林曉軒：信息科技“自主可控”之道

來源：《中國金融電腦》雜誌

在加強金融信息安全的大背景下，商業銀行信息科技建設的“自主可控”越來越受到業界關注。然而，“自主可控”一定就是簡單地用國內產品替代國外產品嗎？商業銀行到底應該如何落實“自主可控”戰略？

近年來，國家有關部門和監管機構日益重視銀行業信息科技風險管理工作，要求商業銀行加強信息科技風險管理，實現對信息系統的“安全、可控”。銀監會近兩年在銀行業信息科技風險管理年會上提出，銀行業要圍繞“自主可控”、“持續發展”、“科技創新”三大戰略切實加強信息科技建設，要求銀行業金融機構按照“自主可控”戰略，合理構建信息系統。同時，人民銀行在相關工作中也強調“要提高金融信息安全自主可控水平”。根據監管部門近期提出的有關要求，工商銀行結合多年來自身的實際情況，對如何規劃和實施自主可控戰略進行了深入的思考與研究，並不斷探索實踐。

一、商業銀行落實“自主可控”戰略的思考

目前存在一種觀點，認爲“自主可控”就是簡單地用國內產品替換國外產品，這一觀點在一些歐美國家也一定程度存在。簡單地使用國內的軟硬件產品並不能達到自主可控的目標，特別是在當前市場化和資本運作的大環境下，企業的國內外資本性質轉換很快，所謂的國內和國外都是相對的，這方面市場上已經有了很多實際的案例，包括一些與銀行合作密切的企業的案例。因此，商業銀行落實“自主可控”要求，應是在遵照國家政策和監管要求的基礎上，通過信息系統體系架構的總體頂層設計和主要信息系統的自主研發或“自主可控”研發，在滿足銀行自身信息系統整體體系架構的前提下，自主研發核心和關鍵信息系統，並分層異構使用外部產品，實現對信息科技風險的可監控、可管理、過程可審計。

1．自主設計和自主研發是落實“自主可控”戰略的主導思路

商業銀行在構建自主可控的信息系統整體體系架構時，一方面通過自主研發的途徑，開發出符合自身特點的應用系統以滿足業務需求；另一方面採用自主設計的做法，組合使用不同廠商的技術產品，以異構的方式實現產品技術上的揚長避短和相互補充。同時，在外部廠商技術產品的使用上，也應在充分消化吸收的基礎上，做到知其形、究其因、懂其理，進而探討自主研發予以替換和實現的可行性，掌握技術的主動權。因此，商業銀行“自主可控”信息系統並不是以國產產品技術簡單替換國外產品，而是建立在自主規劃設計的基礎上，做到“因我所需，爲我所用”。

2．體系架構的整體把控與設計是落實“自主可控”的關鍵

商業銀行通過自主規劃的頂層設計思路落實“自主可控”。在信息系統的整體防護體系架構設計上，商業銀行應關注體系架構的整體把控，自主設計並建立起軟硬件架構體系，着力研究體系中各個系統端到端的整體設計，在不同環節應用不同技術，合理進行技術組合，實現對體系架構整體的自主可控，進而在信息系統的整體防護體系架構設計和各個系統端到端整體設計的過程中，實現可管理、可監控和過程可審計。這好比在汽車領域，一個國內車企如果只是簡單地把國外整車引進銷售，不掌握關鍵技術，就會失去話語權，被動接受國外車企的各種要求，但如果動力系統、轉向系統、剎車和底盤、主動安全與被動安全系統以及外形設計等都由國內車企自行研發設計，即便使用的零部件來自於國內外企業的全球採購，技術主動權和零部件選擇權仍掌握在國內車企手中，不會因所使用的零部件而受制於人。

因此，不能簡單地認爲使用國內產品就一定是安全的，使用國外產品就一定是不安全的。簡單地對產品和技術進行替換將造成商業銀行科技建設成本的增加，同時，也將對商業銀行信息系統的整體風險留下隱患。商業銀行只有立足於自主整體規劃和設計才能掌握技術控制權、選擇權和主動權。國內外廠商在爲銀行提供具體的軟硬件產品和技術服務的同時，更應該幫助商業銀行提高其信息系統的自主規劃設計能力。

3．實現產品及技術的異構組合是實現系統端到端“自主可控”的途徑

商業銀行不可能自主研發所有需使用的軟硬件產品，因此在選擇外部軟硬件產品時，在符合國家政策和監管要求的原則下，需要通過產品的異構組合實現整個系統的端到端自主可控。例如，國家在網銀系統的各個環節上都有明確的規範和出臺了認證要求，商業銀行在網銀系統設計與實現上，應在嚴格遵守國家相關要求的同時，在客戶端安全控件、認證介質、硬件證書、軟件證書、認證數據傳輸加密算法等網銀系統的多個層面和處理流程上，通過合理的技術組合實現“自主可控”體系。

4．符合國家政策和監管要求是落實“自主可控”的基本底線

商業銀行在構建自身信息系統體系架構時，不管使用國內還是國外的技術，必須在符合國家的相關政策和監管要求的基礎上，基於自行設計的體系架構，建立商業銀行自身的、與之配套的信息系統體系標準、管理制度和規範體系，以及監控和審計體系，實現對整體體系架構和各系統的管理、監控和過程審計。同時，商業銀行也應在遵照國家政策要求和監管要求的基礎上，以滿足商業銀行整體體系架構需求爲前提，積極推動國產軟硬件技術和產品的使用，積極使用優秀的國產產品作爲整個架構體系中不可或缺的異構組件。同時，商業銀行要合法使用正版的國內外軟硬件產品，充分保障相關正當權益。

二、工商銀行落實“自主可控”戰略的實踐

多年來，圍繞上述思路，特別是根據監管部門的有關要求，工商銀行在“自主可控”戰略的實施方面做了一些具體工作。

1．堅持走自主研發的技術創新道路，支持業務全面發展

工商銀行依靠自身科技力量，始終堅持走自主研發道路，自主研發了各類業務應用和經營管理系統。工商銀行先後啓動實施四代核心應用系統開發和推廣工作，完全依託自身技術力量獨立研發了超大型的核心應用系統，在同業中率先自主研發並全面推廣了多幣種、多語言、多時區的境外核心業務系統，具有自主知識產權的業務系統全面覆蓋客戶信息、會計覈算、存款、貸款、匯款清算、銀行卡、金融市場業務等境內外業務領域，爲工商銀行改革發展提供了強大支撐，有力推動了全行各項業務的快速發展。截至目前，工商銀行註冊登記軟件著作權275件，擁有的專利總量達到了307個，國內同業佔比超過60％。與此同時，工商銀行依靠自身科技力量，成功實施了數據集中、災備體系、網絡體系等技術工程建設；依靠自身科技力量開展各項生產運行維護和管理、信息安全管理等工作，通過採取各項技術手段和管理措施，確保信息系統的穩定運行及客戶信息、內部管理信息的安全。

2．通過頂層設計構建自主技術架構體系，實現技術整體把控

工商銀行通過管理和技術兩個層面的頂層設計，實現了對整體技術架構自上而下的嚴格自主把控。在管理層面，根據監管部門要求在董事會及高級管理層下設信息科技管理委員會，主要負責信息科技戰略、信息科技重大決策事項等；信息科技管理委員會下設技術審查委員會，負責重大科技項目規劃與方案的審批。同時，對照國家標準和監管要求，工商銀行建立了較爲全面的信息科技管理制度和技術標準規範體系，並且每年結合執行情況和新的工作要求進行修訂完善，目前已經形成了由136個信息科技制度管理辦法、實施細則和管理手冊組成的信息科技管理制度體系，形成了包含應用、信息、安全、系統、網絡、基礎設施、其他等七大類123項規範的技術標準體系。通過自主開展各種現場和非現場檢查、自主研發應用監控系統，輔以上下聯動的整改落實跟蹤機制，實現了信息科技風險的可管理、可監控和過程可審計。

在技術層面，工商銀行在選擇信息技術產品時，從自身整體架構體系出發，綜合考慮產品功能和性能、運行穩定性、客戶服務效率和資金安全保障等多方面因素，選擇適合工商銀行需要的軟硬件產品組合，以防範內外部安全風險，確保系統穩定運行和客戶資金安全。

工商銀行在推動技術架構“自主可控”方面遵循的原則和做法主要有以下幾點：

一是分層次、分區域綜合保障。按照“垂直分層、水平分區”的層次化防護思想進行安全設計，在縱向層次上分爲核心層、應用層、隔離層和接入層，在橫向區域上分爲電子銀行區域、自助區域、櫃面區域等，從整體上保障系統的安全性。

二是採用不同廠商、不同類型產品實現異構防護。在同一層次上，通過不同廠商、不同類型產品的異構組合，相互彌補缺陷，避免單一廠商、單一類型的產品存在安全隱患所帶來的風險。

三是兼顧系統安全性和客戶服務需要。銀行信息系統是面向廣大客戶提供服務的，在保障系統安全性的同時，也必須選擇適當的技術產品保障客戶服務需要，實現系統的客戶便利性、易用性。例如，工商銀行在開展密碼技術防護體系建設中，在覈心層、應用層、隔離層和客戶終端等層面分別部署和選用了不同廠商的軟硬件加密設備和產品，以達到確保系統安全，方便客戶使用的目的。

3．通過自主研發實現關鍵業務系統風險管理的“自主可控”，降低信息泄漏風險

當前，商業銀行金融市場已成爲一項十分重要的業務領域，許多商業銀行的金融市場資產已經達到上萬億元（人民幣）的規模。但目前大部分商業銀行所使用的交易和管理軟件，基本是由在不同階段外購的不同系統組成，系統間相互獨立，難以實現信息交互、數據共享和統一風險管理，也難以實現對交易的風險管理以及與商業銀行自身的中後颱風險管理系統的聯動整合，甚至一些銀行將交易數據提供給外部機構幫助其完成對產品的定期估值和對設定場景的風險壓力測試，形成了較大的信息安全風險。

按照“自主可控”的原則，2007年工商銀行開始自主研發金融市場業務管理平臺，經過多年摸索實踐，至2011年已構建起金融市場交易管理、風險管理、產品控制、定價估值平臺，不僅提高了工商銀行代客交易的產品創新能力，還實現了爲境內外機構客戶產品推廣和統一報價、集中平盤，逐步建立了自營業務前臺交易風險控制、中後颱風險聯動管理的全球一體化處理平臺。

目前，在監管政策的大力推動下，商業銀行、企業、科研機構積極開展技術合作、成果轉移和商業化應用，商業銀行落實信息系統建設“自主可控”戰略將得到更加有力的支持。工商銀行將按照監管部門的要求，加強與相關企業和機構的合作，進一步提升信息科技的自主可控能力。