□吳國強 韓 杰

推進銀行應(yīng)用安全可控技術(shù)的政策建議

□吳國強 韓 杰

安全可控作為新常態(tài)下的發(fā)展理念，已貫穿到銀行信息化建設(shè)與發(fā)展的各個方面。本文以廈門市某法人銀行為例，分析了銀行在應(yīng)用安全可控信息技術(shù)推進中的工作現(xiàn)狀、存在問題，探討銀行如何通過提升自身信息科技治理水平，增強自主知識產(chǎn)權(quán)意識，完善管理、制度體系等途徑落實監(jiān)管要求，掌握銀行業(yè)信息化的核心知識和關(guān)鍵技術(shù)。

2013年以來，銀監(jiān)會明確要求銀行業(yè)要圍繞“自主可控”、“持續(xù)發(fā)展”、“科技創(chuàng)新”三大戰(zhàn)略切實加強信息科技建設(shè)。2014年3月，中央成立了以習(xí)近平總書記為組長的中央網(wǎng)絡(luò)安全和信息化領(lǐng)導(dǎo)小組；9月初，銀監(jiān)會聯(lián)合發(fā)改委、科技部和工信部四部委發(fā)布了《關(guān)于應(yīng)用安全可控信息技術(shù)加強銀行業(yè)網(wǎng)絡(luò)安全和信息化建設(shè)的指導(dǎo)意見》（銀監(jiān)發(fā)〔2014〕39號）；12月，《銀行業(yè)應(yīng)用安全可控信息技術(shù)推進指南（2014—2015年度）》（銀監(jiān)辦發(fā)〔2014〕317號）正式推出。至此，網(wǎng)絡(luò)安全與信息化建設(shè)頂層設(shè)計與宏觀規(guī)劃格局形成，而銀行業(yè)率先發(fā)力，兩個文件將國計民生重點領(lǐng)域安全可控軟硬件發(fā)展進入務(wù)實推進階段。

一、基本情況

廈門銀行業(yè)作為海西金融門戶，在推進應(yīng)用安全可控信息技術(shù)中的地位舉足輕重，關(guān)系到兩岸區(qū)域性金融服務(wù)中心建設(shè)、海西綜合配套改革試驗、廈漳泉大都市區(qū)同城化建設(shè)和廈門科學(xué)發(fā)展新跨越。此次調(diào)研的廈門某銀行，法人境內(nèi)外資產(chǎn)總額已達5000億元，分支機構(gòu)覆蓋2個國家和地區(qū)，7個省級行政區(qū)、13個地級市，賬戶總數(shù)137萬，日均交易筆數(shù)23.49萬筆、峰值34.38萬筆，影響力逐漸擴大。目前，該法人銀行已開始推進應(yīng)用安全可控信息技術(shù)落地工作，建立了推進應(yīng)用安全可控信息技術(shù)的組織架構(gòu),修訂了本機構(gòu)的信息科技戰(zhàn)略規(guī)劃及推進應(yīng)用安全可控技術(shù)總體規(guī)劃、財務(wù)預(yù)算及制度安排。在此次摸底調(diào)研中，該法人銀行應(yīng)用安全可控信息技術(shù)具有以下特點:一是主機、存儲設(shè)備領(lǐng)域應(yīng)用集中以“IOE”為代表的國外技術(shù)。銀行核心應(yīng)用小型主機、存儲設(shè)備、PC服務(wù)器100%集中于IBM、HP、Oracle及EMC等為代表的國外廠商；二是骨干網(wǎng)絡(luò)設(shè)備、安全設(shè)備實現(xiàn)了異構(gòu)部署，加密、終端設(shè)備具備完全國產(chǎn)化條件。囿于國內(nèi)網(wǎng)絡(luò)、安全廠商的異軍突起，骨干路由器、核心交換機、負載均衡器、防火墻等流量設(shè)備目前已基本實現(xiàn)了異構(gòu)部署，認證加密設(shè)備、POS機具等國產(chǎn)化率接近100%；三是操作系統(tǒng)、數(shù)據(jù)庫、虛擬機平臺等通用軟件領(lǐng)域完全被外資廠商壟斷。操作系統(tǒng)、數(shù)據(jù)庫一直是我國信息化產(chǎn)業(yè)發(fā)展的短板，而在目前虛擬化大行其道的時代背景下，國外虛擬化平臺產(chǎn)品已接管了大多數(shù)銀行業(yè)務(wù)系統(tǒng)。

二、存在問題

一是信息科技治理能力薄弱、頂層設(shè)計不完善導(dǎo)致應(yīng)用安全可控信息技術(shù)推動乏力。首先，董事會、高管層未能認識并尊重科技活動規(guī)律，未將敦促業(yè)務(wù)部門加強對科技活動規(guī)律的認識和理解作為工作重點，未能認識到通過信息系統(tǒng)體系架構(gòu)的頂層設(shè)計和主要信息系統(tǒng)的自主研發(fā)實現(xiàn)對科技信息風(fēng)險的可管理、可監(jiān)控和可審計是實現(xiàn)安全可控的主要路徑。其次，銀行未能將應(yīng)用安全可控信息技術(shù)要求有機融入其信息科技戰(zhàn)略規(guī)劃，導(dǎo)致銀行在推進安全可控信息技術(shù)落地的進程中片面強調(diào)分項指標(biāo)合規(guī)而忽視整體規(guī)劃與本行業(yè)務(wù)、科技發(fā)展實際的契合。

二是管理體系、制度規(guī)范與推進應(yīng)用安全可控信息技術(shù)要求不匹配。第一，粗放的管理體系是安全可控信息技術(shù)的致命短板。調(diào)研中發(fā)現(xiàn)，在推進應(yīng)用安全可控信息技術(shù)過程中規(guī)劃與日常工作的聯(lián)動機制脫節(jié)、缺失，過分依賴技術(shù)手段而忽視管理措施等管理缺漏嚴重影響了應(yīng)用安全可控信息技術(shù)落地效果。第二，制度體系未能與應(yīng)用安全可控信息技術(shù)要求同步跟進。如銀行未能根據(jù)安全可控技術(shù)要求修改采購制度及流程，致使最終無法實現(xiàn)符合安全可控技術(shù)要求的產(chǎn)品落地；未將應(yīng)用安全可控技術(shù)因素納入績效考評，及未將業(yè)務(wù)與信息科技聯(lián)動考核，引起推動應(yīng)用安全可控技術(shù)動力不足。

三是自主知識產(chǎn)權(quán)意識淡薄，唯“指標(biāo)論”盛行，安全與發(fā)展本末倒置。第一，轄內(nèi)銀行自主知識產(chǎn)權(quán)意識淡薄，數(shù)百套應(yīng)用系統(tǒng)中注冊登記軟件著作權(quán)為零、專利擁有數(shù)量為零，這與安全可控的量化目標(biāo)“到2019年，掌握銀行業(yè)信息化的核心知識和關(guān)鍵技術(shù)”的要求背道而馳。第二，未能正確處理安全與發(fā)展的關(guān)系，片面以安全可控信息技術(shù)使用率評價安全可控信息技術(shù)推廣效果。調(diào)研中發(fā)現(xiàn)，轄內(nèi)銀行未能將發(fā)展這第一要務(wù)放在應(yīng)用安全可控技術(shù)首位，存在誤將安全可控信息技術(shù)使用率作為目標(biāo)而忽視業(yè)務(wù)穩(wěn)定發(fā)展的問題。

四是應(yīng)用安全可控信息技術(shù)生態(tài)環(huán)境尚不完善。首先，銀行作為技術(shù)應(yīng)用型企業(yè)，保持業(yè)務(wù)系統(tǒng)安全穩(wěn)定運行是科技部門的首要職責(zé)，尚不具備進行大規(guī)模技術(shù)創(chuàng)新或辨別產(chǎn)品（技術(shù)）是否安全可控的能力。其次，國內(nèi)信息化產(chǎn)業(yè)結(jié)構(gòu)與應(yīng)用安全可控信息技術(shù)要求相去甚遠。目前銀行業(yè)信息技術(shù)產(chǎn)品應(yīng)用中，終端設(shè)備國產(chǎn)化率較高，而操作系統(tǒng)、數(shù)據(jù)庫、小型機、高端存儲、虛擬平臺等標(biāo)準化、平臺性的關(guān)鍵核心產(chǎn)品尚無成熟的可替代解決方案。

三、政策建議

一是提升信息科技治理水平，提高駕馭全局的戰(zhàn)略思維能力。首先，銀行業(yè)金融機構(gòu)董事會、高管層應(yīng)高度重視信息科技治理工作，優(yōu)化董事會成員專業(yè)結(jié)構(gòu)，以機構(gòu)應(yīng)用安全可控信息技術(shù)推進領(lǐng)導(dǎo)小組為抓手，督促、推動牽頭部門和專題小組完成其既定工作職責(zé)，在推進應(yīng)用安全可控信息技術(shù)工作中持續(xù)提升信息科技治理水平。其次，董事會、高管層應(yīng)從戰(zhàn)略、管理、技術(shù)等各方面提高駕馭全局的思維能力，在遵循科技活動內(nèi)在規(guī)律的前提下，將應(yīng)用安全可控信息技術(shù)推進工作融入本機構(gòu)信息科技戰(zhàn)略規(guī)劃及銀行業(yè)信息科技十三五規(guī)劃，增強頂層設(shè)計的指導(dǎo)性、實用性，確保安全可控信息技術(shù)落地生根，保障銀行業(yè)系統(tǒng)安全穩(wěn)定運行。

二是建立推進應(yīng)用安全可控信息技術(shù)長效機制，完善管理體系及制度規(guī)范。銀行業(yè)金融機構(gòu)應(yīng)以推進安全可控信息技術(shù)為契機，建立信息科技戰(zhàn)略規(guī)劃、總體規(guī)劃、年度計劃與日常工作的聯(lián)動機制，完善推進應(yīng)用安全可控信息技術(shù)的組織體系、制度規(guī)范、技術(shù)手段和管理措施，平衡銀行信息化建設(shè)中的安全與發(fā)展的矛盾，加大復(fù)合型人才的培養(yǎng)力度，加強業(yè)務(wù)人員和科技人員的交流，強化業(yè)務(wù)條線與科技條線的互動與融合，形成順暢的溝通和協(xié)作機制，建立多層次、立體化的信息科技管理體系，提升信息科技工作的內(nèi)在發(fā)展質(zhì)量。

三是強化自主知識產(chǎn)權(quán)意識，正確處理安全與發(fā)展的關(guān)系。首先，銀行業(yè)金融機構(gòu)應(yīng)深刻理解自主知識產(chǎn)權(quán)對推進應(yīng)用安全可控信息技術(shù)的關(guān)鍵作用，切實強化自主知識產(chǎn)權(quán)管理，積極注冊登記軟件著作權(quán)，持續(xù)提升專利擁有數(shù)量，真正做到依法擁有、獨立支配并能不受他人制約地進行集成創(chuàng)新和引進消化吸收再創(chuàng)新。其次，銀行業(yè)金融機構(gòu)應(yīng)以市場為導(dǎo)向，以開放、共贏為合作原則，以安全保障發(fā)展為最終目標(biāo)，積極運用新技術(shù)支撐、引領(lǐng)銀行業(yè)務(wù)發(fā)展，切實在發(fā)展中自主掌握核心知識和關(guān)鍵技術(shù)。

四是構(gòu)建應(yīng)用安全可控信息技術(shù)的良好生態(tài)環(huán)境。其一，銀行業(yè)金融機構(gòu)應(yīng)在著力提升科學(xué)運維水平的同時，積極推進實施基礎(chǔ)軟硬件國產(chǎn)化和持續(xù)提升核心技術(shù)自主研發(fā)能力，大力推廣使用能夠滿足銀行業(yè)信息安全需求且技術(shù)風(fēng)險、外包風(fēng)險和供應(yīng)鏈風(fēng)險可控的信息技術(shù)。其二，在銀監(jiān)會統(tǒng)籌規(guī)劃的基礎(chǔ)上，銀行業(yè)金融機構(gòu)應(yīng)加強與國內(nèi)廠商的協(xié)同合作，共同構(gòu)建銀行業(yè)信息技術(shù)自主可控的生態(tài)鏈，營造安全可控信息技術(shù)研發(fā)、發(fā)展和應(yīng)用的良好生態(tài)環(huán)境。

（作者單位：建設(shè)銀行山東無棣支行、廈門銀監(jiān)局）