银监会发指导意见 银行业加码安全可控信息技术
来源:上海证券报
作为落实《关于应用安全可控信息技术加强银行业网络安全和信息化建设的指导意见》(银监发〔2014〕39号)和《银行业应用安全可控信息技术推进指南(2014—2015年度)》(银监办发〔2014〕317号)的重要步骤,中国银行业正在全力调研行业可控信息技术以及网络安全。
1月20日,银监会下发《关于开展2014年度银行业信息技术情况调研的通知》,要求政策性银行、国有商业银行、股份制商业银行、邮储银行1月28日前将电子版直接反馈至银监会信科部,其他银行业金融机构于2月4日前按照属地监管原则将调研表反馈至银监会或银监局。
此次调研科目囊括了银行信息系统的软、硬件各个领域。计算机设备中,包括大型机、小型机、PC服务器、台式机、便携设备等。此外,还包括网络设备、安全设备、通用软件、专用软件、自助设备、终端机具和技术服务等。
调查要求将上述设备和设施的总数量、国内独资生产数量、中外合资厂商生产数量以及外资独资厂商数量逐项上报,同时要求对于2014年投入新增数量和金额进行明确。
按照银监会39号文要求,两个量化指标纳入各行2015年年度考核,即:从2015年起,各银行业金融机构对安全可控信息技术的应用以不低于15%的比例逐年增加,直至2019年达到不低于75%的总体占比(2014年应用的技术和产品可纳入2015年度计算);2015年起,银行业金融机构应安排不低于5%的年度信息化预算,专门用于支持本机构围绕安全可控信息系统开展前瞻性、创新性和规划性研究,支持本机构掌握信息化核心知识和技能。
针对于此,不少银行早已开始布局。记者获悉,已有多家银行在行内成立了自主可控战略的小组,同时根据监管要求有了相应战略规划。
“在信息安全可控方面我们早已布局。”一家银行科技部老总向记者透露。他表示,目前正在使用的一些国际厂商产品出现较大问题时,往往需要从国外邀请专家解决,效率很低,自主可控是银行业必须走的一条路。
该老总同时表示,在网络安全领域,其实已在实施自主可控,比如采用了很多国产的设备和软件,包括检测、扫描以及防病毒网关等。
不过,自主可控并非等同于国产化。“如果国外厂商共享知识产权,在国内成立合资公司,或者通过设立研发和技术中心等方式,能够让国内金融机构迅速解决存在的潜在问题,提供及时的服务,应该也算自主可控。”一家金融机构科技部人士称。
金融领域的信息安全可控,首要面对的是“IOE”三大巨头,即IBM(服务器)、甲骨文(数据库)、EMC(高端存储)的拳头产品。其中,IBM对于国内信息安全可控的应对最为积极,已选择在国内和合作伙伴共同开发市场,同时公布了很多芯片源代码等。
“金融领域要求的安全自主可控的信息安全技术,这是个机遇,对于每个公司都是公平。虽然有去IOE等问题,但是甲骨文公司感觉提供最有竞争力的产品是最重要的。”甲骨文中国系统事业部代理总经理詹飞浪表示。
对于国内大型软件和硬件企业而言,“去IOE”留出来的空间需要其拿出实力来填补。“据公司调研,国内厂商多半还在模仿阶段,通过良好的客户关系,在逐步吸取国际厂商的产品设计经验,并形成自身的特色。”一位IT企业高管表示。
此次调研显示,可控信息技术以及网络安全提供的一个机遇是开源市场。“IOE”产品普遍使用的是封闭的系统,其存在的问题是,会有很多排他性的内嵌软件,出现问题很难快速解决。
“开源市场是未来的发展方向。”IT资深专家滕长春认为,首先,封闭系统的成本很难降低,并且维护成本高;其次,在处理的性能上,开源架构的软硬件系统已经有了大幅的提升。
他表示,最近很多金融机构已经开始咨询,如何使用开源的数据库等问题。因为开源系统是个开放的系统,无数的IT高手在其中,会针对系统问题提出更多有效解决方案,相对封闭系统更有效率。
据悉,不少银行已将传统的服务器架构从封闭式转型为开源系统。特别是在互联网金融领域,开源的X86系统已经占据统治地位。