本刊记者 高曙东

　　近年来，银监会等监管部门日益明确了对银行业信息技术安全可控工作的要求，与此同时，银行业金融机构开始应用的国产化设备和技术也日趋增多。种种迹象表明，银行业信息技术安全可控战略，不再仅仅停留在规划层面，而是进入了落地阶段。2015年，无疑将成为银行信息技术安全自主可控战略的全面落地的关键年。

　　监管政策更具体，自上而下推动战略落地

　　当前，网络安全和信息安全已经上升到国家战略的高度，表明我国面临的内外部的安全形势日益严峻。随着网络和信息技术的快速发展，以往局部、孤立的安全事件已呈现全局化、复杂化趋势，对金融行业也带来了潜在威胁。为此，2014年初，国家成立了“中央网络安全和信息化领导小组”，致力于推动国家层面的信息科技安全可控。在人民银行和银监会的大力推动下，金融行业自主可控的实施进程也不断加快。

　　2014年11月24～30日，中央网络安全和信息化领导小组办公室在京组织举办了以“共建网络安全，共享网络文明”为主题的首届国家网络安全宣传周，而金融行业网络安全主题宣传活动则是其重要内容之一。人民银行党委高度重视本届国家网络安全宣传周活动，一方面深入研究，广开门路，面向广大金融机构征求优秀实施方案，组织制作金融网络安全知识手册、公益宣传短片，另一方面组织9家金融机构参加现场展览。

　　人民银行还组织商业银行等金融机构，在全国范围的营业网点发放宣传手册、播放优秀公益短片、现场布置展览，通过网络、短信、微信等多种渠道，展现金融业在加强网络安全保障方面的努力，提示在使用银行卡、电子银行等金融服务中应该注意的各种风险和处理办法。

　　早在2012年底，中国银监会主席尚福林就已经明确指出，为促进国家自主知识产权发展，鼓励商业银行采购国产技术设备。近两年来，银监会对信息技术安全可控的重视程度越来越高，监管内容也越来越具体。

　　2014年9月16日，银监会印发《关于应用安全可控信息技术加强银行业网络安全和信息化建设的指导意见》(以下简称《指导意见》)，提出到2019年安全可控信息技术在银行业总体达到75%左右的使用率的目标(2014年应用的技术和产品可纳入2015年度计算)。此外，《指导意见》明确要求：从2015年起，各银行业金融机构对安全可控信息技术的应用以不低于15%的比例逐年增加，2015年起银行业金融机构应安排不低于5%的年度信息化预算，专门用于支持本机构围绕安全可控信息系统开展前瞻性、创新性和规划性研究，支持本机构掌握信息化核心知识和技能。同时明确了“到2019年掌握银行业信息化的核心知识和关键技术;实现银行业关键网络和信息基础设施的合理分布;有效缓解关键设施和服务的集中度风险”的目标。

　　此次具体量化标准的出台，大大提升了银行业信息技术自主可控需求的确定性和成长性，预计未来在监管层以及银行业的共同努力下，我国银行业信息技术自主可控的发展空间将全面打开，将给国产厂商在该领域的跨越式创新发展带来前所未有的机遇与挑战。

　　2014年以来，银监会对银行业信息科技自主可控进程进行了持续监测，重点推进。对于商业银行如何进一步推动自主可控工作，中国银监会副主席郭利根在2014年12月8日召开的“中国银行业信息科技风险管理年会”上指出：“实现信息科技自主可控，银行业首先要提升信息科技治理能力现代化水平，落实首席信息官制度，首席信息官应参与决策，在决策层面为业务和科技融合架起桥梁，董事会中也要尽可能安排了解信息科技的董事。”从管理层面保障了信息技术安全自主可控战略的落地。此次风险管理年会的主题是“全面落实自主可控战略，提升科技治理现代化水平”，足见银监会对自主可控战略的重视程度。近日，银监会联合工信部制定应用安全可控信息技术相关指导意见的详细推进指南，并拟对坚持推进自主可控的银行予以一定的监管激励。

　　此外，银监会在2015年1月组织的电视电话会议中，进一步就《指导意见》的实施细则进行了细化，主要内容包括：明确“自主可控包含国产化”的含义，将《指导意见》中的两个量化指标纳入各行2015年年度考核，明确工作要求和牵头部门，制定相应的5年规划和2015年实施计划，并对银行业金融机构实施架构转型给予了指导意见。会议指出，银行业金融机构应该加强架构规划和设计能力，将开放、弹性作为架构转型的实施重点，为应用安全可控信息技术留出空间。具体来说，2015年，商业银行至少应该完成一个开放弹性架构原型，并完成至少一个信息系统迁移;完善信息系统灾备架构，数据级灾备方案原则上必须使用安全可控的技术构建，应用级灾备逐步向安全可控技术过渡，2015年至少实现一种基于安全可控信息技术的数据级(或应用级)灾备方案。会议同时要求，2015年度内商业银行不应再新采购大型机，而正在使用大型机的银行，必须开展替代解决方案的研究和迁移工作。

　　产业联动，共同推动自主可控

　　“棱镜门”事件的爆发给中国银行业信息安全敲响了警钟。为此，大量采购国外IT设备和软件的大型商业银行，开始将自主可控纳入信息安全战略，并日渐减少对国外设备和技术的依赖，去IOE的进程也日益加快。

　　相比之下，中小银行机构受制于自身技术能力、成本、效率等因素，信息化建设主要采用“信息科技外包”模式，不仅核心技术受制于人，还可能遭受网络安全威胁。在此情况，实现自主可控的信息安全战略显得尤为重要。

　　保障银行业网络和信息安全，提升信息化建设水平，关键要处理好的安全与自主的关系。对此，相关人士表示，不能把安全与自主对立起来，而应该看到，尽管很多自主研发的技术仍然有待于进一步改进提升，但不能因此而妄自菲薄。唯有通过自主可控，才能实现信息安全的螺旋式上升通道。

　　据调查，83%的大型企业采用了国产信息安全产品，但完全采用的几乎没有。目前，商业银行采用的服务器和存储产品很少有国产的，大型机都是外国的，小型机的国外占有率也高达99.97%，国产设备的占有率只有0.03%，比例非常小。而银行业采用的PC服务器中，国产设备的占有率也只有3.19%，96.81%是国外的。

　　在银行业，越接近用户需求的产品国产化率就会越高，而标准化、平台性的关键核心产品国产化率就比较低，尤其在操作系统、数据库、小型机、高端存储等领域，进口设备占据大部分市场份额。

　　这一现状也意味着国产厂商在金融行业有着更多拓展空间。中科院院士倪光南曾指出，增强网络空间安全，在国家层面上，将会采取各种举措大力推进IT软硬件国产化，这对中国企业是一个很好的机遇。2015年，或将成为国产厂商的银行年。

　　目前，中国信息技术企业在数据库、操作系统、中间件、小型机等核心领域都形成了突破，数据库厂商有人大金仓、南大通用等，网络领域有锐捷，操作系统领域有麒麟，小型机厂商有浪潮、曙光等，这些厂商已经具有了一定的技术积累，推出了针对中国本土银行需要的产品和解决方案，并在银行业得到了一定规模的应用。

　　在此情况下，商业银行应多采用自主可控的技术解决方案，积极构建自主可控的信息系统，实现技术体系的转型，携手国产厂商，打造良性的信息安全生态圈，共同推进自主可控的信息安全战略的落地。

　　按照《指导意见》的具体要求，银行业金融机构应将安全可控信息技术应用纳入战略规划;有序推进整体架构自主设计、核心应用自主研发、核心知识自主掌握、关键技术自主应用等重点工作。掌握关键技术的选择权，摆脱在关键信息和网络基础设施领域对单一技术和产品的依赖。

　　在涉及客户敏感数据的信息处理环节，商业银行应优先使用安全可靠、风险可控的信息技术和服务，当前重点在网络设备、存储、中低端服务器、信息安全、运维服务、文字处理软件等领域积极推进，在操作系统、数据库等领域要加大探索和尝试力度。

　　目前，安全可控的小型机在银行关键系统应用已取得突破，网络设备、PC服务器的占比翻番，其中网络设备占比已超过50%，安全可控的文字处理软件普及速度加快。包括邮储银行在内的银行机构正在积极尝试应用安全可靠、自主创新的信息技术，通过实际的应用情况不断改进，增强国产技术和设备的适应性和健壮性。《指导意见》特别强调，在技术选型中，如果存在安全可靠的自主创新产品和技术，应至少引入一家此类产品或技术进行选型和测试;对提供专用设备或集成解决方案的供应商，应要求其方案使用的硬件和软件至少能够各应用一项安全可靠的自主创新产品或技术。FCC