安全可控需要积极稳妥的推进
- 来源:中国计算机报 smarty:if $article.tag?>
- 关键字:中国金融,银行,安全可控 smarty:/if?>
- 发布时间:2014-11-18 13:17
——中国金融CIO联盟理事长陈天晴谈银行业的安全可控
银行业对信息系统安全的需求除了通常意义上的数据安全、网络安全等之外,还要保障整个信息系统的安全性、可靠性和服务的及时性、持续性、可恢复性。因此,银行信息系统安全可控的重要性不言而喻。
2014年10月底,在中国网络安全大会2014(China Network Security Conference 2014,简称NSC2014)上,中国金融CIO联盟理事长陈天晴就信息安全、国产化替代和“去IOE”等话题给出了自己的解读。
安全非常重要 但需要一个过程
银行业也是IT应用最早、最普遍、最深入的领域之一。随着信息化的发展,从上世纪80年代一直到现在,银行业相继推出了很多创新的金融服务,包括网上银行、移动银行、手机银行、私人银行、金融超市、互联网金融。
这些金融服务其实都是建立在近几十年来银行信息化不断积累的基础上,没有银行的信息化系统、强大的支付系统和银联系统,就没有现在的支付宝、余额宝或其他各种支付方式。
一般来说,银行业在电子化、信息化的建设过程中一直都是同步建设起信息安全系统,基本可保障整个银行业信息系统的安全运行,保障客户账户资金安全的同时也保障业务的持续运行。不过,到目前为止,我国中大型银行核心业务的组织系统的确都是国外品牌,包括数据库管理系统、中间件等。
安全是相对的 永远没有绝对的安全
安全是相对的,永远没有绝对的安全,我们必须正确地看待安全。
首先,正确处理开放和安全的关系。安全不等于闭关锁国,关起门来也不一定就安全;安全也不等于拒绝使用国际的先进技术,在当前的互联网时代,一味地拒绝肯定是行不通的。其次,正确处理安全和发展的关系。坚持抓好发展是我国当前的第一要务,所以,陈天晴一直以来的观点就是,以安全保障发展,安全不是目的是一个手段。发展是目标,以发展促进安全,不发展最不安全。
生活中处处都有风险,例如,食品安全、环境安全、交通安全、卫生医疗安全。安全问题永远都存在,即使安全问题没有彻底解决,我们也必须生活。不过,对于银行业来说,要努力将风险限制在相对可控的范围内。
安全的需求是随着发展而变化
社会有了新发展,新的安全问题还会不断涌现出来。目前,银行已经进入了互联网时代,特别是移动互联网的兴盛,对于银行信息系统有更多、更高、更新的需求。下一阶段的银行业将以综合服务为中心,以移动互联网为主要渠道,强化客户体验,提供全能型服务的智慧型银行服务。
有很多安全的事情要研究,但是需要一边发展一边研究,不能等到研究好了再去发展。银行有一条原则是不变的,就是服务于国民经济的发展、服务于民生的宗旨,其他都在变。
从安全的角度来看,银行有灾难备份和恢复,有互联网业务的安全,有信息安全管理体系的建设。当然,银行业还有一个层次更高的IT治理。从应用的角度来看,银行有大数据应用,有基于互联网金融的应用,这是目前的发展重点。但是这个框架不是打倒重来,而是在原来的基础上再发展。
目前,银行业的发展进入了一个新的时代。我国政府和用户对信息系统的安全可控提出了更高的要求。2014年9月份,银监会发布了《关于应用安全可控信息技术加强银行业网络安全和信息化建设的指导意见》(银监发[2014]39号文)。“39号文”明确提出,到2019年,掌握银行业信息化的核心知识和关键技术;实现银行业关键网络和信息基础设施的合理分布,关键设施和服务的集中度风险得到有效缓解;安全可控信息技术在银行业总体达到75%左右的使用率。
安全可控需实事求是、积极稳妥的推进
最近,中国工商银行提出了“四位一体”的信息安全体系,包括组织体系、制度规范、技术手段和管理措施等,并指出,安全可控绝不仅仅是技术问题,更是组织制度和管理的问题。
就目前银行的基本情况和配套能力,银行业作为信息技术的应用部门,首先要努力实现的应该是应用级的安全可控。不能因为服务器芯片不是自己的,操作系统也不是自己的,就觉得不安全可控。银行业不可能自己去组建一个芯片生产系统,也不可能再开发一套操作系统。在目前的基础上,银行要努力实现的首先是应用系统的安全可控,这是最应该做的事,也是能做到的事。
“去IOE”不等于国产化
“去IOE”是当前最敏感的话题。但是,陈天晴表示,银行业没有提过这类口号。
在讨论“IOE”之前,陈天晴首先明确其含义:如果把它理解成“去”IBM、Oracle、EMC公司的所有产品和服务,进而“去”所有国外产品和服务,那么这样的“去IOE”是不可能实现的;如果把“去IOE”理解为“去”以IBM的Unix小型机、Oracle的数据库管理系统、EMC的存储系统为代表的传统封闭式数据处理技术架构,取而代之以Linux的x86 PC服务器、内部数据处理系统和云存储的开发式云架构。这样的“去IOE”可以进行积极的探讨,因为前后两个含义是完全不同的。
陈天晴不提倡用“去”,建议用“迁移”或“重构”更准确。从技术角度来看,这不是非此即彼,应该选择适合于银行业务和应用场景的IT架构。从目前来看,银行核心的账户系统对数据的一致性、客户信息安全性和系统运行稳定性要求极高,这实际上也是我国政府和客户对银行的要求,不是银行自己的要求。
但是,对于基于互联网的业务,可以用开放式的云架构来实现。尽管如此,这也一定是市场行为。
因此,“去IOE”不等于国产化,两者不能划等号。毋庸置疑,银行业必须支持国内IT产业,但是支持的前提是必须遵循实事求是、循序渐进的原则:能做什么先做什么,能用什么先用什么。
安全可控与国产化
陈天晴分享中国建设银行自主可控的国产化实践过程:一是对于成熟的外围硬件产品开展平等竞争;二是对于已比较成熟的非核心软件产品,要采取各种措施,积极推进国产化;三是对于逐步成熟的国产核心硬件产品,要加快国产化替代的进度;四是对于暂时没有国产替代产品的门类,要通过架构调整或新技术应用,降低相关产品在整体架构中的使用比例;五是对于国内缺少成熟商用产品的基础软件,需要银行与产、研部门长期战略合作,共同孵化;六是在部分领域,试用开源技术产品作为国产化“缺口”的补充。
陈天晴认为,中国建设银行提出的这六大措施比较具体,也比较容易落地。
国产化与安全可控是相关的,但是并不是等同的关系。国产化本身也不是安全可控的全部,产学研用需要积极的配合。
目前,陈天晴希望银行业能够更密切地贴近用户,把国产化的产品和技术拿来先进行小范围试用,有很多的事要做出效果来才敢大规模商用。银行业首先必须保障业务的持续运营和服务能力,不能让银行业本身安全都出现问题。
本报记者 涂兰敬