广发银行股份有限公司首席信息技术官 王兵
随着国民经济和金融行业持续、稳定的发展,信息化已经成为国家战略发展方向,重点行业的信息化关键基础设施的安全性就更显重要。银行业监管机构站在国家安全和长远战略的高度,非常重视信息技术的自主开发和应用,近期人民银行、银监会已多次明确指出当前银行业信息科技工作面临核心技术受限、自主可控能力不足等问题,要求各银行机构切实加强信息科技建设,促进国家自主知识产权发展,鼓励银行使用国产信息技术和产品。银行信息技术的自主可控和安全应用,已直接影响银行的稳健经营,甚至关乎银行声誉、金融安全和社会稳定,具有重大战略意义。
按照监管机构提出的信息科技建设战略要求,广发银行积极推进落实基础软硬件国产化工作,不断提高核心关键技术的自主研发、运维能力,加强对信息科技的管控力度,努力实现信息技术的自主可控,主动防控信息科技风险,取得了较好的效果。
一、积极推进实施基础软硬件国产化
广发银行遵循“总体规划、稳步实施”的原则,在网络技术、信息安全基础软硬件和服务、自助设备、服务器和操作系统等软硬件方面,逐步试点、推进国产化策略。
在网络设备国产化方面,制定了网络设备国产化的三年实施规划,明确了各年度的量化目标,确定了网络设备国产化方案实施路径,持续关注核心网络设备国产化趋势,逐步推进网络设备国产化进程。目前广发银行已完成全行路由协议改造,将思科私有路由协议EIGRP改造为业界通用的BGP+OSPF 路由协议,为网络设备国产化准备了必要条件。
在网络设备选择方面,广发银行已确立网点设备全部国产化、分行层面逐步完全国产化、核心层面开始国产化的策略。广发银行将持续关注相应档次国产网络设备的发展情况,根据实际情况不断调整实施策略,加速网络设备国产化的进程。
在信息安全基础软硬件国产化方面, 广发银行目前使用的硬件加密机、加密键盘等商用密码产品已全部采用国产产品。广发银行结合国内产品和国外产品各自特点,采用中外产品复合使用的技术实施方案,在全行部署防病毒软件、入侵检测系统、防火墙等国产信息安全基础软硬件,同时密切关注、跟踪国产同类型产品在银行同业的应用。引入国产的桌面终端安全管理工具,对桌面终端网络接入认证、操作系统补丁和防病毒软件更新、移动存储介质等进行统一管控。
在其他基础软硬件国产化方面,广发银行正逐步扩大自助设备国产化范围,自动柜员机、POS 终端的国产化比率逐年提升;通过与国内厂商合作,推出自主品牌的VTM,实现全国首家7x24 小时智能银行,以客户自助服务和远程客服协助替代传统柜台服务,在确保安全的前提下,通过科技创新开拓新型服务模式。
当前,广发银行正投入技术力量,对主流的国产服务器、存储设备、操作系统、办公软件等进行性能和稳定性测试,测试通过后将开始试点应用,以积累技术和维护经验,为将来全面推广应用奠定基础。
在信息技术服务方面,广发银行信息技术开发、运维的大部分合作厂商均为国内知名供应商。信息安全技术服务均聘请具有专业资质的国内第三方机构开展,包括对门户网站、网上银行系统的日常监控和定期信息安全检查、等级保护安全测评、第三方专项信息科技风险评估、信息安全管理体系咨询认证服务等。
二、认真落实SM算法应用推广
广发银行高度重视SM 算法的改造推广工作,成立了专门的工作组,统筹协调全行信息技术力量,通过应用分析评估、采购商务支持、关键系统改造等多方面的共同协作,确保SM 算法顺利应用推广。
广发银行分两阶段排查清理了全行加解密应用现状,完成了SM 算法应用分析评估,确定了新老系统划断的时间点,明确了新系统建设、旧系统改造、相关产品新增采购等配套要求。广发银行与中国金融认证中心(CFCA)研究确定了电子证书升级改造方案,年内完成系统改造后,将具备发出支持SM 算法的网上银行电子证书的能力。2014 年,广发银行将在网上银行、金融IC 卡和移动支付三大领域,全面启动实施SM 算法升级改造。
三、持续提升核心技术自主研发能力
在应用系统研发方面,广发银行在适度实施信息科技外包的同时,制定信息科技资源能力建设方案,集中资源掌握信息科技核心技能,提升信息科技队伍能力,提高科技管理及创新水平。持续提升核心关键技术的掌控能力,不断加大在重要信息系统应用需求分析、系统设计、项目管理、质量控制、企业架构管理、基础架构管理、信息安全架构设计方面的技术人员投入。
广发银行以成熟产品为原型,自主研发了核心银行系统,与国内厂商共同研发了柜面业务、网上银行、手机银行、中间业务平台、信贷管理等重要应用系统。广发银行拥有上述应用系统的自有知识产权,并具备了较好的自主开发维护能力,全面掌握重要信息系统核心技术,全面把握系统建设过程中的质量控制和风险管理,实现了自主研发和自主管理,提高了重要信息系统核心技术自主掌控力度。
四、主动防控信息科技外包风险
为适应市场竞争和客户需求, 缩短金融产品开发周期, 信息科技外包已经成为银行提高信息科技服务水平的重要手段,同时银行也必须加强信息科技外包管理,主动防控信息技术及服务受制于外包服务商的风险。
广发银行制定了信息科技外包战略,明确了外包范围和工作策略,实现“自主可控、适度外包”的方针。一是,以信息科技风险管理三道防线为依托,建立了信息科技外包事前预防、事中控制、事后评价的信息科技外包管理体系。广发银行与外包服务商明确了外包服务活动各阶段的完成标识和提交件,技术人员全程参与外包项目管理和系统开发,在系统开发建设过程中学习掌握系统架构、设计、开发和维护方面的技术成果,保障外包成果交付和知识转移的效果。
二是,建立了外包服务及风险监控机制,明确外包服务质量和风险管理监控指标,持续监控外包合同各个阶段性目标的执行情况,以及外包服务商的财务、内控及安全管理情况,及时发现外包服务问题并督促外包服务商纠正改进,促进外包服务商提高服务质量和效率,防范外包服务意外终止或服务质量的急剧下降。
三是,针对各类信息科技外包活动存在的固有风险,定期分析评估已采取的风险控制措施的有效性和完备性,对重要的外包商开展现场检查和风险评估,针对评估发现的风险和不足,制定改进措施和计划并落实整改,重点控制防范外包服务活动可能导致的科技能力丧失、服务水平下降、业务中断、信息泄露等外包风险,避免过度依赖于外包商导致自身核心竞争力弱化以及未来业务发展受限。
五、协同构建银行业信息技术自主可控的产业生态链
当然,不可否认的是国产基础软硬件产品在可靠性、稳定性、成熟度方面,有时还存在难以满足银行业务需求和高可用性要求,操作系统、数据库、服务器、高端网络设备等重要领域的国产基础软硬件产品竞争力不足的问题。为实现银行业信息科技自主可控,除了银行自身主动加大投入、提升自主研发能力,扩大自主可控技术和产品的应用范围外,还需要监管机构、银行同业、国内软硬件厂商和服务商协同联动,提供成熟稳定的国产技术、完善的服务体系、良好的监管支持,形成良性互动的自主可控技术应用机制和环境,共同构建银行业自主可控技术应用的产业生态链。
首先,监管机构确立了银行业信息科技“自主可控”的战略方针,还需建立配套的监管机制、技术标准和管理规范,指导银行、生产厂商及服务商落实执行。一是加强监管力度和范围,建立银行业核心信息技术产品的信息安全检查和强制性认证机制,加强对核心信息技术、产品和服务检测分析,依照应用领域的安全等级设定不同的检测认证要求,提升发现安全隐患的能力。
二是明确银行业信息技术厂商及服务商在提供产品、技术和服务时的责任和义务,对从事银行业敏感数据采集、分析、处理业务的企业采取备案和黑名单制度,对掌握银行关键领域数据的企业纳入国家监管范围,及时给予风险提示。三是建立银行业自主可控信息技术创新战略联盟机制,推动落实信息科技外包风险联合监督平台和外包合作组织机制,促进国家监管机构、银行业金融机构、国内软硬件厂商及服务商的沟通交流,协调解决重要软硬件产品国产化过程中遇到的困难和问题。
其次,国内软硬件厂商及服务商应不断提高自身产品及服务的竞争优势,逐步取代当前国外同类产品在银行业信息科技建设中的地位。一是要持续提升自身核心技术的自主创新能力和研发能力,依托国内高校、研究机构和企业自身研发力量,加大核心信息技术研发的投入,推动技术研究成果加速转化为商业化产品。二是根据监管机构发布的技术标准,充分考虑银行业金融机构对国产设备的使用需求,持续改进自身产品性能和服务质量,不断降低产品和服务成本,促进上下游应用产品的开发,完善自主技术产品应用环境,提高技术产品的可用性、可靠性和稳定性。三是不断加强内部风险控制和信息安全管理,健全完善自身信息安全管理体系,培养提高员工安全风险意识,主动采取措施防控服务中断、质量下降、信息泄露等风险,满足银行业监管要求和银行服务要求。
再次,银行业金融机构应积极落实监管机构制定的战略规划、技术标准和管理规范,稳步提高国产设备使用比例。一是从思想上改变对国外信息技术产品的依赖性,制定切实可行的国产化产品替代方案,分领域、分阶段推进基础软硬件国产化,带动从基础产品到应用产品及服务的具有完全自主知识产权产业的发展。二是加强银行与国内软硬件厂商及服务商的技术合作,促进实施技术转移和知识共享,加速信息技术成果在银行业的商业化运用。三是加强沟通,及时将银行对国产软硬件产品的使用需求,以及使用过程中遇到的困难和出现的典型问题反馈给厂商和服务商,以应用和市场需求倒逼技术创新,培育国产信息技术在银行业应用发展的良性生态环境。
银行信息技术的自主可控直接影响银行的稳健经营,广发银行将按照监管要求,积极进行自主创新,持续提升自主研发能力,着力推动软硬件国产化工作,扎实推进信息技术自主可控的工作。FCC
|
