“持續(xù)發(fā)展”、“科技創(chuàng)新”三大戰(zhàn)略切實(shí)加強(qiáng)信息科技建設(shè)。2014年3月,中央成立了以習(xí)近平總書記為組長(zhǎng)的中央網(wǎng)絡(luò)安全和信息化領(lǐng)導(dǎo)小組;9月初,銀監(jiān)會(huì)聯(lián)合發(fā)改委、科技部和工信部四部委發(fā)布了《關(guān)于應(yīng)用安全可控信息技術(shù)加強(qiáng)銀行業(yè)網(wǎng)絡(luò)安全和信息化建設(shè)的指導(dǎo)意見(jiàn)》(銀監(jiān)發(fā)〔2014〕39號(hào));12月,《銀行業(yè)應(yīng)用安全可控信息技術(shù)推進(jìn)指南(2014—2015年度)》(銀監(jiān)辦發(fā)〔2014〕317號(hào))正式推出。至此,網(wǎng)絡(luò)安全與信息化建設(shè)頂層設(shè)計(jì)與宏觀規(guī)劃格局形成,而銀行業(yè)率先發(fā)力,兩個(gè)文件將國(guó)計(jì)民生重點(diǎn)領(lǐng)域安全可控軟硬件發(fā)展進(jìn)入務(wù)實(shí)推進(jìn)階段。
廈門銀行業(yè)作為海西金融門戶,在推進(jìn)應(yīng)用安全可控信息技術(shù)中的地位舉足輕重,關(guān)系到兩岸區(qū)域性金融服務(wù)中心建設(shè)、海西綜合配套改革試驗(yàn)、廈漳泉大都市區(qū)同城化建設(shè)和廈門科學(xué)發(fā)展新跨越。此次調(diào)研的廈門某銀行,法人境內(nèi)外資產(chǎn)總額已達(dá)5000億元,分支機(jī)構(gòu)覆蓋2個(gè)國(guó)家和地區(qū),7個(gè)省級(jí)行政區(qū)、13個(gè)地級(jí)市,賬戶總數(shù)137萬(wàn),日均交易筆數(shù)23.49萬(wàn)筆、峰值34.38萬(wàn)筆,影響力逐漸擴(kuò)大。目前,該法人銀行已開(kāi)始推進(jìn)應(yīng)用安全可控信息技術(shù)落地工作,建立了推進(jìn)應(yīng)用安全可控信息技術(shù)的組織架構(gòu),修訂了本機(jī)構(gòu)的信息科技戰(zhàn)略規(guī)劃及推進(jìn)應(yīng)用安全可控技術(shù)總體規(guī)劃、財(cái)務(wù)預(yù)算及制度安排。在此次摸底調(diào)研中,該法人銀行應(yīng)用安全可控信息技術(shù)具有以下特點(diǎn):一是主機(jī)、存儲(chǔ)設(shè)備領(lǐng)域應(yīng)用集中以“IOE”為代表的國(guó)外技術(shù)。銀行核心應(yīng)用小型主機(jī)、存儲(chǔ)設(shè)備、PC服務(wù)器100%集中于IBM、HP、Oracle及EMC等為代表的國(guó)外廠商;二是骨干網(wǎng)絡(luò)設(shè)備、安全設(shè)備實(shí)現(xiàn)了異構(gòu)部署,加密、終端設(shè)備具備完全國(guó)產(chǎn)化條件。囿于國(guó)內(nèi)網(wǎng)絡(luò)、安全廠商的異軍突起,骨干路由器、核心交換機(jī)、負(fù)載均衡器、防火墻等流量設(shè)備目前已基本實(shí)現(xiàn)了異構(gòu)部署,認(rèn)證加密設(shè)備、POS機(jī)具等國(guó)產(chǎn)化率接近100%;三是操作系統(tǒng)、數(shù)據(jù)庫(kù)、虛擬機(jī)平臺(tái)等通用軟件領(lǐng)域完全被外資廠商壟斷。操作系統(tǒng)、數(shù)據(jù)庫(kù)一直是我國(guó)信息化產(chǎn)業(yè)發(fā)展的短板,而在目前虛擬化大行其道的時(shí)代背景下,國(guó)外虛擬化平臺(tái)產(chǎn)品已接管了大多數(shù)銀行業(yè)務(wù)系統(tǒng)。
一是信息科技治理能力薄弱、頂層設(shè)計(jì)不完善導(dǎo)致應(yīng)用安全可控信息技術(shù)推動(dòng)乏力。首先,董事會(huì)、高管層未能認(rèn)識(shí)并尊重科技活動(dòng)規(guī)律,未將敦促業(yè)務(wù)部門加強(qiáng)對(duì)科技活動(dòng)規(guī)律的認(rèn)識(shí)和理解作為工作重點(diǎn),未能認(rèn)識(shí)到通過(guò)信息系統(tǒng)體系架構(gòu)的頂層設(shè)計(jì)和主要信息系統(tǒng)的自主研發(fā)實(shí)現(xiàn)對(duì)科技信息風(fēng)險(xiǎn)的可管理、可監(jiān)控和可審計(jì)是實(shí)現(xiàn)安全可控的主要路徑。其次,銀行未能將應(yīng)用安全可控信息技術(shù)要求有機(jī)融入其信息科技戰(zhàn)略規(guī)劃,導(dǎo)致銀行在推進(jìn)安全可控信息技術(shù)落地的進(jìn)程中片面強(qiáng)調(diào)分項(xiàng)指標(biāo)合規(guī)而忽視整體規(guī)劃與本行業(yè)務(wù)、科技發(fā)展實(shí)際的契合。
二是管理體系、制度規(guī)范與推進(jìn)應(yīng)用安全可控信息技術(shù)要求不匹配。第一,粗放的管理體系是安全可控信息技術(shù)的致命短板。調(diào)研中發(fā)現(xiàn),在推進(jìn)應(yīng)用安全可控信息技術(shù)過(guò)程中規(guī)劃與日常工作的聯(lián)動(dòng)機(jī)制脫節(jié)、缺失,過(guò)分依賴技術(shù)手段而忽視管理措施等管理缺漏嚴(yán)重影響了應(yīng)用安全可控信息技術(shù)落地效果。第二,制度體系未能與應(yīng)用安全可控信息技術(shù)要求同步跟進(jìn)。如銀行未能根據(jù)安全可控技術(shù)要求修改采購(gòu)制度及流程,致使最終無(wú)法實(shí)現(xiàn)符合安全可控技術(shù)要求的產(chǎn)品落地;未將應(yīng)用安全可控技術(shù)因素納入績(jī)效考評(píng),及未將業(yè)務(wù)與信息科技聯(lián)動(dòng)考核,引起推動(dòng)應(yīng)用安全可控技術(shù)動(dòng)力不足。
三是自主知識(shí)產(chǎn)權(quán)意識(shí)淡薄,唯“指標(biāo)論”盛行,安全與發(fā)展本末倒置。第一,轄內(nèi)銀行自主知識(shí)產(chǎn)權(quán)意識(shí)淡薄,數(shù)百套應(yīng)用系統(tǒng)中注冊(cè)登記軟件著作權(quán)為零、專利擁有數(shù)量為零,這與安全可控的量化目標(biāo)“到2019年,掌握銀行業(yè)信息化的核心知識(shí)和關(guān)鍵技術(shù)”的要求背道而馳。第二,未能正確處理安全與發(fā)展的關(guān)系,片面以安全可控信息技術(shù)使用率評(píng)價(jià)安全可控信息技術(shù)推廣效果。調(diào)研中發(fā)現(xiàn),轄內(nèi)銀行未能將發(fā)展這第一要?jiǎng)?wù)放在應(yīng)用安全可控技術(shù)首位,存在誤將安全可控信息技術(shù)使用率作為目標(biāo)而忽視業(yè)務(wù)穩(wěn)定發(fā)展的問(wèn)題。
四是應(yīng)用安全可控信息技術(shù)生態(tài)環(huán)境尚不完善。首先,銀行作為技術(shù)應(yīng)用型企業(yè),保持業(yè)務(wù)系統(tǒng)安全穩(wěn)定運(yùn)行是科技部門的首要職責(zé),尚不具備進(jìn)行大規(guī)模技術(shù)創(chuàng)新或辨別產(chǎn)品(技術(shù))是否安全可控的能力。其次,國(guó)內(nèi)信息化產(chǎn)業(yè)結(jié)構(gòu)與應(yīng)用安全可控信息技術(shù)要求相去甚遠(yuǎn)。目前銀行業(yè)信息技術(shù)產(chǎn)品應(yīng)用中,終端設(shè)備國(guó)產(chǎn)化率較高,而操作系統(tǒng)、數(shù)據(jù)庫(kù)、小型機(jī)、高端存儲(chǔ)、虛擬平臺(tái)等標(biāo)準(zhǔn)化、平臺(tái)性的關(guān)鍵核心產(chǎn)品尚無(wú)成熟的可替代解決方案。
一是提升信息科技治理水平,提高駕馭全局的戰(zhàn)略思維能力。首先,銀行業(yè)金融機(jī)構(gòu)董事會(huì)、高管層應(yīng)高度重視信息科技治理工作,優(yōu)化董事會(huì)成員專業(yè)結(jié)構(gòu),以機(jī)構(gòu)應(yīng)用安全可控信息技術(shù)推進(jìn)領(lǐng)導(dǎo)小組為抓手,督促、推動(dòng)牽頭部門和專題小組完成其既定工作職責(zé),在推進(jìn)應(yīng)用安全可控信息技術(shù)工作中持續(xù)提升信息科技治理水平。其次,董事會(huì)、高管層應(yīng)從戰(zhàn)略、管理、技術(shù)等各方面提高駕馭全局的思維能力,在遵循科技活動(dòng)內(nèi)在規(guī)律的前提下,將應(yīng)用安全可控信息技術(shù)推進(jìn)工作融入本機(jī)構(gòu)信息科技戰(zhàn)略規(guī)劃及銀行業(yè)信息科技十三五規(guī)劃,增強(qiáng)頂層設(shè)計(jì)的指導(dǎo)性、實(shí)用性,確保安全可控信息技術(shù)落地生根,保障銀行業(yè)系統(tǒng)安全穩(wěn)定運(yùn)行。
二是建立推進(jìn)應(yīng)用安全可控信息技術(shù)長(zhǎng)效機(jī)制,完善管理體系及制度規(guī)范。銀行業(yè)金融機(jī)構(gòu)應(yīng)以推進(jìn)安全可控信息技術(shù)為契機(jī),建立信息科技戰(zhàn)略規(guī)劃、總體規(guī)劃、年度計(jì)劃與日常工作的聯(lián)動(dòng)機(jī)制,完善推進(jìn)應(yīng)用安全可控信息技術(shù)的組織體系、制度規(guī)范、技術(shù)手段和管理措施,平衡銀行信息化建設(shè)中的安全與發(fā)展的矛盾,加大復(fù)合型人才的培養(yǎng)力度,加強(qiáng)業(yè)務(wù)人員和科技人員的交流,強(qiáng)化業(yè)務(wù)條線與科技條線的互動(dòng)與融合,形成順暢的溝通和協(xié)作機(jī)制,建立多層次、立體化的信息科技管理體系,提升信息科技工作的內(nèi)在發(fā)展質(zhì)量。
三是強(qiáng)化自主知識(shí)產(chǎn)權(quán)意識(shí),正確處理安全與發(fā)展的關(guān)系。首先,銀行業(yè)金融機(jī)構(gòu)應(yīng)深刻理解自主知識(shí)產(chǎn)權(quán)對(duì)推進(jìn)應(yīng)用安全可控信息技術(shù)的關(guān)鍵作用,切實(shí)強(qiáng)化自主知識(shí)產(chǎn)權(quán)管理,積極注冊(cè)登記軟件著作權(quán),持續(xù)提升專利擁有數(shù)量,真正做到依法擁有、獨(dú)立支配并能不受他人制約地進(jìn)行集成創(chuàng)新和引進(jìn)消化吸收再創(chuàng)新。其次,銀行業(yè)金融機(jī)構(gòu)應(yīng)以市場(chǎng)為導(dǎo)向,以開(kāi)放、共贏為合作原則,以安全保障發(fā)展為最終目標(biāo),積極運(yùn)用新技術(shù)支撐、引領(lǐng)銀行業(yè)務(wù)發(fā)展,切實(shí)在發(fā)展中自主掌握核心知識(shí)和關(guān)鍵技術(shù)。
四是構(gòu)建應(yīng)用安全可控信息技術(shù)的良好生態(tài)環(huán)境。其一,銀行業(yè)金融機(jī)構(gòu)應(yīng)在著力提升科學(xué)運(yùn)維水平的同時(shí),積極推進(jìn)實(shí)施基礎(chǔ)軟硬件國(guó)產(chǎn)化和持續(xù)提升核心技術(shù)自主研發(fā)能力,大力推廣使用能夠滿足銀行業(yè)信息安全需求且技術(shù)風(fēng)險(xiǎn)、外包風(fēng)險(xiǎn)和供應(yīng)鏈風(fēng)險(xiǎn)可控的信息技術(shù)。其二,在銀監(jiān)會(huì)統(tǒng)籌規(guī)劃的基礎(chǔ)上,銀行業(yè)金融機(jī)構(gòu)應(yīng)加強(qiáng)與國(guó)內(nèi)廠商的協(xié)同合作,共同構(gòu)建銀行業(yè)信息技術(shù)自主可控的生態(tài)鏈,營(yíng)造安全可控信息技術(shù)研發(fā)、發(fā)展和應(yīng)用的良好生態(tài)環(huán)境。
(作者單位:建設(shè)銀行山東無(wú)棣支行、廈門銀監(jiān)局)