自主可控夯实金融信息安全基础_省略_信息技术自主可控研讨会在北京召开

自主可控 夯实金融信息安全基础

本刊记者 焦卢玲 李克

目前，金融业信息技术自主可控浪潮已然掀起，实现自主可控虽任重道远，但监管部

门的大力推动、银行业的鼎力支持、国产厂商的攻艰创新，加之未来行业间的通力协作，以及良性金融生态环境的形成，商业银行“自主可控”战略目标将逐步得以落实。

——2014年银行信息技术自主可控研讨会在北京召开

数据作为金融信息系统的核心

价值，也是信息安全的最后一道防

线，而目前金融行业用户核心软硬

件普遍来自国外，存在着难以预知

的安全风险。“棱镜门”事件的曝

光，使人们意识到了我国金融信息

安全防护中存在的诸多疏漏与隐患，

一时间，国内“去IOE”的呼声越

来越高，一场信息安全自主可控浪

潮悄然掀起。

然而，银行信息技术实现自主

可控的过程不仅仅是国产设备的简

单替换，还包括加快国产品牌自主

创新步伐、提升国产设备效能，以

自有设备逐步替代国外产品、提高

国产化程度，将信息安全控制权牢

牢把握在自己手上。为进一步贯彻落实创新驱动发

展战略，提升银行业安全保障能力和信息化建设水平，促进和推动银行信息科技自主可控能力建设，由工商银行信息科技部主办，中国金融电脑杂志社协办的“2014年银行信息技术自主可控高层研讨会”在北京召开，会议由信息科技部副总

经理张艳主持，来自农业银行、中国银行、建设银行和邮储银行、光大银行、华夏银行、北京银行等银行界的信息科技专业人士与优秀国产厂商代表，以及学界专家一同探讨银行信息技术自主可控的路径、分享国产设备的发展及替代进程、明确今后的发展方向。商业银行鼎力支持，助跑自主可控“保卫战”随着国内金融机构业务向电子化、网络化迈进，金融机构信息技术系统建设成为一座有待继续挖掘的金矿。据统计数据显示，银行、证券、保险几大金融行业每年的IT 设备、软件及服务采购订单超过千亿元，单是银行业IT 解决方案规模2015年便有望突破千亿元。然而，迄今为止，这座金矿几乎被海外巨头所垄断，其中，IOE——即IBM、Oracle 和EMC 三家公司在高端机型和软件服务上盘踞制高点。国产品牌华为、浪潮等公司虽已努力从侧面介入，也占领了一定的市场，但欲取而代之，真正实现信息技术自主可控还任重道远。长远来看，依赖IOE 产品和服务不但增加了我国商业银行信息科技的投入成本，更重要的是导致核心技术与设备受制于人，不利于国家金融和信息安全。当务之急是要加快推动核心信息技术和设备国产化，维护国家信息安全。2014年9月16日，银监会印发《关于应用安全可控信息技术加强银行业网络安全和信息化建设的指导意见》，提出到2019 年安全可控信息技术在银行业总体达到75%左右的使用率的目标。此外，《指导意见》明确要求：从2015 年起，

各银行业金融机构对安全可控信息技术的应用以不低于15%的比例逐

年增加，同时要求2015 年起银行业

金融机构应安排不低于5%的年度信息化预算，专门用于支持本机构围绕安全可控信息系统开展前瞻性、创新性和规划性研究。此次具体量化标准的出台，大大提升了银行业信息技术自主可控需求的确定性和成长性，预计未来在监管层以及银行业的大力支持下，国内信息技术自主可控的发展空间将全面打开，将给国产厂商在该领域的跨越式创新发展带来前所未有的机遇与挑战。目前，金融业中、低端国产设备已经实现了一定的占有率，而高端设备仍以国外产品为主，针对这一点，张艳指出，“监管部门要求2019年要实现国产设备替换率达到

75%，这一目标的实现需要明确替换路径，需要银行业的大力支持，

更需要金融行业和国产厂商为这一目标共同奋进，努力研究、开发，在核心技术上不断取得突破，并

在贴近行业需求的前提下不断创

新、突破技术瓶颈，从而更好地落实国产设备的覆盖率目标、使金融行业的信息技术能够真正

实张艳：未来，在商业银行和商业银行之间、商业银行和运营商之间形成同业、跨界数据资源库，实现数据的互联互通，共同抵制网络欺诈，是一条值得期待的维护网络安全的可行路径。廖景琳：银行作为一个追求稳健的行业，对设备的稳定性要求极高，在这样的背

景下各家银行能够给予国产厂商信任和支持是值得肯定的。

现自主可控。”首先，银行的支持是实现信息

系统核心技术和设备国产化的必要前提。作为国内领先的数据库产品和解决方案供应商，南大通用数据技术有限公司（以下简称“南大通用”）为数据分析、数据安全等细分市场提供具有国际先进技术水平的专用数据库产品。2010年，南大通用入选国家规划布局内重点软件企业，是人员规模最大、市场占有率最高、技术能力最强的国产数据库厂商。会上，南大通用金融事业部总经理廖景琳表示：“我们公司用了6年时间取得今天的成就，在这过程中让我感受最深的就是银行业对于民营企业的支持和尊重，使我们有机会先后参与农业银行、工商银行等大型商业银行数据仓库的建设项目。众所周知，银行作为一个追求稳健的行业，对设备的稳定性要求极高，在这样的背景下各家银行能够给予国产厂商信任和支持是值得肯定的。”

“在工商银行的数据仓库建设中，我作为评审见证了银行对于国产厂商的支持力度，在数据库的建设过程中我们也花费了大量的人力和物力来支持国产厂商的数据搭建，一次次地帮助厂商试验、查错、改错。

相对于给国外厂商严格的高标准要求而言，商业银行给予了国产厂商很大的支持。” 张艳补充道。 迈普通信技术股份有限公司（以下简称“迈普”）有着同样感受，在银行业信息技术自主可控浪潮快速发展的背景下，迈普公司作为优秀国产厂商代表陪同习主席出访非洲，成为中国人民解放军技术支持单位以及工信部指定的国产厂商。“国产化浪潮下，我们得到了各家商业银行的大力支持，甚至拿到了工商银行家庭数据中心建设项目，而以前这一项目是国产厂商所不敢想的。”迈普执行副总裁、销售服务部总经理邓军如是说。作为国内领先的ICT 应用方案提供商，福建星网锐捷通讯股份有限公司金融系统部总经理陈靖在会上表示：“从银行业网络设备的国产化来讲，各家商业银行分行的通信设备覆盖率还是比较高的，可以说，数据中心、计算中心这两个领域内近年来国内产品的参与度越来越高。”尽管网络设备类的国内产品在银行业的覆盖率已经很高，但在核心技术领域，国内厂商仍需继续努力、尝试、突破。要充分满足银行业对核心系统稳定性的高标准要求，实现银行业信息技术领域的国产化设备高替代率，无论对于银行还是国产厂商来讲都还有很长的一段路要走。而作为国产厂商，只有严把质量关才能赢得客户的信赖，除此

之外，贴近客户需求的创新也是加快信息技术、设备国产化的另一关键因素。数据互联互通，共同抵御“软风险”由于银行核心系统往往记录着最重要的账户信息，银行业信息技术的自主可控除了要在硬件上下功夫、使用高性能的机器设备外，更需注重保护账户资料的安全、防范网络欺诈案件的发生。目前，商业银行信息技术对于系统故障等“硬风险”已具备成熟的灾备处理能力，而对于网络欺诈等“软风险”控制则尚处于相对薄弱的阶段。未来，在银行核心数据和设备国产化过程

中“软风险”仍是一个不容忽视的问题，确保银行业务的安全稳定是金融行业“自主可控”的难点所在，邓军：国产化设备自主可控浪潮下，我们得到了各家商业银行的大力支持，获得了前所未有的机会。

这一点也正为社会各界所广泛关注和深思。享有“中国互联网建筑师”美誉的亚信集团，其辉煌历程见证着中国通信行业的信息化进程，同时也被工信部认定为中国重点软件企业。“我们整个国家面临一个比较大的技术差异，包括已经非常熟悉的通信领域，在网络安全、信息安全上还存在诸多问题，尤其是随着大数据的爆发，不可避免地会出现各种漏洞，给数据库的安全带来威胁，给网络诈骗行为提供了机会，这就需要国产厂商以及银行拥有较强的信息安全管理能力。”亚信集团的副总裁及大数据事业群总裁张灏在会上强调，“国产化的软件、设备固然重要，但是未来，如果数据信息方面监管不当的话，基础设备即使做得再好，安全也无从谈起。”“未来，要想在国产设备替代过程中更好地实现自主可控，切实防范网络欺诈风险，在商业银行和商业银行之间、商业银行和运营商之间形成同业、跨界数据资源库，实现数据的互联互通，共同抵制网络欺诈，是一条值得期待的维护网络安全的可行路径”，张艳表示。实际上，俗称的网络“钓鱼四大件”由身份证号码、手机号、账号、密码组成，犯罪分子不可能在同一个行业、同一个平台获得所有资料，网络欺诈行为的发生往往也不是由银行信息泄漏所造成的，因此，这就需要不同行业能够冲破行业的界限共同合作，建立跨界数据平台，共同合作抵制网络欺诈行为，并最终形成利用网络的手段去解决网络欺诈问题的有效路径。对此，学界代表、对外经贸大学信息学院院长陈进建议：可以通过加强行业合作，使数据实现互联互通，从而在银行业建立有效透明的数据库，共同抵制“软风险”。“A、B 角”系统配置，解决银行后顾之忧

在银行业核心数据及设备逐步国产化的过程中，银行业对国产系统和设备稳定性的担忧是在所难免的，因此，在逐步实现自主可控的过程中处理好替代过程中可能

产生的问题，保障系统的稳定性极其关键。作为信息技术的基础，操作系统的国产化是银行信息系统国产化的重点和关键。作为本次研讨会唯一一家国产操作系统生产厂商的代表，中标软件有限公司副总经理乔咏从操作系统的国产化方面谈了自

己的看法。乔咏认为：“金融行业信息系统的自主可控不能是为了国产化而国产化。从整个金融行业的

需求来讲，稳定、可靠是第一位的，

其次才是安全。如果由于更换国产系统而导致系统中断情况的发生，

对银行业的影响则是不言而喻的；张灏：国产化的软件、设备固然重要，

但是未来，如果数据信息方面监管不

当的话，基础设备即使做得再好，安

全也无从谈起。

陈靖：从银行业网络设备的国产化来讲，各家商业银行分行的通信设备覆盖率还是比较高的，可以说，数据中心、计算中心这两个领域内近年来国内产品的参与度越来越高。

从安全角度来讲，更多还是要防止数据泄漏问题的发生，特别是要保障供应链或者产业链的安全，能够保障产品和程序的稳定及安全性，而不会因为国家意志的问题而导致整个业务受到影响。”

目前，国产操作系统的整个产业链还处于不成熟阶段，而国产设备的替代，不仅是技术上的考验，还要充分重视满足客户的需求。从厂商的角度来讲，国产化过程中，首先要强化自身，加强同国际厂商的合作，真正提升国产操作系统的性能，解决客户的后顾之忧；其次适应实际业务需求，提供更多本地化服务，例如，通过对主机进行安全加固来提升系统防御外部攻击的能力。“在实现银行信息技术自主可控的过程中应该先从基础设备和应用上逐步替代。在打好基础之后再逐步替代核心技术领域”，乔咏建议道。

当前，银行信息技术存在一个尴尬的现状：继续使用国外产品，就意味着存在信息泄漏的隐患，影响金融及国家安全；使用国内产品，则面临自身在核心技术领域与国外

的差距，进而使系统的安全性和稳定性难以得到保障。对此，武汉达梦数据库有限公司（以下简称“达梦公司”）董事长冯玉才提出一个构想：银行信息技术在国产化过程中可以设置A、B 两个系统，A 系

统仍是以国外产品为主的IOE 系统，B 系统则是国产的自主可控系统，同时使用两套系统，等到B 系统的性能经过测试能够满足实际需求，且能真正实现自主可控的阶段时，再逐步撤换A 系统。据冯玉才介绍，达梦公司开发的实时同步开发软件具有同时监控A、B 系统的功能，一旦B 系统出现故障，A 系统即可马上启动，从而保障系统的安全。全方位联盟，打造良性金融生态环境随着利率市场化进程的不断加快，金融混业经营趋势日益明朗，银行业竞争日趋激烈，各大商业银行必将更多的资源投入到金融创新和业务发展中。如何在业务持续发展的基础上，从体制和机制上保障信息科技投入，促进国产设备的应用推广，需要平衡好二者之间的关系。由此看来，银行业核心技术和设备国产化之路任重而道远，只有一批达到世界先进水平的国内供应商不断涌现，形成产业链的整体优势，才能真正将“去IOE”转变成现实。

针对目前国产厂商整体实力薄弱的特点，联想集团大客户事业部金融行业总监张骁在会上建议：目前的市场不可能一家独大，金融行

业以及各家厂商应该形成一种良性陈进：虽然我国当下的商业银行信息技术发展已经相对成熟，但是核心技术领域仍处于弱势地位，与国外厂商还有一定差距，因此，在银行业信息技术自主可控的过程中需以‘产、学、研’一体化的方式不断取得新的技术突破，从而使银行业信息技术国产化进程能够有效稳定地被推进。”乔咏：金融行业信息系统的自主可控不能是为了国产化而国产化，在实现银行信息技术自主可控的过程中应该先从基础设备和应用上逐步替代，在打好基础之后再逐步替代核心技术领域。

竞争态势，建立同业联盟，包括给予小规模国产厂商更多的成长机会，吸引更多的国产厂商参与进来，这样既有利于推动行业创新，又可把国产产品、服务，以及构架做得更好，对进一步落实银行业信息自主可控也不无裨益。“联想今年年底将会研发成功一款自主可控的国产电脑，未来，我们希望与更多的国产芯片厂商合作，去做更多有意义的事情，更好地实现自主可控，但这需要一定时间。” 张骁补充道。诚然，联想从最开始的自主研发型本土企业发展成为现在的国际化品牌，让国人感到骄傲的同时，也给银行业信息自主可控以及国产厂商的未

来发展带来了更多的鼓舞。随后，冯玉才：在信息技术的自主可控方面，国内厂商只有团结一致，才能去与以IOE 为代表的国外厂商竞争，提升国产设备的性能，逐渐实现银行业信息系统的自主可控，从而保障金融业乃至整个国家的信息安全。张骁：金融行业以及各家厂商应该形成一种良性竞争态势，建立同业联盟，给

予小规模国产厂商更多的成长机会，吸引更多的国产厂商参与进来，从而不断

推动行业创新，切实落实银行业信息自主可控战略。冯玉才说：“在信息技术的自主可控方面，国内厂商只有团结起来，才能去与以IOE 为代表的国外厂商竞争，提升国产设备的性能，逐渐实现银行业信息系统的自主可控，从而保障金融业乃至整个国家的信息安全。”在技术创新领域，加快产、学、研结合是提升核心数据和设备效能，推进国产化的一条有效路径。对此，陈进教授表示：“虽然我国当下的商业银行信息技术发展已经相对成熟，但是核心技术领域仍处于弱势地位，与国外厂商还有一定差距，因此，在银行业信息技术自主可控的过程中以厂商生产、学校研究、社会试验，并最终运用到银行的‘产、学、研’一体化的方式不断取得新的技术突破，从而使银行业信息技术国产化进程能够有效稳定地被推进。”此外，中国的金融市场正在经历一场巨大变化，金融信息化应适

应这一进程。首先，2015年中国WTO 保护期将结束，将有更多的外资银行进入中国，中国银行业需以更加开放的心态来迎接即将到来的

机遇与挑战；其次，消费金融的时代已经到来，今后银行业更多的是满足个人消费需求的发展。因此，商业银行更需以开放的心态来构筑

良性的金融生态环境。

最后，陈进鼓励国产系统能够更多地走出去，通过国际合作，来完善法律、知识产权等相关问题，从而进一步提高国产设备的竞争力、完善银行业生态环境建设。金融作为国民经济中的重要产业，安全问题关乎国家发展。未来，随着“国产化”进程的不断推进，实现银行业安全可控信息技术总体达到75%目标的过程也是国产厂商提升技术水平的过程，同时也是银行业乃至整个国家安全更有保障的过程，并将最终实现核心技术国产化，摆脱对国外产品的依赖，一个更加公开公平竞争的良性生态环境

以及金融信息化应用环境也将得以实现。FCC