推进银行应用安全可控技术的政策建议

□吴国强 韩 杰

推进银行应用安全可控技术的政策建议

□吴国强 韩 杰

安全可控作为新常态下的发展理念，已贯穿到银行信息化建设与发展的各个方面。本文以厦门市某法人银行为例，分析了银行在应用安全可控信息技术推进中的工作现状、存在问题，探讨银行如何通过提升自身信息科技治理水平，增强自主知识产权意识，完善管理、制度体系等途径落实监管要求，掌握银行业信息化的核心知识和关键技术。

2013年以来，银监会明确要求银行业要围绕“自主可控”、“持续发展”、“科技创新”三大战略切实加强信息科技建设。2014年3月，中央成立了以习近平总书记为组长的中央网络安全和信息化领导小组；9月初，银监会联合发改委、科技部和工信部四部委发布了《关于应用安全可控信息技术加强银行业网络安全和信息化建设的指导意见》（银监发〔2014〕39号）；12月，《银行业应用安全可控信息技术推进指南（2014—2015年度）》（银监办发〔2014〕317号）正式推出。至此，网络安全与信息化建设顶层设计与宏观规划格局形成，而银行业率先发力，两个文件将国计民生重点领域安全可控软硬件发展进入务实推进阶段。

一、基本情况

厦门银行业作为海西金融门户，在推进应用安全可控信息技术中的地位举足轻重，关系到两岸区域性金融服务中心建设、海西综合配套改革试验、厦漳泉大都市区同城化建设和厦门科学发展新跨越。此次调研的厦门某银行，法人境内外资产总额已达5000亿元，分支机构覆盖2个国家和地区，7个省级行政区、13个地级市，账户总数137万，日均交易笔数23.49万笔、峰值34.38万笔，影响力逐渐扩大。目前，该法人银行已开始推进应用安全可控信息技术落地工作，建立了推进应用安全可控信息技术的组织架构,修订了本机构的信息科技战略规划及推进应用安全可控技术总体规划、财务预算及制度安排。在此次摸底调研中，该法人银行应用安全可控信息技术具有以下特点:一是主机、存储设备领域应用集中以“IOE”为代表的国外技术。银行核心应用小型主机、存储设备、PC服务器100%集中于IBM、HP、Oracle及EMC等为代表的国外厂商；二是骨干网络设备、安全设备实现了异构部署，加密、终端设备具备完全国产化条件。囿于国内网络、安全厂商的异军突起，骨干路由器、核心交换机、负载均衡器、防火墙等流量设备目前已基本实现了异构部署，认证加密设备、POS机具等国产化率接近100%；三是操作系统、数据库、虚拟机平台等通用软件领域完全被外资厂商垄断。操作系统、数据库一直是我国信息化产业发展的短板，而在目前虚拟化大行其道的时代背景下，国外虚拟化平台产品已接管了大多数银行业务系统。

二、存在问题

一是信息科技治理能力薄弱、顶层设计不完善导致应用安全可控信息技术推动乏力。首先，董事会、高管层未能认识并尊重科技活动规律，未将敦促业务部门加强对科技活动规律的认识和理解作为工作重点，未能认识到通过信息系统体系架构的顶层设计和主要信息系统的自主研发实现对科技信息风险的可管理、可监控和可审计是实现安全可控的主要路径。其次，银行未能将应用安全可控信息技术要求有机融入其信息科技战略规划，导致银行在推进安全可控信息技术落地的进程中片面强调分项指标合规而忽视整体规划与本行业务、科技发展实际的契合。

二是管理体系、制度规范与推进应用安全可控信息技术要求不匹配。第一，粗放的管理体系是安全可控信息技术的致命短板。调研中发现，在推进应用安全可控信息技术过程中规划与日常工作的联动机制脱节、缺失，过分依赖技术手段而忽视管理措施等管理缺漏严重影响了应用安全可控信息技术落地效果。第二，制度体系未能与应用安全可控信息技术要求同步跟进。如银行未能根据安全可控技术要求修改采购制度及流程，致使最终无法实现符合安全可控技术要求的产品落地；未将应用安全可控技术因素纳入绩效考评，及未将业务与信息科技联动考核，引起推动应用安全可控技术动力不足。

三是自主知识产权意识淡薄，唯“指标论”盛行，安全与发展本末倒置。第一，辖内银行自主知识产权意识淡薄，数百套应用系统中注册登记软件著作权为零、专利拥有数量为零，这与安全可控的量化目标“到2019年，掌握银行业信息化的核心知识和关键技术”的要求背道而驰。第二，未能正确处理安全与发展的关系，片面以安全可控信息技术使用率评价安全可控信息技术推广效果。调研中发现，辖内银行未能将发展这第一要务放在应用安全可控技术首位，存在误将安全可控信息技术使用率作为目标而忽视业务稳定发展的问题。

四是应用安全可控信息技术生态环境尚不完善。首先，银行作为技术应用型企业，保持业务系统安全稳定运行是科技部门的首要职责，尚不具备进行大规模技术创新或辨别产品（技术）是否安全可控的能力。其次，国内信息化产业结构与应用安全可控信息技术要求相去甚远。目前银行业信息技术产品应用中，终端设备国产化率较高，而操作系统、数据库、小型机、高端存储、虚拟平台等标准化、平台性的关键核心产品尚无成熟的可替代解决方案。

三、政策建议

一是提升信息科技治理水平，提高驾驭全局的战略思维能力。首先，银行业金融机构董事会、高管层应高度重视信息科技治理工作，优化董事会成员专业结构，以机构应用安全可控信息技术推进领导小组为抓手，督促、推动牵头部门和专题小组完成其既定工作职责，在推进应用安全可控信息技术工作中持续提升信息科技治理水平。其次，董事会、高管层应从战略、管理、技术等各方面提高驾驭全局的思维能力，在遵循科技活动内在规律的前提下，将应用安全可控信息技术推进工作融入本机构信息科技战略规划及银行业信息科技十三五规划，增强顶层设计的指导性、实用性，确保安全可控信息技术落地生根，保障银行业系统安全稳定运行。

二是建立推进应用安全可控信息技术长效机制，完善管理体系及制度规范。银行业金融机构应以推进安全可控信息技术为契机，建立信息科技战略规划、总体规划、年度计划与日常工作的联动机制，完善推进应用安全可控信息技术的组织体系、制度规范、技术手段和管理措施，平衡银行信息化建设中的安全与发展的矛盾，加大复合型人才的培养力度，加强业务人员和科技人员的交流，强化业务条线与科技条线的互动与融合，形成顺畅的沟通和协作机制，建立多层次、立体化的信息科技管理体系，提升信息科技工作的内在发展质量。

三是强化自主知识产权意识，正确处理安全与发展的关系。首先，银行业金融机构应深刻理解自主知识产权对推进应用安全可控信息技术的关键作用，切实强化自主知识产权管理，积极注册登记软件著作权，持续提升专利拥有数量，真正做到依法拥有、独立支配并能不受他人制约地进行集成创新和引进消化吸收再创新。其次，银行业金融机构应以市场为导向，以开放、共赢为合作原则，以安全保障发展为最终目标，积极运用新技术支撑、引领银行业务发展，切实在发展中自主掌握核心知识和关键技术。

四是构建应用安全可控信息技术的良好生态环境。其一，银行业金融机构应在着力提升科学运维水平的同时，积极推进实施基础软硬件国产化和持续提升核心技术自主研发能力，大力推广使用能够满足银行业信息安全需求且技术风险、外包风险和供应链风险可控的信息技术。其二，在银监会统筹规划的基础上，银行业金融机构应加强与国内厂商的协同合作，共同构建银行业信息技术自主可控的生态链，营造安全可控信息技术研发、发展和应用的良好生态环境。

（作者单位：建设银行山东无棣支行、厦门银监局）