——专访中国建设银行股份有限公司信息技术管理部总经理金磐石
本刊记者 李庆莉
“棱镜门”、“监控门”事件的相继发生,使得信息安全的重要性日益凸显。2013 年以来, 在国家有关部门和行业监管机构的推动下,我国银行业金融机构信息科技“自主可控”工作取得突破性进展。然而由于历史原因,银行业信息系统平台的建设大都采用国外的技术、标准和产品,存在种种安全隐患,金融信息安全保密形势依然非常严峻。
商业银行真正做到信息科技“自主可控”需要解决哪些问题?面临哪些困难和挑战? 银行在信息安全自主可控方面进行了哪些实践? 日前本刊记者就上述问题采访了中国建设银行股份有限公司信息技术管理部总经理金磐石。采访中,金磐石指出,建设银行在新一代信息系统建设中完全自主设计,掌握了信息系统主控权。同时,建设银行在自主开发、自动化自主运维、自主品牌设备选型、国产加密算法采用、跨行业协作和信息安全监控等方面进行了深入探索和实践,自主可控信息系统建设能力不断提高。
《中国金融电脑》:银监会尚福林主席曾指出, 我国银行业信息科技发展面临的挑战之一是核心技术受制于人。请问由此带来的信息科技风险主要表现在哪些方面?
金磐石:“万丈高楼平地起”,核心技术是信息系统的基石,核心技术受制于人直接破坏了信息系统可信的基础,从银行角度来看,由此引发的风险表现在三个方面。一是影响金融业务连续性的风险。信息系统具有高度的复杂性,芯片、内存等硬件,操作系统、数据库、中间件等软件协同工作,任何一点异常都可能引发故障,而上述产品核心技术受制于人,技术服务不免会受到地域、政治、经济利益等因素的影响,问题的处置及响应能力自然也就难以保障,金融业务的连续性不可避免受到影响。
二是信息泄漏的风险。“棱镜门”事件提醒我们,银行倚重的客户信息、事关国家经济利益的行业数据都可能被人探囊取物般获取,原因就在于银行许多重要信息系统运行在国外软硬件设备上,而这些产品的构造、原理、逻辑不对银行开放,因政治或经济因素设置的后门难以预料。
三是经营成本居高不下的风险。核心技术受制于人,银行谈判的筹码就很有限,且不说采购软硬件设备的费用难以获得合理的价位,就是后续的升级服务也会受制于对方的霸王条款,对方想怎么升级银行就要被动升级,不升级就面临对方对老版本不再负责的问题,而升级则需要更多的费用支出。
《中国金融电脑》:实现银行业信息科技“自主可控”的战略意义是什么?对于商业银行来说,在此过程中需要解决哪些问题,克服哪些困难?
金磐石:金融是国家经济的核心,信息化是金融的源动力,抛弃算盘,走进电子时代是金融业腾飞的基础。随着银行业对信息科技的依赖程度不断加强,银行的业务办理,生存发展已经离不开信息科技的支撑。信息科技,特别是关键系统如果受制于人,其风险不可估量。因此,金融信息科技“自主可控”事关企业自身安全、事关金融稳定、事关国家经济安全。
信息科技核心技术掌控在欧美发达国家手中,国内银行要真正做到信息科技“自主可控”,还有很多问题需要解决,主要有以下几点。
一是国货还需自强。近年来,国内信息产业不断引进消化吸收国外技术,部分国产化产品技术水平已取得长足进步,缩小了与国外产品的差距,但某些信息系统核心技术,如芯片、大型主机、操作系统、数据库还缺少实质性的突破,很多情况下,银行有心选用国内产品,却受制于性能和稳定性等因素,不得不用国外产品。
二是缺乏实质的国产化应用导向。从监管角度来看,金融机构的业务连续性要求高,常规金融业务区域性半个小时服务停止是容忍的底线,证券期货类业务要求更为严格,业务停止5 分钟就需上报监管机构,上述要求不会因为使用国产设备而降低。因此,从满足监管要求的角度,银行业在无成熟案例可借鉴的情况下,采用国产设备的积极性自然受到影响。
三是金融行业“自主”能力有待提升。金融行业要转变以往对“外购”的依赖,制定自主研发、自主运维的战略和计划,大力培养一批既懂技术又懂业务的复合型专业人员,即使对于不得不引进的产品和技术,也要努力做到消化、吸收,在自主的基础上实现可控。
《中国金融电脑》:在推进银行业信息技术“ 自主可控” 战略过程中,建设银行采取了哪些具体措施?取得了哪些成效?
金磐石:建设银行理解信息技术“自主可控”,着眼点在“可控”,“自主”不是为了自主而自主,是为了实现“可控”的目的而“自主”,对于业界竞争充分、替代转移成本低的技术不一味强调自主,而对于涉及信息安全、涉及关键应用的产品和技术,积极走自主之路。在这个策略下,积极使用国产技术和设备,同时在系统开发设计方面注重自主研发,达到可控的目的。近年来,建设银行启动了新一代信息系统建设,新一代信息系统完全由建行自主设计,掌握了信息系统主控权。在国产化产品的使用上,按照先分行、后总行,先边界、后骨干,先外围、后核心的策略,分支机构90% 的网络设备采用华为、中兴等国产网络设备,构建安全边界;从终端保护、服务器替代入手,分支机构和外围业务应用系统逐步采用浪潮、曙光等国产厂商服务器。同时,与华为、浪潮等国内知名IT 公司进行战略合作,在网络、存储、数据库、云计算等课题上共同开展合作研究,推进国产化设备的研发和应用,以达到逐步“去IOE”的目的。一是加强自主研发。建设银行正在实施新一代信息系统建设,采用面向服务架构和组件化设计的方法,全面重构应用系统。建设过程中,从各分行、各数据中心抽调了大量的科技人员,他们从业务流程建模、架构建模、数据建模开始,参与新一代信息系统建设,努力做到核心技术自主掌握。在建设过程中,尽管引进了外部咨询顾问和专家,但前提是发挥外部专家“教练”和“老师”的作用,具体的设计和实现自主完成。
二是加强自动化自主运维。目前建设银行所有信息系统均自主运维, 并按照ITIL 国际标准, 建立全面运行服务流程体系。同时推动自动化运维,实现事件自动发现、自动定位超过95%、自动恢复达到90%。在同业率先建成投产“新一代云平台”,实现了基础设施管理的技术标准化、提供快速化、管控集中化。
三是加大对我国自主品牌产品的选型、测试力度。建行2013 年发布的信息技术产品目录中加大了对国产服务器、网络产品等的引入和推广。同时新疆分行承担了“国家科技支撑计划——基于国产高端容错计算机的行业应用系统关键技术研究与应用示范”课题,重点研究在关键应用领域引入国产主机系统的可行性,并在实际使用上取得了良好效果。
四是加快国产加密算法使用。按照国家密码管理局、人民银行部署,启动了网上银行数字证书认证中心(CA)国产加密算法改造工作,已经上线的新一代信息系统全面支持和采用国产化加密算法。
五是加强跨行业协作。建行与中国金融电子化公司开展技术测评合作,聘请其为建行三级及以上重要信息系统实施等级保护测评,验证已采取的安全保护措施是否达标;与中国信息安全测评中心开展战略合作,双方将在国家级的漏洞通报、安全监测、风险评估、产品检测、政策咨询等方面开展深度合作,提升建行安全保障水平;与中国电信签署战略合作协议,双方将在网络攻击应对方面,建立快速响应联动机制;与国家信息技术安全研究中心、国家互联网应急中心、中国互联网信息中心、中国反钓鱼网站联盟等信息安全专业技术机构建立了信息沟通和密切协作关系。六是深入信息安全监控。为有效应对外部持续的恶意攻击和网络欺诈,建行完善网银安全保障机制,成立了由技术人员和业务人员组成的电子银行安全团队,在业务安全策略与措施、信息搜集与监控、案件分析、应急处置、开发实施、新技术研究等方面联合开展工作。同时组建信息安全监控团队,7×24 小时监控并及时应对可能的信息安全威胁和网络攻击,抵御针对建行网上银行和门户网站的网络攻击、搜索关闭钓鱼网站、监控拦截建行互联网出口敏感信息、检测并修复网络和信息系统漏洞、拦截过滤垃圾邮件、监测互联网上侵犯建行知识产权的技术类文档等,提升建行信息安全事件监控和快速响应能力。
《中国金融电脑》:构建银行业自主可控的产业生态系统的关键是什么?
金磐石:构建银行业自主可控的产业生态体系,关键有两点,一是要有真正激励金融机构推进自主可控战略的强力政策;二是要充分发挥集中力量办大事的优良传统。在政策方面,希望监管部门与国家相关部委联合推动关键基础设施及基础性软件国产化,提高核心信息技术的自主掌控能力。对于应用国产化关键设备的金融企业给予政策上的支持和鼓励。对于一些与客户服务紧密相关、实施难度大、涉及面广的系统改造项目,统一组织实施示范工程,解决金融行业共性的稳定性和效率等难题。同时金融企业内部也要建立重视信息安全、鼓励自主创新的政策环境,不断完善自主可控制度体系。
在集中力量方面,希望金融监管部门与信息技术主管部门协力建立跨行业沟通机制,集中科研机构、产业公司、金融机构,就金融机构信息系统核心问题,组织科技攻关,在操作系统、数据库及基础硬件方面力促实现划时代突破。
《中国金融电脑》:在我国当前信息科技发展现状下, 商业银行如何实现技术先进性与安全可控性的均衡?
金磐石:先进技术光彩照人,在业务创新的强烈需求下,金融机构应用先进技术有着天然的冲动,互联网金融、移动支付、云计算、大数据等新技术不断涌入人们的视野,要在应用先进技术的同时保障可用性,关键是要知风险,金融机构要有专业的团队跟踪了解先进技术的原理,知晓其利与弊,更重要的是了解弊的最大影响在哪里,找出可容忍的底线。同时,要从风险的角度统筹技术应用和风险防控,从企业的视角统筹风险与收益,在企业统一的风险偏好下管控新技术应用风险,进而确保技术应用和安全防控的统一。
|
