推動大型商業銀行實現信息科技國產化

2013年6月，“棱鏡門”事件曝光，美國政府被指通過微軟、谷歌等知名IT公司監控盜取他國機密。一時間，信息安全問題被推到輿論的風口浪尖。事實上，“棱鏡門”只是問題的冰山一角，基于國內嚴重依賴國外信息技術、設備的狀況，我國信息安全面臨嚴峻威脅。

我國絕大部分重要信息系統，無論其核心計算環境還是網絡基礎設施甚至終端，都長期被以IBM、甲骨文（Oracle）和易安信（EMC）（三巨頭，簡稱IOE）為代表的國外IT巨頭所壟斷。由于國外產品的技術封鎖和封閉性，“棱鏡門”那樣的后門難以發現、不受控制，對國家和民眾構成了巨大的威脅。2014年2月，習主席親任中央網絡安全和信息化領導小組組長，強調要“加強核心技術的自主創新”。政府啟動了一系列應對措施，特別是在國防、政府機關、金融、電信等行業大力推動IT產品國產化。另一方面，以阿里巴巴為代表的民營企業呼吁推進“去IOE”，取得了一定的成果，也為實現IT國產化提供了參考。

國內銀行，特別是大型國有商業銀行，作為關系國計民生的關鍵性企業，承擔著維護國家金融安全和社會穩定的重任，但卻又恰恰是“IOE”的“重災區”。如何響應國家號召，推進國產化，是大型商業銀行當前面臨的一個重大議題。

大型商業銀行信息科技國產化現狀

銀行信息科技發展現狀

上世紀80年代末，銀行信息科技建設進入快車道，大規模采用“IOE”產品和技術，是滿足當時業務爆發式增長、數據大集中需求，保障IT系統安全穩定運行要求的不二選擇。

時至今日，國內銀行與“IOE”們的合作已走過30年，對“IOE”產品架構體系的依賴已根深蒂固。根據賽迪顧問數據統計：2013年，我國銀行服務器中IBM、惠普（HP）和太陽微系統公司（SUN）占有率達84.5%；存儲設備基本被IBM、惠普、易安信等五家壟斷，市場占有率達92.4%；網絡設備基本被思科（Cisco）和華三通信（H3C）壟斷，兩家交換機及路由器市場占有率分別達85%和77.6%，詳見表1。

國內銀行對國外IT產品的嚴重依賴，無論從信息安全角度還是經濟成本角度考慮，風險和弊端都十分巨大。首先，銀行IT領域“IOE”的全方位滲透，可能導致敏感數據信息泄露，甚至喪失信息系統的控制權，嚴重威脅我國金融安全與社會穩定；其次，國外公司倚仗技術產品的不可替代性漫天要價，銀行缺乏議價的話語權，以大型機為例，國內均價達美國的2.4倍，銀行每年付給國外IT公司的費用高達數十億。此外，國外產品的長期壟斷，嚴重打壓國內產品自主創新的生存空間，民族信息產業的發展受到嚴重制約。

銀行信息科技國產化現狀

面對困境，近年來銀行業積極響應國家號召，與國內IT企業通力合作，采取了一系列措施，產品替換與技術創新并舉，積極探索銀行信息科技的國產化之路。

嚴格落實國家信息安全合規要求。按照國家密碼管理局和人民銀行要求，多家銀行已經完成了網上銀行數字證書認證中心（CA）國產SM加密算法的改造升級，并積極推進其他主要應用系統國產密碼算法的升級改造。

加大對我國自主品牌的支持力度。如浪潮已連續4年中標人民銀行PC服務器集中采購項目，研發的K1小型機也已在郵儲銀行總行等多家銀行實際應用。自主品牌在很多IT領域已有較成熟產品并逐漸在銀行推廣應用。

加強對新興開源技術的引進。2012年，農行在充分研究論證的基礎上，引入海杜普（Hadoop）分布式計算框架，以200余臺華為RH2288 V2服務器組成集群，將歷史數據查詢系統從大型機平臺遷至x86 平臺，實現了單一廠商到品牌多樣性的轉變。

積極參與國家IT自主項目的研究。農行積極參加國家“863 計劃”——“高端容錯計算機”專項研究，研究國產H8000小型機在銀行的應用可行性，實現對國產小型機和存儲的驗證性應用。

“國產化”的困境

近年來，雖然在打破“IOE”的壟斷上，國內各方做了諸多努力和嘗試，取得了一定成果，但大型商業銀行IT核心領域國產化率始終徘徊不前，尚未從根本上改變嚴重依賴國外IT技術和產品的格局，究其原因有兩個方面：

銀行缺乏改變的主觀意愿。第一，認識上不到位。雖已意識到需要改變“IT技術受制于人”的困局，但銀行層面更多認為“國產化”是政府、IT企業的事，在真正落實時總讓位于優先滿足業務需求，很難也不愿主動考慮IT國產化。第二，穩定壓倒一切。國產化涉及從基礎架構到應用架構各層面的改造，風險巨大。銀行基于保守穩重的特性，考慮安全穩定責任并不愿意冒險。第三，重置成本大。銀行業30多年以來在“IOE”上投入了大量的人力、物力和財力，“國產化”意味著大量信息系統要推倒重來，成本巨大銀行難于投入。第四，缺乏外部驅動。國家目前缺乏對于國產化指引和政策傾斜，銀行缺乏合規、利益的動力。

國產IT產品和服務競爭力不足。第一，國產產品線殘缺不全。國產產品主要集中在低中端，高端產品空缺。譬如服務器領域，高端主機中沒有可與IBM Z系列抗衡的國產產品，更遑論操作系統、數據庫產品方面基本空白。第二，國產產品差距明顯。國產產品總體無論在功能還是性能上均存在眾多不足，穩定性、高可用、技術兼容性上與國外產品還有較大差距。第三，支持服務能力落后。國內IT公司技術支持能力薄弱，服務理念還比較落后，無法像國外大公司那樣在技術架構、科技規劃等提供一攬子的支持和服務，還停留在賣產品、賣硬件的一錘子買賣思維上。

大型商業銀行信息科技國產化發展策略

為真正將國產化落到實處，大型商業銀行應切實履行歷史賦予的重任，對信息科技治理進行合理的頂層設計規劃，結合自身經營特點和業務影響，制定國產化路線圖，兼顧安全與成本，分級分類逐步試點，合規有序推進IT國產化，最終擺脫信息科技受制于人的狀況。

發展原則

履行社會責任。大型商業銀行對國家、社會承擔著支持金融市場和社會穩定的責任，對支持“國產化”應有堅定的態度和信心。在IT產品采購和使用時，要對國產產品的不足抱以寬容和耐心，支持和培育中國創造茁壯成長。

合規推進。合規是銀行經營和發展的生命線，銀行在建設或改造信息系統時，必須在執行國家有關國產化的政策和監管要求方面做出表率，積極推動國產軟硬件技術和產品的采購和使用。

風險可控。第一，應客觀評價國內外產品差距。不一窩蜂追求國產化，避免造成更大的風險。第二，國產產品同樣有安全問題，需要銀企各方齊心協力，共同完善提高，不可互相埋怨。

兼顧利益成本。“IOE”已經滲透到銀行信息科技的各個角落，國產化勢必耗時漫長、投入巨大。另外，如對 “IOE” 尚未過期淘汰即行一概國產化，必將造成巨大浪費。銀行IT國產化應平衡好進度、風險控制與成本收益間的關系，步步為營、逐步推進。

發展路線

信息科技國產化最終要落實到具體操作層面，由于大型商業銀行信息系統種類繁多、架構復雜，需要精細梳理分析，分類分級，依據重要程度從低到高、影響范圍從小到大、對外來技術依賴程度從低到高、國產化產品成熟度從高到低的優先次序推進國產化進程。銀行信息科技國產化在實施上可分為試點、推廣、準國產化、全面國產化四個階段。

國產化試點。以安全設備、密碼技術和中低端網絡設備國產化為主，同步開展新技術驗證和試點。優先實現安全設備的國產化。安全設備是保障銀行信息系統數據安全、保護客戶信息安全的極其重要一環，其國產化應當優先推進。在一些業務影響較大的領域，如果短期內無法全部替代現有設備，可以采用異構使用國內外產品的方式，實現品牌和技術的多樣化，逐漸降低安全風險。同時，國產網絡設備也已具備較好的穩定性和較高性能，國內外均有成熟案例，國產化風險性較低。本階段可以針對中低端網絡設備進行分步驟的國產化。此外，對于國家要求的CA證書國產加密算法改造等安全技術標準落實，也是銀行業國產化工作在此階段的重點。

國產化推廣。從試點到局部推廣，該階段可以選擇非重要信息系統和外圍網絡為對象，實現部分中高端網絡設備、PC服務器、操作系統等領域產品的替代。以農行為例，目前已實現各分行網絡設備的國產化，總行層面國產網絡設備占比也在快速提升。對于服務器而言，電子銀行、賬務信息查詢系統等可通過虛擬化技術，采用大量x86架構的PC服務器。國內此類產品發展迅猛，競爭力強，銀行一些非關鍵性的內部管理系統、非金融交易性質的生產輔助系統實現國產化不存在障礙。

準國產化。生產環境國產化全面推進，將國產化深入至重要信息系統和核心網絡，積極采用國產化中高端設備，研究推進信息系統從傳統集中式架構向分布式架構遷移。這個階段應在小型機國產化方面實現突破。浪潮的天梭K1小型機2013年推出，兼容主流數據庫和中間件軟件，已在中國建設銀行、郵政儲蓄銀行等上線。大型商業銀行可以此為鑒，逐步試點。大型商業銀行也可通過分布式架構取代傳統集中架構，降低對傳統架構高端硬件產品的依賴。如農行采用華為RH2288 V2服務器集群，部署海杜普（Hadoop）分布式計算架構，取代原有高性能小型機、完成歷史數據查詢任務，節約了近二成的成本。另外，對于部分暫無法國產化的產品或技術，可針對性的采取安全加固措施或改造。如研究對IBM大型機數據加密模塊進行國產算法替換，從而大幅降低可能的泄密風險。

全面國產化。通過前幾個階段的國產化進程，為全面國產化積累經驗，國產廠商經過多年努力也將能縮小與國外產品、服務上的差距，部分重要信息系統可以進一步采用滿足需求的國產設備、技術，來實現全面國產化；同時，由于銀行信息科技歷史的沿襲以及高精尖技術的壁壘，可能在相當長時間內還將繼續面臨高端領域國產產品匱乏的狀況。對于這種情況，大型商業銀行應積極加強與國內研究機構、IT廠商合作交流，推動國產技術的發展。當出現可擺脫國外產品的技術時，及時跟進，為我所用。

實施策略

在科技治理層面，大型商業銀行應站在國家金融安全的戰略高度，重新審視和調整信息科技治理的方向和重點，認真研判、制定銀行信息科技“國產化”的遠景規劃和路線圖，加大投入積極推進信息科技領域的國產化改造。

強化IT國產化在企業戰略中的地位。第一，要轉變科技治理理念，將國產化作為銀行信息科技發展的重要戰略目標，制定明確IT產品采購和使用國產化傾斜的制度要求，加大對國產化政策導引的支持力度。第二，完善信息科技治理架構，比如建立首席信息官（CIO）制度、設立國產化領導小組和互聯網金融推進委員會等，自上而下進行統籌推進。第三，制訂銀行信息科技國產化的整體規劃，確定近期、中遠期的國產化推進目標和措施。

建設與國產化相適應的科技管理體系。去“IOE”、國產化對銀行原有的技術體系沖擊較大，甚至可能重塑銀行IT基礎格局，需要同步建設與新形勢相適應的科技管理體系。首先，要依據國產化目標和架構，對科技規劃、開發、測試、運行架構進行適應性調整；其次，結合國產化監管要求、技術趨勢和工作實際，對IT制度規范、流程、技術標準等進行梳理、再造；再次，要著手開發與新規范、新流程相配套的系統和工具，實現管理的高效、精細、規范；最后，要加強風險防控管理，針對新的技術體系可能引入的新風險，調整風險管理策略，完善風險控制手段，防控風險事件的發生。

打造滿足新形勢需求的人才隊伍。國產化逐步推進的過程中，銀行原有的技術力量將無法滿足新技術體系的需求，為此，銀行要引進與培養并舉，加快人才隊伍的建設。一方面，要針對調整后的技術架構體系，及時引進一批懂新技術、有創新能力的人才，迅速彌補當前技術缺口；另一方面，銀行要“走出去、請進來”，對于新架構、新技術等方面，要加強對專業技術標準的跟蹤學習，通過將員工送到國外交流、參加業界領先的技術論壇活動、邀請行業專家開展針對性技術培訓、與企業合作開展專項研究等方式，盡快培養一批高水平、有能力的技術人才隊伍，為技術體系的國產化成功轉型做好充分準備。

嚴控供應商風險。整個國產化技術體系重構和產品更新過程都離不開供應商的服務支持，銀行要全程對供應商嚴格管控，特別是對服務過程中數據的訪問、傳輸過程進行嚴格控制，防范數據泄密等風險。一方面，對于確實需要國外供應商服務的，要嚴格準入，防止個別供應商“一家獨大”，避免風險集中；另一方面，通過管理和技術手段加強數據安全控制，防止敏感信息外泄，如通過建設標準規范的信息安全管理體系，部署數據防泄露系統和可移動介質管控系統、嚴格管控生產存儲介質使用銷毀、嚴禁供應商遠程撥號訪問等手段，切斷供應商對數據不可控的訪問獲取途徑。

建議與展望

推進大型商業銀行信息科技國產化，單憑銀行自身的努力是遠遠不夠的，還需要國家、行業、IT企業、科研機構等各層級齊心協力、共同推進。

國家整體導向要持續、有效地向國產化傾斜。第一，通過政府補貼、稅收優惠等方式對自主創新的國產廠商進行扶持，并適時對國外廠商開展反壟斷調查，抑制“IOE”的技術價格壟斷和入侵；第二，教育科研方面要加大基礎學科的人才培養力度，加大對CPU、操作系統、集成電路等重點領域的科研投入；第三，要引導和加速科研成果產業化，軟硬件發展上要相輔相承；第四，要借鑒國產大飛機項目經驗，啟動國家級項目，集中多方力量對信息技術重點領域進行技術攻堅。

銀行業要加大投入，強化自身科技實力。第一，加大在開源軟件方面的投入，鼓勵科技人員研究掌握相關核心技術，逐步實現軟件層面的自主化，在提高整體運維能力的同時，降低對供應商的依賴；第二，積極參與技術標準建設，從為我所用的角度出發，提高廠商的準入門檻，加強對其的限制和要求；第三，發揮銀行資本優勢，通過諸如與廠商合作開設實驗室、投資專門研究項目等方式，有針對性地彌補自身信息科技中的薄弱方面。

國內IT企業要技術創新和市場開拓并舉。第一，發揚“布鞋院士”精神，加強對高端、核心領域IT產品的研發，實現國產產品的新突破；第二，已具備市場競爭力的產品要積極走出去，搶奪市場份額，為國產產品贏得更多話語權、主動權；第三，積極通過資本運作，實施企業并購或參股，將國外好的IT企業納入麾下，豐富完善自身IT產品條線。

相信在國家政策的大力扶持、推動下，通過銀行、企業、科研機構間技術合作、成果轉移和商業化應用的積極開展，銀行信息科技國產化的前景必將一片光明。

（作者單位：中國農業銀行數據中心，上海自由貿易試驗區，課題組成員：謝以清 丁征濤 張煜 張志峰 茅冬梅）