解讀銀行業自主可控新規:方向明確 路在腳下
解讀背景
4月16日《華爾街日報》報道稱,中國已暫停實施銀行業安全新規,等待征集意見并修訂后再實施。報道稱,在中國銀監會和工業和信息化部聯合發布的通知文件中稱,中國銀行和技術官員將對此征求銀行機構的反饋,然后對新規做出修訂,何時重新實施還需等待進一步的通知。
“為穩步合理推進銀行業信息安全,該規定將被修訂和完善,然后再重新發布和實施。”
之前中國發布的銀行業安全新規,給美國企業帶來極大的影響。美國政府和商業組織紛紛表示,該規定若得到執行,將對國外技術公司造成非常不利的影響。
隨著棱鏡門事件的爆發,網絡安全受到前所未有的關注。中央網絡安全和信息化領導小組的成立,習近平主席“沒有網絡安全就沒有國家安全”等指示的提出,無不表明網絡安全已經上升到國家層面。
而作為信息化程度最深的銀行業更是首當其沖,2014年9月,銀監會印發《關于應用安全可控信息技術加強銀行業網絡安全和信息化建設的指導意見》,提出到2019年,安全可控信息技術在銀行業總體達到75%左右使用率的總體目標,要求銀行業金融機構應將提升網絡安全保障能力和信息化建設能力納入戰略目標,將安全可控信息技術應用納入戰略規劃。
《指導意見》明確“自主可控”戰略要求
針對我國銀行業主要軟硬件設施由外資廠商提供,關鍵設備及軟件不能自主生產存在金融安全隱患的現狀,《指導意見》明確提出四大原則,即堅持開放合作、鼓勵自主創新、發揮市場作用、加強協同合作。要求銀行業建立應用安全可控信息技術的長效機制,避免對單一產品或技術的依賴,通過自主創新,以銀行業信息化需求培育和帶動市場,形成“需求拉動、產業推動、科研驅動”的良性循環,以實現整體架構自主設計、核心應用自主研發、核心知識自主掌握、關鍵技術自主應用的最終目的。
在應用安全可控信息技術的推進方面,指導意見也提出,當前重點在網絡設備、存儲、中低端服務器、信息安全、運維服務、文字處理軟件等領域,在操作系統、數據庫等領域要加大探索和嘗試力度;從2015年起,各銀行業金融機構對安全可控信息技術的應用以不低于15%的比例逐年增加,直至2019年達到不低于75%的總體占比。同時,從2015年起,銀行業金融機構應安排不低于5%的年度信息化預算,專門用于支持本機構圍繞安全可控信息系統開展前瞻性、創新性和規劃性研究,支持本機構掌握信息化核心知識和技能。
《推進指南》加速“自主可控”落地實施
為推動安全可控信息技術在銀行業的落地應用,根據《關于應用安全可控信息技術加強銀行業網絡安全和信息化建設的指導意見》,銀監會、工業和信息化部聯合編制了《銀行業應用安全可控信息技術推進指南(2014-2015年度)》。該指南旨在對《指導意見》提出的總體目標、任務要求、工作措施均予以細化,對銀行業信息化所涉及的技術、產品及服務明確安全可控要求,制定評價標準,從應用和研究兩大方向細化任務要求,以指導和促進銀行業金融機構賬務信息化核心知識和關鍵技術。
《推進指南》指明了安全可控技術中技術風險、外包風險和供應鏈風險的定義,建立了銀行業信息技術資產分類目錄和安全可控指標,要求銀行業從組織領導、工作規劃、財務預算、制度流程、架構規劃等方面加大自主可控戰略的推進力度,明確指出2015年應至少實現一種基于安全可控信息技術的數據級災備方案。
為保障自主可控戰略的實施,銀監會還于《推進指南》中明確表示,將從安全可控信息技術使用率、重要信息系統可控率和研究工作開展情況等重點指標予以評估。同時要求各級工業和信息化主管部門應做好適用技術、產品、服務及典型解決方案推介,推動需求對接。
國內廠商積極布局
自主可控戰略對所有國內的IT廠商而言是一個集體盛宴,幾乎所有的國產廠商都開始積極應對和布局,紛紛提出了自己的自主可控實施戰略。安全牛收集了目前市場上各類技術主流的國內代表廠商,供大家參考。
IT基礎設施代表廠商:聯想、浪潮、華為、中科曙光、華勝天成、銳捷網絡、龍芯中科、新岸線、江南計算機所等
平臺軟件代表廠商:操作系統–中標軟件、普華基礎軟件、深度Deepin;數據庫軟件—南大通用、人大金倉、達夢數據庫;中間件—東方通、金蝶中間件;系統管理軟件—東軟、用友、華勝天成、神州泰岳、北塔軟件等
信息安全產品代表廠商:啟明星辰、綠盟、天融信、網神、東軟、北信源、衛士通、安恒、明朝萬達等
專業IT服務代表廠商:系統集成—神州數碼、太極股份、華勝天成;安全咨詢—谷安天下、中電長城網際等商業銀行積極探索
在積極推動信息系統軟硬件國產化方面,中國郵儲銀行已經成為我國金融行業中的標桿。針對國產化推進、新技術應用可能帶來的信息安全挑戰,郵儲銀行已經啟動信息科技風險管控體系專題規劃,建立信息系統全生命周期的安全管控機制,在規劃、開發、實施、上線、運行及下線各環節加強信息系統全過程安全管控,構建未來5年信息安全發展體系架構。
該行目前已成功創新開發并應用了小型機核心系統技術,并完成了對達夢、通用、人大金倉等國產關系型數據庫的兩輪評測工作以及對東方通、金蝶、中創等國產應用中間件的評測工作,不僅有效支撐了銀行的戰略轉型和業務發展,也為國家實現“自主可控”戰略探索出了一條道路。
工商銀行根據監管部門的有關要求,在“自主可控”戰略的實施方面做了一些具體工作:
1.堅持走自主研發的技術創新道路,支持業務全面發展
2.通過頂層設計構建自主技術架構體系,實現技術整體把控
3.通過自主研發實現關鍵業務系統風險管理的“自主可控”,降低信息泄漏風險。
據安全牛調查了解,幾乎所有的商業銀行目前都將自主可控戰略如何落地作為一個非常重要的研究課題在積極探索。
待續
“自主可控”成為加強銀行業信息科技建設的核心之一,這是國家安全的戰略要求,也是時代發展的必然趨勢。銀行業如何做到持續提升網絡安全保障能力和信息化建設水平,如何逐步推進和實現“自主可控”戰略,安全牛將持續保持關注并進行跟蹤分析和深入報道。
原文地址:http://www.aqniu.com/news/7349.html
