自主可控是关键—— 解读“银监发[2014]39号文件”

一、基础设施的改造升级。

一方面，对于金融行业的用户来说，最看重设备的稳定性，而这也是造成我国金融信息化基础设施如主机、网络设施、存储设备、终端机具长期依赖国外产品的主要原因，目前如华为、联想、华三等国内设备厂商已经具备了基本的网络设备供应能力和产生工艺，但核心的交换、路由、存储、终端设备依然由国外厂商把持，所以《推进指南》提出了服务器、计算设备可控比达100%，其他的在50%~80%之间，未来有逐步替代的趋势；另一方面，安全设备是保障金融信息系统安全运行的第一要素，是整合信息构架的核心部分，所以必须确保安全基础设施的全面可控，且如今国内涌现了一大批如安恒信息、启明星辰、绿盟科技等优秀的安全厂商，他们的产品拥有自主的产权、过硬的技术以及良好的产品性能，完全能满足银行今后的安全需求。《推进指南》中明确要求所有的安全设备可控比达到100%，可见安全产品的百分之百可控才能确保在银行业应用的安全可控。

二、信息技术的自主创新。

《推进指南》在所有的资产类别中增设了研究任务栏目，凸显了技术自主创新发展的重要性。唯有“自主”，方能“可控”。银行业信息系统的“进口化”基本是中国信息产业发展现状的缩影，银行业广泛使用的核心应用基础架构、操作系统、数据库、中间件、出钞验钞等关键信息技术依然由国外掌控 ，一旦牵扯到国家冲突，银行业信息系统从前端、后端再到终端将全线崩溃。《推进指南》中虚拟化软件、操作系统、银行专用软件、自助设备等可控比要求仅为10%~30%，从侧面反映出银行信息技术安全可控的难度，落实自主创新的研究任务迫在眉睫，自主创新技术的研发将成为今后《推进指南》成功部署的重要任务。这里我们建议在研究方式上，银行可主动联合其他信息产业链、高校院所建立核心信息技术的产学研平台，加强与安全厂商的合作，主动创造平台来推进如大数据、云计算等与银行业信息系统结合的新型自主安全技术研发的落地。

三、服务支撑的安全可控。

这里的“ 可控” ， 是指对银行信息化服务和整个技术支撑流程中涉及的企业资质、服务工具、人员素质、实施环境等各个环节进行银监会有效的第三方能力评估和风险评估，保障其可控性和可靠性。《推进指南》中要求咨询服务、设计开发服务、集成服务的可控比仅为4 0%，这里也体现了目前信息服务行业的流程规范水平和安全意识程度普遍偏低，所以针对开发、运维、外包、集成供应渠道的风险控制难度较大。我们建议，在评价方法中增设服务可控的具体方法和评价流程，比如建立信息服务技术在银行业应用过程中的风险识别、评估和控制机制，加强服务工具功能测试、性能测试和安全性测试，引进第三方风险评估、等级保护咨询、安全运维、应急处理等安全服务手段保障服务人员和服务流程的合规性，搭建独立、客观、第三方的评价机制确保技术服务的安全可控。