——中国工商银行股份有限公司信息科技部副总经理毛宇星访谈

　　随着金融安全上升到国家安全，金融信息科技风险管理工作日益受到国家有关部门和监管机构的高度重视。近年来，人民银行、银监会都对银行业信息安全工作提出要求，银监会要求商业银行按照“自主可控”战略，合理构建信息系统;人民银行在相关工作中也强调“要提高金融信息安全自主可控水平”。工商银行作为中国最大的商业银行和信息化水平最高的大型商业银行，在信息科技建设和业务发展中高度重视信息安全工作，始终坚持自主研发并积极使用自主可控技术推动业务创新，建设了功能完善、使用便捷、运行稳定、安全可靠的信息系统，构建了完备的技术防护体系。

　　在日前举办的首届“国家网络安全宣传周”上，工商银行重点展示了其“安全、高效、便捷”的电子银行服务以及创新、安全的银行卡产品。中国工商银行信息科技部副总经理毛宇星在接受记者采访时也畅谈了工商银行规划实施自主可控战略、构建全方位立体信息安全防护体系，打造安全高效金融服务的实践和思考。

　　践行自主可控，构建信息安全整体防护体系

　　“当前，网络安全和信息安全已经上升到国家战略的高度，表明我国面临的内外部的安全形势日益严峻。随着网络和信息技术的快速发展，以往局部、孤立的安全事件已呈现全局化、复杂化趋势，对各个行业包括金融行业构成了潜在威胁。为此，国家成立了‘中央网络安全和信息化领导小组’，致力于推动国家层面的信息科技安全可控。在人民银行和银监会的大力推动下，金融行业自主可控的实施进程也不断加快。”毛宇星首先对金融安全形势做了简要分析。

　　“工商银行作为一家金融企业，一直秉承自主可控理念，制定了明确的实施战略和具体规划。”毛宇星指出，首先要全面、辩证理解自主可控的含义，“可控”是目标，“自主”是实现“可控”的有效手段之一。“通过自主研发、运维核心和关键信息系统，构建‘分层、分级、多维、异构’的信息安全完整防护体系，实现工商银行信息科技风险可监控、可管理、过程可审计的目标。”

　　据了解，在信息化建设过程中，工商银行依靠自身科技力量，不断创新，率先完成“两地三中心”高可用性新架构建设，自主研发投产了四代核心银行系统以及境外机构核心系统和管理会计系统等重要应用系统，在基础技术领域，积极应用国产成熟产品和开源技术，与国内知名IT企业建立联合创新实验室，并承担了“国家量子通信技术验证和应用”等自主可控项目。

　　在毛宇星看来，自主可控既是国家政策要求，也是企业自身信息安全的必然选择。自主可控并不是国产设备的简单替换，而是要建立整体防护的系统性思维，通过多种技术的应用和组合，达到更高的风险防护标准。所谓分层，就是要从硬件、软件、网络，一直到应用层面形成一个多层的防护体系，不能因为一个层次的安全防控失效造成整体性失效;所谓异构，就是在整体规划的基础上，在重要部位采用不同的产品技术体系，不能因为某个产品的缺陷或问题而造成整体性失效。

　　在推进信息系统国产化方面，工商银行采取了分层实施、逐步推进的策略。除了重要信息系统应用软件坚持自主研发之外，还根据产业的成熟度以及自身的实际需要，对基础软硬件产品采取不同的应用策略。对一些成熟度比较高的国产领域，比如个人电脑、PC服务器、存储等，工行将全面引入并以国产品牌为主。对一些成熟过程中的产品领域，工行将积极引入，逐步扩大应用范围。比如在数据中心部分区域、一级分行、二级分行和网点等各层次都引入了国产化网络设备，全行网络设备国产品牌数量已超过9.5万台。而对于一些成熟度较低的产品领域，比如数据库、小型机等，工行将积极加强与国内厂商的合作研究，推进产品的逐步完善。

　　毛宇星还强调，“自主可控是一个长期的过程，除银行自身之外，国产企业在软硬件产品以及服务方面的成熟度也至关重要。要从国家层面进一步完善和明确IT产业链整体规划，推动从芯片研发、设备制造到操作系统、数据库等核心软件的一体化发展，加速全面实现国产化进程，为银行业自主可控提供更为强大的产业基础”。

　　此外，毛宇星还补充说：“为落实自主可控，除了采用国产品牌之外，工商银行也在积极探索使用开源技术。由于基于开源的基础研发投入很大，对IT能力要求也很高，虽然互联网企业普遍采用这种方式，但银行毕竟不是科技公司，在投入产出上必须有所平衡。因此，工商银行在开源领域的研发重点放在分布式数据库、分布式文件系统、分布式缓存机制和云管理平台等方面，把解决自身业务发展和IT运营痛点问题作为出发点和落脚点。”

　　推动技术与管理创新，成就安全高效的金融服务

　　银行作为服务行业保障客户信息和交易安全是其信息安全防护的重要内容。在工商银行设置在“国家网络安全宣传周”的展台上，记者了解到，为确保电子银行交易安全，工商银行采用事前、事中、事后等风险控制措施，为客户提供U盾、工银电子密码器、电子银行口令卡三种身份认证工具，满足不同客户群体和交易场景的需要，并通过防钓鱼控件、预留验证信息、图片验证码等方式防范不法分子欺诈，通过余额变动提醒、登录提醒等多种服务，方便客户及时了解资金变动和电子银行操作情况，防范交易风险。在银行卡领域，工商银行使用了高安全性的芯片卡、高强度加密算法、密码认证等多种安全技术，保障客户交易的安全性，芯片卡累计发卡量超过1.9亿张。为了进一步提高芯片卡网络交易与信息安全，切实保障客户权益，工商银行率先与公安部合作发行推广加载eID(网络公民身份证)功能的芯片卡，截至目前已经发行近600万张。

　　“工商银行信息系统日均处理的业务量已经突破2.4亿笔，支撑境内外1.7万个网点、160多万台自助设备的连续运作。目前80%的业务通过电子银行渠道完成。”毛宇星介绍说，“由于客户数量和业务量较大，工商银行面临的安全风险也相对较高，据不完全统计，工行的假冒网站每年就达1万多个，仅次于淘宝网，在国内所有网站中排名第二。”

　　为了给客户提供安全高效的金融服务，工商银行从组织保障、制度建设、管理措施和技术手段等方面，探索和建立了以保护信息安全为核心，以组织保障和制度建设为两翼，以技术手段和管理措施为支撑的综合信息安全体系。

　　毛宇星介绍说：“今年6月工行位于上海的同城数据中心正式投入使用，标志着‘两地三中心’架构布局的全面建成，不仅提升了业务连续性运作水平，还将为构建弹性、智能的云数据中心奠定基础。当生产中心核心系统发生重大突发事件时，主机业务可以在数分钟内切换至同城中心运行。同时，通过同城中心切换机制的运用，重大应用版本投产对外的业务影响时间从原来的3 ～ 4 个小时缩短为30 分钟之内，实现在大部分系统投产时间内仍可以受理客户的ATM 存取款、POS 消费、B2C 支付等基本业务需求。工商银行数据中心灾备体系达到了国际和国家最高等级灾备等级标准。”

　　在采访的最后，毛宇星强调指出，从金融信息安全的角度，目前主要风险还是来自外部环境，比如网络攻击、电信诈骗、银行卡复制、暴力抢劫等。在不断提升自身信息安全自主可控能力的同时，工商银行还将加强与国家有关机构和不同行业的合作，助力国家信息安全战略落地，为实现 “网络强国”贡献力量。/FCC（本刊记者 李庆莉）