选择权,摆脱在关键信息和网络基础设施领域对单一技术和产品的依赖。从战略角度规划和建设业务连续性系统架构,应当至少有一种基于安全可控信息技术架构的数据级或应用级存储、备份、归档和容灾等一体化的业务连续性方案。
(三)优先应用安全可控信息技术。银行业金融机构应客观评估自身信息化需求和信息科技风险情况,开展差距分析,按年度制定应用推进计划;建立科学合理的信息技术和产品选型理念,选择与本单位信息化需求相匹配的技术与产品,避免一味求大求全。在涉及客户敏感数据的信息处理环节,应优先使用安全可靠、风险可控的信息技术和服务,当前重点在网络设备、存储、中低端服务器、信息安全、运维服务、文字处理软件等领域积极推进,在操作系统、数据库等领域要加大探索和尝试力度;从2015年起,各银行业金融机构对安全可控信息技术的应用以不低于15%的比例逐年增加,直至2019年达到不低于75%的总体占比(2014年应用的技术和产品可纳入2015年度计算)。
(四)积极推动信息技术自主创新。银行业金融机构应积极尝试应用安全可靠、自主创新的信息技术,通过应用提出改进需求,增强创新技术的适应性和健壮性;探索通过统一标准、统筹产品、联合攻关、试点示范等,加快自主创新信息技术应用磨合适配及系统性优化。在技术选型中,如存在安全可靠的自主创新产品和技术,应至少引入一家此类产品或技术进行选型和测试;对提供专用设备或集成解决方案的供应商,应要求其方案使用的硬件和软件至少能够各应用一项安全可靠的自主创新产品或技术。
(五)积极参与安全可控信息技术研发。银行业金融机构应加强与产业机构、大学和科研机构的合作,联合开展关键技术的研发和生产,围绕安全可控信息技术在银行业应用的关键问题,开展技术合作,实施技术转移,形成高质量、具有行业推广价值的科技成果;在核心应用基础架构、操作系统、数据库、中间件和银行业专用设备等领域加大研究力度,集中突破制约安全可控发展的关键技术。2015年起,银行业金融机构应安排不低于5%的年度信息化预算,专门用于支持本机构围绕安全可控信息系统开展前瞻性、创新性和规划性研究,支持本机构掌握信息化核心知识和技能。
46
(六)加强知识产权保护与标准规范建设。银行业金融机构应加强知识产权保护意识,对各项研究成果及时申请技术专利保护;应积极参与各类技术标准的研究和制定工作,推进安全可控信息技术的标准化、专利化。 四、主要措施
(一)建立银行业信息安全审查和风险评估制度。依据国家网络安全审查相关政策,建立与银行业信息安全需求相适应的配套政策,建立银行业网络安全审查标准,加强银行业专用信息技术和产品的安全检测;建立常态化的风险评估制度,建立信息技术在银行业应用过程中的风险识别、评估和控制机制,加强功能测试、性能测试和安全性测试;密切跟踪安全可控信息技术的应用情况,建立缺陷库和风险库,结合行业应用不断促进技术的完善。
(二)建立银行业安全可控信息技术落地推进平台。组建银行业安全可控信息技术创新战略联盟,创建技术实验室和国家工程实验室,研究挖掘银行业应用安全可控信息技术的机会和需求,协调银行业金融机构、信息技术企业、大学和研究机构等共同推进安全可控信息技术的研究和推广。
(三)组织开展银行业应用安全可控信息技术示范项目。结合国家信息安全专项、国家有关科技计划和国家财政支持的其他项目,组织开展安全可控信息技术在银行业的应用示范,组织推动银行业开展安全可控前瞻性研究;加强部门间协作,加强政策协同,加大力度支持银行业应用安全可控信息技术,以银行业应用不断完善安全可控信息技术,为安全可控信息技术创造市场空间。
(四)制定银行业应用安全可控信息技术推进指南。依托银行业安全可控信息技术创新战略联盟和技术实验室、国家工程实验室,分析银行业应用需求,解决共性问题,逐年制定推进指南,对推进领域、重点信息技术和产品以及推进方案予以细化。各级工业和信息化主管部门应做好适用技术、产品、服务及典型解决方案推介,推动需求对接。
47
(五)持续监督和评价。建立银行业金融机构应用安全可控信息技术工作情况的监督评价机制,通过安全可控信息技术应用率、重要系统自主掌控率、自主创新信息技术试用情况等指标评估安全可控能力成熟度;逐年对银行业金融机构应用安全可控信息技术情况进行考核,对纳入监管评级体系的机构,考核结果并入机构信息科技监管评级。
------------------------ 好,看完原文,谈谈我的解读。
这篇发文其实只是一个指导,操作性不强。最大的问题就是没有定义什么是“安全可控”。也许大家说,国产化就是安全可控。问题什么是国产化?软件还可以查软件著作权,硬件呢?比如我拿超微的服务器贴上西瓜哥的标签,你认为西瓜哥牌服务器算安全可控产品吗?西瓜哥再找Infotrend,把他们的存储贴上西瓜哥的标签,你觉得这个西瓜哥牌存储也是安全可控的吗?这个问题不解决,其他的考核指标其实都是废话。据说银监会以后会有操作细则出台。
大方向是“中进洋退”,对国产厂商确实是一个利好。5年后,75%的安全可控目标,看来还是比较具体的。但从字面看,安全可控不仅仅是国产化,如果国外厂商愿意公开核心技术,应该也算。比如IBM说,我把大型机技术开放给你中国政府,ORACLE说我把源码也开放给中国政府,EMC说我把存储技术也开放给中国政府,政府可以审查安全问题,但其他企业不能利用我的专利技术。这样应该也算安全可控吧。从发文看,应该是学习高铁拿市场换技术的思路,逼IOE这些厂商输出自己的技术,而不是产品。关键是IT技术变化太快了,输出给我们,我们刚消化完就过时了。这是和高铁技术最大的不同。
从发文看,网络设备国产化的优先级最高,这块华为目前看应该机会最大(H3C还不算纯粹的国产厂商,但CEC收购后就不同了,据说CEC收购后2年内要运作上市的);其次存储排在第二,这块也应该华为最有实力,但目前国内存储都不支持大型机,因此这部分不可能完全国产化。第三优先级是中低端服务器,这块华为和浪潮、特别是收购了IBM X系统的联想,都是有力的竞争者。大家注意到了没有,没有提高端服务器,因为大型机没有国产,小型机只有浪潮一家,形不成竞争。这块技术要破,只能从架构上。比如建行信息技术管理部总经理金磐石在《金融电子化》的文章里说,建行逐步落实“用X86 应用集群替代小型机”的策略,此举降低了40% 的小型机使用比率。也就是架构上要减少对高端服务器的依赖。其他数据库和操作系统,国内的产
48
品成熟度更低,国产化难度最大。
从发文看,以后入围产品品类里面,必须有安全可控产品。应用的集成商,也必须集成安全可控产品。也就是说,100%洋品牌的项目应该越来越少了。
2019年,75%的总体占比目标其实也很难考核。银行的应用和产品条目众多,这些条目不知道银监会有没有规范。如果没有,能国产化的条目分类细一点,问题就解决了。不能国产化的,只列一个条目:比如核心系统就可以了,O(∩_∩)O哈!这样一来,90%目标都有可能达成。西瓜哥建议按照投资占比来算比较合理,75%的IT投资用来购买安全可控产品。
最后,谈一点去IOE的看法。这些看法主要针对银监会,希望银监会不要封杀我。 监管指标应拉开差距。很多金融IT主管说,从监管角度来看,金融机构的业务连续性要求高,常规金融业务区域性半个小时服务停止是容忍的底线,证券期货类业务要求更为严格,业务停止5 分钟就需上报监管机构,上述要求不会因为使用国产设备而降低。因此,如果真要支持国产化,应该在这个监管指标上给国产设备放宽。国外IT产品发展这么多年,肯定比国内成熟,这是一个事实。你不能无视这个事实,不给IT主管一点宽容,没有人愿意采用国产设备。如果你认为这个标准不能减低,那么就提高洋品牌的指标。比如如果全是洋品牌,指标就是15分钟和2.5分钟,国产设备可以是半小时和5分钟,反正你得有差距。
学习电力系统,关键业务要求搞两套系统并行。估计到2019年,四大行的账务系统(也就是动钱的部分)应该还是IBM的专有大型机方案。小行基本不用大机,切换还快些。但这部分不安全可控也不行啊,总是一块心病吧。因此,能不能学习电力D5000调度系统一样,从现在起就并行建设一套全国产化的账务系统?两套系统并行跑几年,等国产系统成熟了,就可以代替IBM的专有解决方案了,否则,国产系统(包括软硬件)一直没有真实环境下的应用,其很难有机会稳定下来。要不,阿里巴巴的市值那么高,国资委注资,联合阿里把IBM收购得了。
大力招聘高水平运维人员。好像银监会要求IT人员占3%,但没有要求具体的运维人员数量。从最近几次银行出的事故看,运维的事故问题最大,比如今年的某商业银行长时间断网,表面上是由于性能问题,断掉数据库的复制造成数据库损坏;还有某行ATM不能用,据说也是运维人员在生产窗口做归档操作;可以举很多很多的例子,运维人员的水平绝对是去IOE最大的障碍。几乎所有的国产设备,在可运维特性,文档方面,自动化工具,运维工具等和国外产品都有差距。因为国产设备首先要在性能和
49
功能这些关键的地方追上国外设备,但往往忽视可维护性。每个设备都有自己的特点,你越了解这个设备,你就越能用好它。因此,国产设备稳定性和可维护性的欠缺,其实需要大量高水平的运维人员来弥补。因此,各个银行应该加大对运维人员的招聘,数量上和质量上都要加强。要采用国产设备,就要投入人员去学习和培训,去掌握它。我相信,国产设备有较好的性价比,肯定有做得好的地方,你了解这个产品,就只发挥它的长项,做的不太好的特性就不要用了,或者提前做好预防。天生我材必有用,用好其优点就足够了。但如果你不了解,可能操作不当,可能使用不当,如果是国外产品,其容错性或者稳定性比较高,可能不一定出问题,但国产设备就不一定了。我举一个栗子,国外的产品就像男人,情绪比较稳定,可预测,国产产品更像一个女人,情感比较丰富,不可预测,需要哄,哄高兴了,照样能顶半边天。
说白了,还是钱的问题,效率的问题。IT本来是用来提高效率的,但是,你现在为了国家安全,必须要国产化,那么你需要付出一些临时的成本,这些成本如果没有国家的补贴,可能让这个银行在国际竞争中失去优势,好在中国的金融还没有完全开放,主要的竞争还是在国内市场,因此,银监会有条件引领这个去IOE的浪潮,否则,上有政策下有对策,别到时候看似目标完成了,其实真正的核心技术还是掌握在IOE手里。
50