中国农业银行股份有限公司信息技术管理部副总经理 涂晓军
随着信息技术的深入应用,商业银行的业务处理与经营管理变得更加高效、智能,但不可避免地也承担了由此引发的潜在风险和安全隐患。商业银行信息技术应用较广泛,使用大量软硬件IT 产品,却难以判断系统或设备是否存在“后门”、“陷阱”、“漏洞”、“软件炸弹”等安全漏洞。关键技术“受制于人”给银行业信息化建设带来了不小的安全隐患。“棱镜门”事件的曝光更是又一次给银行敲响了警钟。银行业作为关系国计民生的重要行业,其信息安全更是上升到国家安全的高度。鉴于此,银行业应以维护国家金融安全为己任,在有效保障业务连续性和系统可用性的前提下,积极主动推进信息技术自主可控进程。
一、如何实现“自主可控”战略
在银监会2012 年风险管理年会上,尚福林主席指出,我国银行业信息科技发展面临的挑战之一是核心技术受制于人,银行业金融机构要按照“自主可控”战略,合理构建新一代自主可控的信息系统。那么自主可控的最终目标是什么?又如何做到自主可控呢?
推进信息技术自主可控的真正目的是有效保障信息安全,即实现信息系统“自主可控、安全可信、高效可用”。要做到这一点,就必须使自身具备对风险有效预警、防御、识别、处置的能力,并配套行之有效的规范和措施,切实做到风险可控。
对于应用,特别是核心应用。一是要具备一定的自主研发的能力,从应用根源避免“后门”等风险和安全隐患。二是对于部分依赖于其他单位提供服务的应用,应通过对应用架构调整、应用松耦或解耦、网络隔离等手段,将可能由外部因素引发的风险控制在一定范围内,降低系统整体风险。
对于基础设施,银行大多难以做到自主研发,这就使得该部分风险被放大。要有效控制基础设施依赖他人而产生风险和隐患,可以从以下几方面着手。一是积极主动推进国产自主可控技术的应用,确保国家安全。在国内产品发展成熟的领域,优先使用国产产品,但也应避免使用单一品牌,做好替代产品选型工作;在国外产品占据垄断地位的领域,应考虑面临重大灾害时的供应安全问题,即便均使用国外产品,也应选择多个国家的多个品牌。二是通过自主研发的技术手段,加强安全管理、实施安全监控、落实安全审计,确保系统行为可监控、可追溯,安全问题可发现、可控制。
此外,培养自主掌握核心技术的人才队伍是实现自主可控的基础,只有自身拥有强大的科技能力,才可能做到以我为主,在研发、运维、应急、灾备等各环节实现风险的可控。
二、农业银行多措并举,推进“自主可控”进程
根据监管部门提出的银行业信息科技自主可控的有关要求,农行坚持“ 大力推进自主可控进程, 保障金融信息安全” 的指导思想, 苦练内功, 以本行核心应用为抓手, 不断强化自身的精细化管理能力, 优化架构设计, 提升系统安全性监测力度。同时,积极参与国家信息技术研究项目,进一步深化我国自主技术在银行信息系统的应用, 积极构建农行信息技术“自主可控”的发展模式,并取得有效进展。
1. 在国家自主可控的领域,积极主动选用满足需求的软硬件设备
近年来, 我国持续加大信息化研究力度, 一批国内高新技术企业迅速崛起, 在一定程度上缩小了与国际先进水平的差距, 甚至领先于国际水平。农业银行抓住时代发展的机遇, 一方面在基础设施领域,在充分验证安全性和稳定性的基础上,积极引用我国自主研发的网络设备、终端设备、小型机及PC 服务器等产品。另一方面在桌面虚拟化、即时通信、渠道协同、云计算、大数据等新兴技术领域, 主动、优先选用国内自主研发的产品以推动信息化建设自主可控能力的提升, 如在大数据处理技术研究过程中, 农行积极与技术成熟、实力雄厚的国内厂商进行技术交流和测试。
2. 推动应用架构调整,避免对基础平台和产品应用的依赖
近年来,随着云计算、大数据等技术的发展和成熟,分布式架构有了越来越多的成功案例,同时在高性能和高可用上也有了一定的突破。分布式架构对系统硬件资源要求较低,软件则多基于开源版本进行优化封装,这使得部分银行业务系统可以实现由数据集中共享式架构向数据分布式架构调整,以此避免对高精尖技术的依赖,提高自主可控水平。鉴于此,农业银行在积极研究探索国内互联网企业应用分布式架构经验的基础上,尝试将部分非核心系统由数据集中共享式架构调整为数据分布式架构,避免了对国外高精尖技术的依赖,提高了我国自主研发的IT 设备及软件产品的应用水平。目前,农业银行已完成历史数据查询系统的架构调整,将应用从主机平台迁至x86 平台,实现了从依赖单一厂商到品牌多样性的转变。
3. 加强信息安全与风险管控能力,降低技术沿袭带来的信息安全风险
银行业信息化建设的道路也是我国信息技术引进消化吸收的过程,随着银行信息系统越来越庞大、复杂,技术先入为主的特性逐渐显露,一方面,技术沿用可降低开发运行成本;另一方面,同时,使用新技术本身也可能引发新风险。鉴于此,银行业通常不会采用未经验证的新技术。对于一些受制于人的沿袭而来的技术,银行业应不断加强自身风险管控能力,通过引入检测、风险识别、安全监控、行为审计等手段降低风险发生的概率。农行在信息安全风险防控方面做了很多有益的探索和尝试,例如,聘请专业信息安全防控团队,进行网银安全监测、互联网渗透性测试、电子银行产品安全测评等工作,及时发现风险隐患并予以整改;组建了信息安全防护专业技术团队,初步建立了网络渗透与攻击事件的处置机制,持续提升防攻击的技术能力;开展电子银行国密改造有关工作,制定国密改造完成前的应急预案,完成电子认证系统(CA)国密算法升级等。
4. 积极参与国家信息技术研究工作,促进“产、学、研、用、检”一体化
作为关系民生的重要支柱行业, 银行业有着保障金融信息安全,促进经济发展的社会责任。同时,银行业作为信息技术的应用单位,具有应用负责、数据量大、对可靠性要求高等特点,对于高端技术有着良好的应用示范作用。近年来农业银行积极参与国家高端技术研究工作,不断提高国家信息技术自主可控水平。一方面,充分发挥自身应用优势,选择适当应用进行移植、测试、试点运行, 以验证国产高端技术在金融行业的可用性。另一方面,通过测试、运行,发现存在问题与不足,反馈给研究单位,共同完善技术体系。例如,农行承接国家信息安全应用示范工程项目——高安全等级三农金融自助支付信息系统,以转账电话为原型,通过采用国产密码算法和密码芯片,为广大“三农”用户提供安全的转账、查询、支付、自助贷款及还款服务。该项目的成功实施得到中央办公厅、发改委、工信部、人民银行、银监会、中科院等众多单位的大力支持和高度肯定。农行积极还参加国家“863 计划”中“高端容错计算机”专项研究工作,作为金融行业的示范应用单位,研究国产H8000 高端容错计算机在银行的应用可行性,实现对国产小型机和存储的验证工作,为小型机国产化和自主高端容错计算机产业发展贡献力量。
5. 加大人力资源投入,提高银行业信息技术自主可控能力
按照加快银行业信息科技人才队伍建设,保障科技人才的绝对数量和相对数量,推动银行信息科技工作的深入开展,减少对外部市场资源的依赖,增强银行业信息技术的自主可控能力的原则。长期以来,农业银行在不断提高科技队伍软实力的同时,持续加大人力资源投入。一方面,在实现核心业务系统自主研发风险可控的基础上,逐步扩大自主研发领域实现业务全覆盖,架构可控。另一方面,加大运维队伍建设力度,实现运维与服务商的分离,降低外包依赖程度,实现管理可控。通过架构控制和管理控制,提高自主可控能力。
三、对于推进“自主可控”战略的思考
商业银行是市场经济活动的参与者,具有上市企业和国有企业的双重身份,既要创造效益回报股东,又肩负社会责任要为国家信息化技术自主可控贡献力量。为此,银行业在自主可控技术应用的推进过程中,应当充分注重方式方法,采取渐进原则,稳妥前行。
1. 以市场为导向,按照市场经济规律推进自主可控技术应用
利润是其发展的动力和目标,必然会在信息化投入上努力寻求成本和性能的平衡,也自然而然地会选择品质优良、价格合理的IT 产品和厂商。为此, 商业银行既要积极响应和推进自主可控技术的应用,又要兼顾自身经营效益,这是推进自主可控技术应用进程的根本原则。
2. 保障业务连续性是推进自主可控技术应用的前提
商业银行对业务连续性的高要求决定了其进行信息化设备选型时慎之又慎。因此,推进商业银行信息化技术自主可控,不能盲目冒进,应以保障业务连续性为目标,采取渐进方式,实现平稳过渡。在产品选型上,从成熟领域的高稳定性产品着手,逐步推进到新兴、试点型产品。在应用改造上,从管理系统着手,再推进到一般业务系统,最后推进到关键业务系统,逐步积累经验,稳妥前行。
3. 以履行企业社会责任为使命,积极主动推进自主可控
党和国家一系列方针政策中已经把信息安全提到了前所未有的高度, 保障金融等重点行业信息系统和基础信息网络安全, 已经成了关系国家安全的大事。推进信息技术自主可控,最终实现信息系统自主可控、安全可靠、高效可用,从根本上来说也是商业银行维护国家安全、履行社会责任这一神圣使命的要求。银行业作为关系国计民生的重点行业,应牢固树立国家安全高于一切、民族利益重于泰山的意识, 自觉主动的推进自主可控, 积极参加国家信息化研究试点工作, 促进我国信息产业健康、有序发展。FCC
|
