推進銀行應用安全可控技術的政策建議

□吳國強 韓 杰

推進銀行應用安全可控技術的政策建議

□吳國強 韓 杰

安全可控作為新常態下的發展理念，已貫穿到銀行信息化建設與發展的各個方面。本文以廈門市某法人銀行為例，分析了銀行在應用安全可控信息技術推進中的工作現狀、存在問題，探討銀行如何通過提升自身信息科技治理水平，增強自主知識產權意識，完善管理、制度體系等途徑落實監管要求，掌握銀行業信息化的核心知識和關鍵技術。

2013年以來，銀監會明確要求銀行業要圍繞“自主可控”、“持續發展”、“科技創新”三大戰略切實加強信息科技建設。2014年3月，中央成立了以習近平總書記為組長的中央網絡安全和信息化領導小組；9月初，銀監會聯合發改委、科技部和工信部四部委發布了《關于應用安全可控信息技術加強銀行業網絡安全和信息化建設的指導意見》（銀監發〔2014〕39號）；12月，《銀行業應用安全可控信息技術推進指南（2014—2015年度）》（銀監辦發〔2014〕317號）正式推出。至此，網絡安全與信息化建設頂層設計與宏觀規劃格局形成，而銀行業率先發力，兩個文件將國計民生重點領域安全可控軟硬件發展進入務實推進階段。

一、基本情況

廈門銀行業作為海西金融門戶，在推進應用安全可控信息技術中的地位舉足輕重，關系到兩岸區域性金融服務中心建設、海西綜合配套改革試驗、廈漳泉大都市區同城化建設和廈門科學發展新跨越。此次調研的廈門某銀行，法人境內外資產總額已達5000億元，分支機構覆蓋2個國家和地區，7個省級行政區、13個地級市，賬戶總數137萬，日均交易筆數23.49萬筆、峰值34.38萬筆，影響力逐漸擴大。目前，該法人銀行已開始推進應用安全可控信息技術落地工作，建立了推進應用安全可控信息技術的組織架構,修訂了本機構的信息科技戰略規劃及推進應用安全可控技術總體規劃、財務預算及制度安排。在此次摸底調研中，該法人銀行應用安全可控信息技術具有以下特點:一是主機、存儲設備領域應用集中以“IOE”為代表的國外技術。銀行核心應用小型主機、存儲設備、PC服務器100%集中于IBM、HP、Oracle及EMC等為代表的國外廠商；二是骨干網絡設備、安全設備實現了異構部署，加密、終端設備具備完全國產化條件。囿于國內網絡、安全廠商的異軍突起，骨干路由器、核心交換機、負載均衡器、防火墻等流量設備目前已基本實現了異構部署，認證加密設備、POS機具等國產化率接近100%；三是操作系統、數據庫、虛擬機平臺等通用軟件領域完全被外資廠商壟斷。操作系統、數據庫一直是我國信息化產業發展的短板，而在目前虛擬化大行其道的時代背景下，國外虛擬化平臺產品已接管了大多數銀行業務系統。

二、存在問題

一是信息科技治理能力薄弱、頂層設計不完善導致應用安全可控信息技術推動乏力。首先，董事會、高管層未能認識并尊重科技活動規律，未將敦促業務部門加強對科技活動規律的認識和理解作為工作重點，未能認識到通過信息系統體系架構的頂層設計和主要信息系統的自主研發實現對科技信息風險的可管理、可監控和可審計是實現安全可控的主要路徑。其次，銀行未能將應用安全可控信息技術要求有機融入其信息科技戰略規劃，導致銀行在推進安全可控信息技術落地的進程中片面強調分項指標合規而忽視整體規劃與本行業務、科技發展實際的契合。

二是管理體系、制度規范與推進應用安全可控信息技術要求不匹配。第一，粗放的管理體系是安全可控信息技術的致命短板。調研中發現，在推進應用安全可控信息技術過程中規劃與日常工作的聯動機制脫節、缺失，過分依賴技術手段而忽視管理措施等管理缺漏嚴重影響了應用安全可控信息技術落地效果。第二，制度體系未能與應用安全可控信息技術要求同步跟進。如銀行未能根據安全可控技術要求修改采購制度及流程，致使最終無法實現符合安全可控技術要求的產品落地；未將應用安全可控技術因素納入績效考評，及未將業務與信息科技聯動考核，引起推動應用安全可控技術動力不足。

三是自主知識產權意識淡薄，唯“指標論”盛行，安全與發展本末倒置。第一，轄內銀行自主知識產權意識淡薄，數百套應用系統中注冊登記軟件著作權為零、專利擁有數量為零，這與安全可控的量化目標“到2019年，掌握銀行業信息化的核心知識和關鍵技術”的要求背道而馳。第二，未能正確處理安全與發展的關系，片面以安全可控信息技術使用率評價安全可控信息技術推廣效果。調研中發現，轄內銀行未能將發展這第一要務放在應用安全可控技術首位，存在誤將安全可控信息技術使用率作為目標而忽視業務穩定發展的問題。

四是應用安全可控信息技術生態環境尚不完善。首先，銀行作為技術應用型企業，保持業務系統安全穩定運行是科技部門的首要職責，尚不具備進行大規模技術創新或辨別產品（技術）是否安全可控的能力。其次，國內信息化產業結構與應用安全可控信息技術要求相去甚遠。目前銀行業信息技術產品應用中，終端設備國產化率較高，而操作系統、數據庫、小型機、高端存儲、虛擬平臺等標準化、平臺性的關鍵核心產品尚無成熟的可替代解決方案。

三、政策建議

一是提升信息科技治理水平，提高駕馭全局的戰略思維能力。首先，銀行業金融機構董事會、高管層應高度重視信息科技治理工作，優化董事會成員專業結構，以機構應用安全可控信息技術推進領導小組為抓手，督促、推動牽頭部門和專題小組完成其既定工作職責，在推進應用安全可控信息技術工作中持續提升信息科技治理水平。其次，董事會、高管層應從戰略、管理、技術等各方面提高駕馭全局的思維能力，在遵循科技活動內在規律的前提下，將應用安全可控信息技術推進工作融入本機構信息科技戰略規劃及銀行業信息科技十三五規劃，增強頂層設計的指導性、實用性，確保安全可控信息技術落地生根，保障銀行業系統安全穩定運行。

二是建立推進應用安全可控信息技術長效機制，完善管理體系及制度規范。銀行業金融機構應以推進安全可控信息技術為契機，建立信息科技戰略規劃、總體規劃、年度計劃與日常工作的聯動機制，完善推進應用安全可控信息技術的組織體系、制度規范、技術手段和管理措施，平衡銀行信息化建設中的安全與發展的矛盾，加大復合型人才的培養力度，加強業務人員和科技人員的交流，強化業務條線與科技條線的互動與融合，形成順暢的溝通和協作機制，建立多層次、立體化的信息科技管理體系，提升信息科技工作的內在發展質量。

三是強化自主知識產權意識，正確處理安全與發展的關系。首先，銀行業金融機構應深刻理解自主知識產權對推進應用安全可控信息技術的關鍵作用，切實強化自主知識產權管理，積極注冊登記軟件著作權，持續提升專利擁有數量，真正做到依法擁有、獨立支配并能不受他人制約地進行集成創新和引進消化吸收再創新。其次，銀行業金融機構應以市場為導向，以開放、共贏為合作原則，以安全保障發展為最終目標，積極運用新技術支撐、引領銀行業務發展，切實在發展中自主掌握核心知識和關鍵技術。

四是構建應用安全可控信息技術的良好生態環境。其一，銀行業金融機構應在著力提升科學運維水平的同時，積極推進實施基礎軟硬件國產化和持續提升核心技術自主研發能力，大力推廣使用能夠滿足銀行業信息安全需求且技術風險、外包風險和供應鏈風險可控的信息技術。其二，在銀監會統籌規劃的基礎上，銀行業金融機構應加強與國內廠商的協同合作，共同構建銀行業信息技術自主可控的生態鏈，營造安全可控信息技術研發、發展和應用的良好生態環境。

（作者單位：建設銀行山東無棣支行、廈門銀監局）