編者按：在金融行業(yè)日漸成為國民經(jīng)濟(jì)重要基石的當(dāng)下，從信息安全乃至國家經(jīng)濟(jì)安全的長遠(yuǎn)戰(zhàn)略出發(fā)，銀監(jiān)會適時(shí)提出了“安全可控”的意見和要求，并在2015年初制定和發(fā)布了銀行業(yè)應(yīng)用安全可控信息技術(shù)的年度推進(jìn)指南文件。針對銀監(jiān)會提出的信息化安全可控的戰(zhàn)略目標(biāo)，銀行業(yè)科技人員普遍認(rèn)為，安全可控并不是簡單地產(chǎn)品替換，實(shí)質(zhì)上是進(jìn)行新一代架構(gòu)提升。要快速實(shí)現(xiàn)銀行業(yè)信息化安全可控的戰(zhàn)略目標(biāo)，需要在平臺化思路的指引下實(shí)施“基礎(chǔ)設(shè)施的平臺化、數(shù)據(jù)管理的平臺化、業(yè)務(wù)流程的平臺化、應(yīng)用開發(fā)的平臺化、運(yùn)營監(jiān)控的平臺化、科技管理的平臺化”。在這樣的前提下，“安全自主平臺化”既是銀行業(yè)信息化征程的最好概括和歷史寫照，也是銀行業(yè)信息化發(fā)展的重要目標(biāo)與演進(jìn)方法。

2014年9月3日，中國銀監(jiān)會、國家發(fā)展改革委員會、科技部以及工業(yè)和信息化部聯(lián)合發(fā)布《關(guān)于應(yīng)用安全可控信息技術(shù)加強(qiáng)銀行業(yè)網(wǎng)絡(luò)安全和信息化建設(shè)的指導(dǎo)意見》（銀監(jiān)發(fā)[2014]39號，簡稱39號文），明確將安全可控信息技術(shù)應(yīng)用納入銀行業(yè)戰(zhàn)略規(guī)劃。在指導(dǎo)意見中提出和強(qiáng)調(diào)“建立銀行業(yè)應(yīng)用安全可控信息技術(shù)的長效機(jī)制，制定配套政策，建立推進(jìn)平臺，大力推廣使用能夠滿足銀行業(yè)信息安全需求，技術(shù)風(fēng)險(xiǎn)、外包風(fēng)險(xiǎn)和供應(yīng)鏈風(fēng)險(xiǎn)可控的信息技術(shù)”，并制定安全可控的量化目標(biāo)，即“到2019年，掌握銀行業(yè)信息化的核心知識和關(guān)鍵技術(shù)……安全可控信息技術(shù)在銀行業(yè)總體達(dá)到75%左右的使用率”。這是銀監(jiān)會在“棱鏡門”事件暴發(fā)之后及信息安全形勢日益復(fù)雜嚴(yán)峻的國際背景下第一次旗幟鮮明地倡導(dǎo)和要求銀行業(yè)認(rèn)真、具體地對待信息技術(shù)的安全可控。

從歷史的緯度來看，中國銀行業(yè)的電子化、信息化已經(jīng)走過了30多年的歷程。以上世紀(jì)80年代中后期中國人民銀行的電子聯(lián)行（EIS）項(xiàng)目為標(biāo)志（同期商業(yè)銀行中，中國銀行和中國工商銀行完成引進(jìn)IBM的SAFE系統(tǒng)），以90年代初期的“金卡工程”為旗幟，以90年代末期中國工商銀行啟動的“9991”數(shù)據(jù)大集中工程為里程碑，以2006年現(xiàn)代化支付系統(tǒng)全國推廣應(yīng)用為關(guān)鍵節(jié)點(diǎn)，銀行業(yè)的信息化建設(shè)一步一個(gè)堅(jiān)實(shí)的腳印，開創(chuàng)了當(dāng)前金融行業(yè)信息化發(fā)展的新局面。中國人民銀行科技司原司長陸靜對這個(gè)跨越式的階段概括性地總結(jié)為“沒有信息化，就沒有今天的現(xiàn)代金融服務(wù)”。在銀行業(yè)數(shù)十年轟轟烈烈的信息化建設(shè)過程中，為業(yè)務(wù)單位快速實(shí)現(xiàn)業(yè)務(wù)處理的現(xiàn)代化和銀行業(yè)經(jīng)營管理的現(xiàn)代化，幾代金融科技工作者做出了不可磨滅的貢獻(xiàn)，取得了豐碩的成果。當(dāng)然，我們也應(yīng)該看到，在這個(gè)過程中，無論是信息化起步初期的引進(jìn)11套M-150中型計(jì)算機(jī)系統(tǒng)（日立公司提供），還是當(dāng)前銀行業(yè)信息化在網(wǎng)絡(luò)設(shè)備、存儲設(shè)備、服務(wù)器、操作系統(tǒng)、數(shù)據(jù)庫軟件、中間件產(chǎn)品等廣泛存在的硬、軟件兩個(gè)方面，都是國外企業(yè)或產(chǎn)品大行其道。這個(gè)局面的形成存在著不可逆轉(zhuǎn)的歷史原因，也與國家整體信息化發(fā)展的程度和水平息息相關(guān)。在信息安全形勢驟然變化和加劇的情況下，特別是隨著國內(nèi)信息化在硬、軟件兩方面都得到長足發(fā)展和進(jìn)步的前提下，從信息安全乃至國家經(jīng)濟(jì)安全的長遠(yuǎn)戰(zhàn)略出發(fā)，銀監(jiān)會提出安全可控的意見和要求，不僅十分必要，而且理應(yīng)是銀行業(yè)信息化工作的重中之重。

圖1-銀行業(yè)信息化階段性歷程

客觀地說，銀行業(yè)信息化的安全可控既要充分認(rèn)清它的作用和意義，同時(shí)也要清醒地認(rèn)識和了解推進(jìn)這項(xiàng)工作的復(fù)雜性和艱巨性。任何激進(jìn)或片面的行動，不僅無助于安全可控目標(biāo)的實(shí)現(xiàn)，反而會適得其反，產(chǎn)生對目標(biāo)達(dá)成的疑慮和畏懼心理或過高估計(jì)、強(qiáng)調(diào)實(shí)現(xiàn)過程的困難程度。據(jù)目前了解，銀監(jiān)會在2015年初，已經(jīng)制定和發(fā)布了銀行業(yè)應(yīng)用安全可控信息技術(shù)的年度推進(jìn)指南文件，從“2014年度銀行業(yè)信息技術(shù)情況專題調(diào)研”開始，摸清銀行業(yè)信息技術(shù)的使用情況，了解和掌握銀行業(yè)在計(jì)算機(jī)設(shè)備、網(wǎng)絡(luò)設(shè)備、存儲設(shè)備、安全設(shè)備、通用軟件和基礎(chǔ)設(shè)施等10大類信息化及技術(shù)方面對廠商或產(chǎn)品的應(yīng)用信息，為下一步工作的意見指導(dǎo)、行動推進(jìn)建立數(shù)據(jù)基礎(chǔ)。這是一個(gè)非常良好的開端，有了準(zhǔn)確、詳盡和翔實(shí)的數(shù)據(jù)信息，銀行業(yè)信息化的安全可控才有著力點(diǎn)和出發(fā)點(diǎn)。

我們也欣喜地看到，針對銀監(jiān)會提出的信息化安全可控的戰(zhàn)略目標(biāo)，銀行業(yè)科技人員也有自己的思考。普遍認(rèn)為，安全可控并不是簡單地產(chǎn)品替換，在互聯(lián)網(wǎng)發(fā)展以及技術(shù)創(chuàng)新日新月異的當(dāng)前，銀行業(yè)要在信息化方面更上層樓，需要在安全可控的基礎(chǔ)上進(jìn)行新一代的架構(gòu)改變，通過整體規(guī)劃、自主研發(fā)等手段牢牢地掌握信息化的主動權(quán)，最終為銀行業(yè)的金融服務(wù)和支持快速創(chuàng)新提供基礎(chǔ)。中國工商銀行首席信息官林曉軒撰文指出，商業(yè)銀行落實(shí)銀監(jiān)會安全可控的要求，應(yīng)該主要通過信息系統(tǒng)體系架構(gòu)的總體頂層設(shè)計(jì)和主要信息系統(tǒng)的自主研發(fā)，實(shí)現(xiàn)對科技信息風(fēng)險(xiǎn)的可管理、可監(jiān)控和可審計(jì)。廣發(fā)銀行首席信息技術(shù)官王兵在關(guān)于安全可控的文章中提出，按照監(jiān)管機(jī)構(gòu)的信息科技建設(shè)戰(zhàn)略要求，銀行業(yè)除了需要積極推進(jìn)實(shí)施基礎(chǔ)軟硬件國產(chǎn)化和持續(xù)提升核心技術(shù)自主研發(fā)能力以外，還需要國內(nèi)信息產(chǎn)業(yè)協(xié)同構(gòu)建銀行業(yè)信息技術(shù)自主可控的生態(tài)鏈。這些理性、務(wù)實(shí)和睿智的聲音，激蕩著銀行業(yè)信息化安全可控的目標(biāo)縱使在復(fù)雜而艱難的環(huán)境下仍然毫不動搖地向前推進(jìn)。

我們更需要看到，部分銀行（包括政策性銀行、商業(yè)銀行和農(nóng)信社）已經(jīng)在安全可控的道路上構(gòu)建了重要的基礎(chǔ)。這些前瞻性的舉措既體現(xiàn)了銀行業(yè)科技者的智慧和眼光，也是對銀監(jiān)會提出的安全可控的遙遠(yuǎn)的呼應(yīng)。以堅(jiān)持走自主研發(fā)的技術(shù)創(chuàng)新道路的中國工商銀行為例，早在2003年即投入科技骨干研發(fā)自主可控的應(yīng)用（CTP）平臺，并在2011年前后與國內(nèi)領(lǐng)先的基礎(chǔ)平臺軟件廠商普元合作，共同研發(fā)和發(fā)布了新一代Java應(yīng)用基礎(chǔ)平臺（CTP 5），以此作為工商銀行J2EE類應(yīng)用系統(tǒng)的技術(shù)基礎(chǔ)，指導(dǎo)和規(guī)范相應(yīng)業(yè)務(wù)系統(tǒng)的設(shè)計(jì)、開發(fā)和測試、運(yùn)行，從技術(shù)架構(gòu)到開發(fā)實(shí)現(xiàn)做到完全自主掌控。在銀行業(yè)，從應(yīng)用平臺入手從而進(jìn)行安全可控的，還有包括中國建設(shè)銀行、國家開發(fā)銀行、交通銀行、中信銀行、興業(yè)銀行、浦發(fā)銀行、山東省農(nóng)信社等在內(nèi)的更多的名單。這些銀行業(yè)的代表在信息化的過程中從樸素的自主可控思想出發(fā)，在多年以后與監(jiān)管機(jī)構(gòu)的要求建立起前后關(guān)聯(lián)，與其對其間的暗合充滿瑰麗的想象，不如對先行者對信息安全的關(guān)注與重視致以敬意。在金融行業(yè)日漸成為國民經(jīng)濟(jì)重要基石的當(dāng)下，銀行業(yè)的安全可控已經(jīng)不是孤立存在，與國家安全和人民生活都緊密相關(guān)。

銀行業(yè)信息化的安全可控涉及到基礎(chǔ)設(shè)施、技術(shù)、供應(yīng)鏈以及外包等各個(gè)方面，應(yīng)用平臺的自主可控只是在技術(shù)方面的特定環(huán)節(jié)和外包相關(guān)的技術(shù)服務(wù)起到積極的促進(jìn)作用，其他方面尚有待采取其他有效措施。但是，從實(shí)施應(yīng)用基礎(chǔ)平臺的過程和效果來看，建立起相應(yīng)的平臺，實(shí)質(zhì)上是建立起相關(guān)方面的標(biāo)準(zhǔn)、制度和規(guī)范，并運(yùn)用這些標(biāo)準(zhǔn)與規(guī)范在銀行內(nèi)加強(qiáng)管理和發(fā)揮功效，這一點(diǎn)對銀行業(yè)信息化的安全可控來說，才是最重要、最核心的價(jià)值。換言之，通過平臺化的思想梳理和建立銀行業(yè)信息化的各個(gè)主要方面的標(biāo)準(zhǔn)和制度，并以平臺化的方式進(jìn)行包括設(shè)備、技術(shù)在內(nèi)的幾個(gè)方面進(jìn)行管理和發(fā)展，是銀行業(yè)已經(jīng)實(shí)踐和證明行之有效的策略，在銀監(jiān)會突出強(qiáng)調(diào)安全可控的新形勢下，更要進(jìn)一步理解和掌握平臺化的方法與內(nèi)涵，充分運(yùn)用這個(gè)有力的武器和方法，加快銀行業(yè)安全可控的實(shí)現(xiàn)。

圖2-銀行業(yè)信息化平臺方式架構(gòu)示意

從銀行業(yè)信息化安全可控的幾個(gè)方面來看，平臺化是重要的依據(jù)和指導(dǎo)，在平臺化思路的指引下實(shí)施“基礎(chǔ)設(shè)施的平臺化、數(shù)據(jù)管理的平臺化、業(yè)務(wù)流程的平臺化、應(yīng)用開發(fā)的平臺化、運(yùn)營監(jiān)控的平臺化、科技管理的平臺化”，那么銀行業(yè)信息化安全可控的戰(zhàn)略目標(biāo)能夠快速地予以實(shí)現(xiàn)。當(dāng)前信息技術(shù)的高度發(fā)展，特別是虛擬化技術(shù)的出現(xiàn)和成熟，對于基礎(chǔ)設(shè)施（包括計(jì)算機(jī)設(shè)備、存儲設(shè)備、數(shù)據(jù)庫等）的平臺化已經(jīng)做好了準(zhǔn)備，中國銀聯(lián)在這個(gè)方面已經(jīng)邁進(jìn)了一大步，積累了豐富的行業(yè)經(jīng)驗(yàn)。在數(shù)據(jù)管理方面，從元數(shù)據(jù)的管理到數(shù)據(jù)標(biāo)準(zhǔn)、數(shù)據(jù)質(zhì)量以及數(shù)據(jù)倉庫等，各家銀行或多或少地建立了相應(yīng)的應(yīng)用，需要的是從數(shù)據(jù)平臺化的角度來審視和規(guī)劃。國家開發(fā)銀行在數(shù)據(jù)管理的平臺化方面已經(jīng)做了不少的工作，值得借鑒其中的方法和經(jīng)驗(yàn)。去年年中浦發(fā)銀行開展和實(shí)施的業(yè)務(wù)流程管理平臺項(xiàng)目第一次以全行視角進(jìn)行業(yè)務(wù)流程的應(yīng)用與管理，流程平臺化的地位和價(jià)值才得以真正的彰顯。應(yīng)用的平臺化已經(jīng)有了不少的典型，不再贅述，但需要強(qiáng)調(diào)的是，在應(yīng)用的平臺化中，對軟件的測試環(huán)節(jié)也要給予相應(yīng)的規(guī)劃和支持。運(yùn)營監(jiān)控的平臺化是一個(gè)大的主題，包括集成、部署、運(yùn)行、監(jiān)控、分析和彈性調(diào)整等多個(gè)方面的內(nèi)容。在科技管理的平臺化中，寧波銀行在2014年已經(jīng)開始建設(shè)和一期投入運(yùn)行，將科技建設(shè)的方方面面進(jìn)行系統(tǒng)化的管理。總而言之，通過上述幾個(gè)方面的平臺化，銀行業(yè)信息化的安全可控將綱舉目張，卓有成效。另外，在平臺化的過程中，特別是在基礎(chǔ)設(shè)施的平臺化過程中，只要建立起相關(guān)的國家或行業(yè)標(biāo)準(zhǔn)，并加強(qiáng)對軟、硬件產(chǎn)品的認(rèn)證與審查，不管是哪家廠商何種性質(zhì)的產(chǎn)品或技術(shù)都可以為我所用，銀行業(yè)信息化的安全可控進(jìn)程同樣是積極的、開放的。

圖3-銀行業(yè)信息化發(fā)展歷程概括

中國銀行業(yè)從手工替代、聯(lián)機(jī)實(shí)時(shí)處理到數(shù)據(jù)大集中等幾個(gè)階段的信息化發(fā)展歷程被行業(yè)專家歸納為“業(yè)務(wù)操作自動化、信息處理網(wǎng)絡(luò)化、社會服務(wù)多元化和經(jīng)營管理信息化”，在新的時(shí)代環(huán)境和技術(shù)創(chuàng)新、變革的前提下，再加上“安全自主平臺化”，則既是銀行業(yè)信息化征程的最好概括和歷史寫照，也是銀行業(yè)信息化發(fā)展的重要目標(biāo)與演進(jìn)方法。銀監(jiān)會在新的階段適時(shí)提出安全可控的信息化要求，本質(zhì)上可以進(jìn)一步理解為在大數(shù)據(jù)、云計(jì)算以及移動互聯(lián)等新興技術(shù)充分發(fā)展的條件下進(jìn)行銀行業(yè)信息化的新一代架構(gòu)提升，本次提升包括安全可控這個(gè)主要的命題，同樣還包括支持金融業(yè)務(wù)創(chuàng)新等時(shí)代話題。銀行業(yè)需要以銀監(jiān)會提出的信息技術(shù)安全可控為重要契機(jī)，大力開展信息化的各項(xiàng)研究及建設(shè)工作，推進(jìn)中國銀行業(yè)在信息化建設(shè)方面達(dá)到開創(chuàng)的、領(lǐng)先的歷史新階段。

作者簡介：

焦烈焱 普元信息CTO。長期致力于分布式環(huán)境的企業(yè)計(jì)算、 SOA與云計(jì)算技術(shù)研究與實(shí)踐，組織完成了一系列相關(guān)產(chǎn)品的研發(fā)工作，包括SOA應(yīng)用平臺、以BPM /ESB為核心的業(yè)務(wù)集成平臺、以復(fù)雜事件處理/數(shù)據(jù)治理/作業(yè)調(diào)度為核心的大數(shù)據(jù)平臺。對企業(yè)應(yīng)用技術(shù)架構(gòu)有著深刻理解，主持了中國工商銀行、中國建設(shè)銀行等多家大型企業(yè)技術(shù)平臺的規(guī)劃與研發(fā)。著有《SOA中國路線圖—實(shí)施版》一書。

吳宗明 普元信息華南區(qū)技術(shù)總監(jiān)。從2005年起一直為金融行業(yè)提供技術(shù)服務(wù)，歷經(jīng)中國工商銀行新一代Java應(yīng)用基礎(chǔ)平臺、中國建設(shè)銀行組件化平臺等多家銀行應(yīng)用平臺的規(guī)劃、研發(fā)與實(shí)施。在交通銀行、廣東省農(nóng)信社以及柳州銀行等地負(fù)責(zé)和指導(dǎo)了科技管理平臺方面的規(guī)劃與建設(shè)。