金融咨询网近期会进行系统维护,短暂的等待是为了更稳定的服务,感谢您的支持。
  • 快捷搜索
  • 全站搜索
位置:首页 > 案例

林晓轩:信息科技“自主可控”之道

2014-03-03 17:27:11作者:中国工商银行首席信息官 林晓轩编辑:金融咨询网
信息科技风险、 金融信息安全、 自主可控
在加强金融信息安全的大背景下,商业银行信息科技建设的“自主可控”越来越受到业界关注。然而,“自主可控”一定就是简单地用国内产品替代国外产品吗?商业银行到底应该如何落实“自主可控”战略?

近年来,国家有关部门和监管机构日益重视银行业信息科技风险管理工作,要求商业银行加强信息科技风险管理,实现对信息系统的“安全、可控”。银监会近两年在银行业信息科技风险管理年会上提出,银行业要围绕“自主可控”、“持续发展”、“科技创新”三大战略切实加强信息科技建设,要求银行业金融机构按照“自主可控”战略,合理构建信息系统。同时,人民银行在相关工作中也强调“要提高金融信息安全自主可控水平”。根据监管部门近期提出的有关要求,工商银行结合多年来自身的实际情况,对如何规划和实施自主可控战略进行了深入的思考与研究,并不断探索实践。

关于商业银行信息科技“自主可控”的思考和实践-作者 (2).jpg

一、商业银行落实“自主可控”战略的思考

        目前存在一种观点,认为“自主可控”就是简单地用国内产品替换国外产品,这一观点在一些欧美国家也一定程度存在。简单地使用国内的软硬件产品并不能达到自主可控的目标,特别是在当前市场化和资本运作的大环境下,企业的国内外资本性质转换很快,所谓的国内和国外都是相对的,这方面市场上已经有了很多实际的案例,包括一些与银行合作密切的企业的案例。因此,商业银行落实“自主可控”要求,应是在遵照国家政策和监管要求的基础上,通过信息系统体系架构的总体顶层设计和主要信息系统的自主研发或“自主可控”研发,在满足银行自身信息系统整体体系架构的前提下,自主研发核心和关键信息系统,并分层异构使用外部产品,实现对信息科技风险的可监控、可管理、过程可审计。

        1.自主设计和自主研发是落实“自主可控”战略的主导思路

        商业银行在构建自主可控的信息系统整体体系架构时,一方面通过自主研发的途径,开发出符合自身特点的应用系统以满足业务需求;另一方面采用自主设计的做法,组合使用不同厂商的技术产品,以异构的方式实现产品技术上的扬长避短和相互补充。同时,在外部厂商技术产品的使用上,也应在充分消化吸收的基础上,做到知其形、究其因、懂其理,进而探讨自主研发予以替换和实现的可行性,掌握技术的主动权。因此,商业银行“自主可控”信息系统并不是以国产产品技术简单替换国外产品,而是建立在自主规划设计的基础上,做到“因我所需,为我所用”。

        2.体系架构的整体把控与设计是落实“自主可控”的关键

        商业银行通过自主规划的顶层设计思路落实“自主可控”。在信息系统的整体防护体系架构设计上,商业银行应关注体系架构的整体把控,自主设计并建立起软硬件架构体系,着力研究体系中各个系统端到端的整体设计,在不同环节应用不同技术,合理进行技术组合,实现对体系架构整体的自主可控,进而在信息系统的整体防护体系架构设计和各个系统端到端整体设计的过程中,实现可管理、可监控和过程可审计。这好比在汽车领域,一个国内车企如果只是简单地把国外整车引进销售,不掌握关键技术,就会失去话语权,被动接受国外车企的各种要求,但如果动力系统、转向系统、刹车和底盘、主动安全与被动安全系统以及外形设计等都由国内车企自行研发设计,即便使用的零部件来自于国内外企业的全球采购,技术主动权和零部件选择权仍掌握在国内车企手中,不会因所使用的零部件而受制于人。

        因此,不能简单地认为使用国内产品就一定是安全的,使用国外产品就一定是不安全的。简单地对产品和技术进行替换将造成商业银行科技建设成本的增加,同时,也将对商业银行信息系统的整体风险留下隐患。商业银行只有立足于自主整体规划和设计才能掌握技术控制权、选择权和主动权。国内外厂商在为银行提供具体的软硬件产品和技术服务的同时,更应该帮助商业银行提高其信息系统的自主规划设计能力。

        3.实现产品及技术的异构组合是实现系统端到端“自主可控”的途径

        商业银行不可能自主研发所有需使用的软硬件产品,因此在选择外部软硬件产品时,在符合国家政策和监管要求的原则下,需要通过产品的异构组合实现整个系统的端到端自主可控。例如,国家在网银系统的各个环节上都有明确的规范和出台了认证要求,商业银行在网银系统设计与实现上,应在严格遵守国家相关要求的同时,在客户端安全控件、认证介质、硬件证书、软件证书、认证数据传输加密算法等网银系统的多个层面和处理流程上,通过合理的技术组合实现“自主可控”体系。

        4.符合国家政策和监管要求是落实“自主可控”的基本底线

        商业银行在构建自身信息系统体系架构时,不管使用国内还是国外的技术,必须在符合国家的相关政策和监管要求的基础上,基于自行设计的体系架构,建立商业银行自身的、与之配套的信息系统体系标准、管理制度和规范体系,以及监控和审计体系,实现对整体体系架构和各系统的管理、监控和过程审计。同时,商业银行也应在遵照国家政策要求和监管要求的基础上,以满足商业银行整体体系架构需求为前提,积极推动国产软硬件技术和产品的使用,积极使用优秀的国产产品作为整个架构体系中不可或缺的异构组件。同时,商业银行要合法使用正版的国内外软硬件产品,充分保障相关正当权益。

 1 2 下一页 尾页

扫码即可手机
阅读转发此文

本文评论

相关文章

频道最近更新

频道热门文章