压在透明的玻璃上c-国产精品国产一级A片精品免费-国产精品视频网-成人黄网站18秘 免费看|www.tcsft.com

關(guān)于銀行信息系統(tǒng)安全可控的思考

金融信息系統(tǒng)安全可控這個(gè)重要性不用多講，大家都知道，安全是非常重要的，也一直是我們努力的目標(biāo)。作為金融來說，金融的安全當(dāng)然是關(guān)系到整個(gè)全社會(huì)的問題，金融作為IT的使用是最普遍、最深入的領(lǐng)域之一。而它的服務(wù)又牽扯到我們?nèi)鐣?huì)，包括在座的所有人，所以它的安全和發(fā)展都是大家關(guān)心的問題。我今天想從六個(gè)方面談一下自己的看法，不一定全面，不一定跟大家的理解一致，供大家交流和參考。

第一，安全是一個(gè)永恒的話題，其重要性怎么講都不過分。

剛才我們公安部的陸處長(zhǎng)做了一個(gè)很好的開篇。這個(gè)重要性我不想多講了，現(xiàn)在講得更多了。但是我講金融的特點(diǎn)，銀行業(yè)信息系統(tǒng)的安全需求除了我們通常意義上大家講的數(shù)據(jù)安全、網(wǎng)絡(luò)安全等等信息安全以外，我們還有一個(gè)對(duì)于整個(gè)信息系統(tǒng)的安全性、可靠性以及服務(wù)的及時(shí)性、持續(xù)性的考慮，持續(xù)性最大的特點(diǎn)就是每天24小時(shí)，一年365天都要服務(wù)，而且這個(gè)服務(wù)是可持續(xù)、可恢復(fù)的，不能中間因?yàn)槟承┦录嗔艘院缶驮僖膊豢苫謴?fù)了，這是一個(gè)很大的特點(diǎn)。所以我們銀行業(yè)在電子化、信息化的建設(shè)過程當(dāng)中一直都是同步建設(shè)起信息安全系統(tǒng)。應(yīng)該講，基本保障了整個(gè)銀行業(yè)信息系統(tǒng)的安全運(yùn)行，保障了客戶帳戶的資金安全，也保障了業(yè)務(wù)的持續(xù)運(yùn)行。30多年來我們沒有發(fā)生過顛覆性的安全故障，謝天謝地，其實(shí)我們有很多的環(huán)節(jié)，對(duì)付重大的天災(zāi)人禍還不那么有把握，但是好在沒有發(fā)生重大的安全問題，所以我們謝天謝地。在這種情況下，我們有力的支持和引領(lǐng)了銀行業(yè)30多年的飛躍式發(fā)展。從而有力的支持了我們國(guó)民經(jīng)濟(jì)30多年的大發(fā)展，這是對(duì)于我們國(guó)家很大的一個(gè)貢獻(xiàn)。

這個(gè)圖（PPT）描述了銀行信息化發(fā)展歷史。在上世紀(jì)70年代我們基本上都是手工的，用算盤的，可能很多人都沒有體驗(yàn)過那種狀態(tài)了80年代以后我們進(jìn)入了電子化時(shí)代，到本世紀(jì)以后我們叫信息化時(shí)代。從2005年開始，我們應(yīng)該叫互聯(lián)網(wǎng)時(shí)代。我們互聯(lián)網(wǎng)其實(shí)提得很早，從2000年以后我們一直開展網(wǎng)絡(luò)互動(dòng)。但是到2005年，移動(dòng)互聯(lián)網(wǎng)的出現(xiàn)之后，我們更加強(qiáng)調(diào)這個(gè)事情。有人說2014年是互聯(lián)網(wǎng)金融元年，我們說在元年的前10年就開始了。我講這些是為了下面的鋪墊，其實(shí)是一個(gè)發(fā)展過程，我們用的設(shè)備也是慢慢發(fā)展的，也不是憑空掉下來的。到目前為止，我們中大型銀行核心業(yè)務(wù)的組織系統(tǒng)的確都是國(guó)外品牌，我們的數(shù)據(jù)庫(kù)管理系統(tǒng)、中間件也都是國(guó)外品牌，這是一個(gè)事實(shí)，這也是一個(gè)發(fā)展過程。

隨著信息化的發(fā)展，我們推出了很多金融創(chuàng)新的服務(wù)，這是上世紀(jì)80年代、90年代，一直到現(xiàn)在，現(xiàn)在我們講的是網(wǎng)上銀行、移動(dòng)銀行、手機(jī)銀行、私人銀行、金融超市、互聯(lián)網(wǎng)金融，還有很多這個(gè)寶或者那個(gè)寶。其實(shí)是非常艱苦，非常艱辛的一個(gè)過程，投入了大量的人力和物力的過程。現(xiàn)在大家享受到了方便的金融服務(wù)，包括我們支付寶的服務(wù)，包括我們現(xiàn)在所謂的余額寶，其實(shí)都是建筑在幾十年來銀行信息化不斷羅列的過程中，沒有銀行的信息化系統(tǒng)、強(qiáng)大的支付系統(tǒng)和銀聯(lián)系統(tǒng)，就沒有我們現(xiàn)在所謂的支付寶、余額寶或者其他的各種支付，它是建立在這個(gè)基礎(chǔ)之上的。

這是我講的第一個(gè)問題，我們還是很重視安全的，但是需要有一個(gè)過程。

第二，安全是相對(duì)的，永遠(yuǎn)沒有絕對(duì)的安全，我們不能把安全絕對(duì)化。

什么是安全？我前不久看到湯博在《核電安全的基本問題》當(dāng)中到了三個(gè)方面，我是比較認(rèn)同的。一是利益足夠大、代價(jià)可承受，則可認(rèn)可其是安全的，這是一個(gè)相對(duì)概念；二是安全是利益和代價(jià)的平衡，沒有一件事情只有利沒有弊；三是安全是可接受的風(fēng)險(xiǎn)。

所以我們可以講，我們做安全的同事當(dāng)然是非常強(qiáng)調(diào)安全，但是從整體上考慮，我們雖然講安全非常重要，但是也不能講絕對(duì)化，絕對(duì)化是做不到的事。在目前來講，我覺得我們必須這樣認(rèn)識(shí)：

一是正確處理開放和安全的關(guān)系。

我們講安全提的口號(hào)比較多，我覺得安全不等于閉關(guān)鎖國(guó)，說關(guān)起門來就安全了。也不等于我們拒絕使用國(guó)際的先進(jìn)技術(shù)，要知道我們現(xiàn)在是國(guó)際互聯(lián)網(wǎng)的時(shí)代，拒絕肯定是不可以的。

二是正確處理安全和發(fā)展的關(guān)系。

我非常高興的看到習(xí)主席9月30日國(guó)慶的記者招待會(huì)上講到了八個(gè)堅(jiān)持，其中一條堅(jiān)持就是必須堅(jiān)持抓好發(fā)展這一第一要?jiǎng)?wù)，不知道大家注意到?jīng)]有。

所以我一直以來的觀點(diǎn)就是，以安全保障發(fā)展，安全不是我們的目的，應(yīng)該是一個(gè)手段。發(fā)展是我們的目標(biāo)，以發(fā)展促進(jìn)安全。不發(fā)展最不安全。30年前我們沒有想到30年后我們?cè)趪?guó)際上能有這么高的地位，并不是其他的原因，是因?yàn)槲覀儼l(fā)展了，我們發(fā)展了，地位就上去了。我們還有一個(gè)比較絕對(duì)的話，說這個(gè)沒做好，那個(gè)沒做好，好像就不能再往下做了，我不同意這樣的主張，我們不能等到所謂安全了才發(fā)展。因?yàn)槲覀兩钪刑幪幎加酗L(fēng)險(xiǎn)，我們有食品安全、環(huán)境安全、交通安全、衛(wèi)生醫(yī)療安全。我前兩天做飯的時(shí)候把手切了一個(gè)口子，這也是安全問題。但是我們必須生活，不能說這些問題沒有解決我們就不生活了。只不過要努力的將風(fēng)險(xiǎn)限制在相對(duì)可控的范圍內(nèi)，我覺得這個(gè)可控也是相對(duì)的，不是絕對(duì)的。

第三，安全的需求是隨著發(fā)展而變化的。

跟前面幾條是一樣的道理，有了發(fā)展，新的安全問題就出來了。目前銀行已經(jīng)進(jìn)入了互聯(lián)網(wǎng)時(shí)代，特別是移動(dòng)互聯(lián)網(wǎng)時(shí)代，對(duì)于銀行信息系統(tǒng)有更多、更高、更新的需求。我們的銀行從電子化、信息化到互聯(lián)網(wǎng)化，我們從用戶的界面來講，可以說從原來的算盤開始，銀行過去用的就是算盤，后來就是鍵盤，再后來就是鼠標(biāo)，現(xiàn)在我們大家都用的是滑屏，這是在客戶來講表現(xiàn)出來的大概就是這么一個(gè)過程。

下一階段的銀行，我們講是以綜合服務(wù)為中心的智慧型銀行，以服務(wù)為中心，以移動(dòng)互聯(lián)網(wǎng)為主要渠道，強(qiáng)化客戶體驗(yàn)，提供全能型服務(wù)的智慧銀行。Kank3.0描繪了，“銀行不再是一個(gè)地方，而是一種行為”，我們有很多安全的事情要研究，但是我們真是邊發(fā)展，邊研究，我們不是等到研究好了再去發(fā)展，這個(gè)好像走不通。銀行只有一條不變，我覺得就是服務(wù)于國(guó)民經(jīng)濟(jì)的發(fā)展，服務(wù)于民生的宗旨是不變的，其他的都在變。

PPT上顯示紅色的部分是我們重點(diǎn)的部分，從安全方面來講，我們有災(zāi)難備份和恢復(fù)，有互聯(lián)網(wǎng)業(yè)務(wù)的安全，有信息安全管理體系的建設(shè)。當(dāng)然我們還有一個(gè)IT治理的層次更高，從應(yīng)用來說，我們有大數(shù)據(jù)應(yīng)用，有基于互聯(lián)網(wǎng)金融的應(yīng)用，這是我們目前的發(fā)展重點(diǎn)。但是這個(gè)框架不是打倒重來，只能在原來的基礎(chǔ)上再發(fā)展。

目前來說，銀行發(fā)展進(jìn)入了新的時(shí)代，對(duì)于信息系統(tǒng)的安全可控提出了更高的要求。最近銀監(jiān)會(huì)聯(lián)合工信部和四個(gè)部委一起發(fā)了文，【2014】39號(hào)文，題目是《關(guān)于應(yīng)用安全可控信息技術(shù)，加強(qiáng)銀行業(yè)網(wǎng)絡(luò)安全和信息化建設(shè)的指導(dǎo)意見》，在這里面提出了很多要求，明確要求到2019年掌握銀行與信息化的核心技術(shù)和關(guān)鍵技術(shù)，實(shí)現(xiàn)銀行業(yè)關(guān)鍵網(wǎng)絡(luò)和核心設(shè)施的分布，使服務(wù)設(shè)施的集中度和風(fēng)險(xiǎn)得到有效緩解，關(guān)鍵設(shè)施和服務(wù)臺(tái)集中了，就是一個(gè)風(fēng)險(xiǎn)。安全可控的信息技術(shù)在銀行業(yè)總體要達(dá)到75%左右的使用率，這是銀監(jiān)會(huì)和四部委的一個(gè)目標(biāo)。

第四，安全可控需實(shí)事求是，積極穩(wěn)妥的推進(jìn)。

比如我們最近幾家銀行的科技部門領(lǐng)導(dǎo)都發(fā)表了他們?nèi)绾伍_展安全可控工作的文章。如果大家比較感興趣，可以到網(wǎng)上查一查。例如，工商銀行科技部的總經(jīng)理提的《構(gòu)建“四位一體”的信息安全體系》；建設(shè)銀行提的《“產(chǎn)”、“用”戰(zhàn)略聯(lián)動(dòng)，推進(jìn)信息化自主可控制進(jìn)程》；廣東發(fā)展銀行提的《總體規(guī)劃，穩(wěn)步實(shí)施，通力協(xié)作，推進(jìn)信息技術(shù)自主可控》等，大家可以查一查，找出你們需要的地方。舉一個(gè)例子，比如工行認(rèn)為“四位一體”的信息安全體系包括組織體系、制度規(guī)范、技術(shù)手段和管理措施。安全可控絕不僅僅是技術(shù)問題，更大的可能是組織制度和管理問題。

從我個(gè)人的角度來講，基于我們目前的情況和我們配套的能力，我覺得銀行業(yè)作為信息技術(shù)的應(yīng)用部門，它首先努力實(shí)現(xiàn)的應(yīng)該是應(yīng)用級(jí)的安全可控。比如人家說芯片不是我們自己的，操作系統(tǒng)也不是我們自己的，就覺得不安全可控。我覺得如果要改變這個(gè)狀態(tài)，那就不是銀行部門的事了，是我們整個(gè)國(guó)家的事。但是在目前的基礎(chǔ)上，要努力做的首先就是應(yīng)用系統(tǒng)要安全可控，我覺得這是我們最應(yīng)該做的事，也是能做的事。銀行業(yè)不可能自己去搞一個(gè)芯片生產(chǎn)系統(tǒng)，也不可能再去搞一個(gè)操作系統(tǒng)，當(dāng)然操作系統(tǒng)很復(fù)雜，我們不是手機(jī)操作系統(tǒng)，像IBM那么大型的，他們自己都不敢推倒重來。

第五，關(guān)于去IOE。

這是很敏感的，今天來的安全廠商比較多，這一類的廠商不多。這個(gè)口號(hào)我查了一下，銀行沒有提過，我沒有查到這個(gè)口號(hào)。首先我覺得應(yīng)該明確去IOE的含義，如果理解成去IBM、Oracle、EMC公司的所有產(chǎn)品和服務(wù)，進(jìn)而去所有國(guó)外產(chǎn)品和服務(wù)，我覺得如果這樣的話不可能，也不能為之，這是我的觀點(diǎn)。如果是指去以IBM的Unix小型機(jī)、Oracle的數(shù)據(jù)庫(kù)管理系統(tǒng)、EMC的儲(chǔ)存系統(tǒng)為代表的傳統(tǒng)的封閉式數(shù)據(jù)處理技術(shù)機(jī)構(gòu)，代之以Linux的X86PC服務(wù)器、內(nèi)部數(shù)據(jù)處理系統(tǒng)和云存儲(chǔ)的開發(fā)式云架構(gòu)，我覺得這個(gè)可以積極探討，這兩個(gè)是不一樣的概念。

我不提倡用“去”，我覺得這個(gè)詞也不太好，我建議以后用“遷移”或者是“重構(gòu)”，這是從技術(shù)角度來講。從技術(shù)角度上看，不是非此即彼，應(yīng)該選擇適合的業(yè)務(wù)和應(yīng)用場(chǎng)景。從目前來看，銀行核心的帳戶系統(tǒng)對(duì)數(shù)據(jù)的一致性、客戶信息安全性和系統(tǒng)運(yùn)行穩(wěn)定性要求極高，這實(shí)際上也是我們政府和客戶對(duì)銀行的要求，不是銀行自己的要求。像交行的ATM系統(tǒng)停了10分鐘，大家都叫苦連天，所以這是客戶的要求。這個(gè)事情不要輕易的為之，要慢慢來。但是對(duì)于其他的，尤其是基于互聯(lián)網(wǎng)的創(chuàng)業(yè)業(yè)務(wù)，我覺得可以努力的用開放式的云架構(gòu)來實(shí)現(xiàn)。但是最后也是市場(chǎng)行為，不能用政治口號(hào)。我覺得去IOE也不等于國(guó)產(chǎn)化，這兩個(gè)不能劃等號(hào)。

第六，安全可控與國(guó)產(chǎn)化。

首先毋庸置疑，我們必須支持國(guó)內(nèi)產(chǎn)業(yè)，但是支持也必須遵循實(shí)事求是、循序漸進(jìn)的原則，能做什么先做什么，能用什么先用什么。

在這里推薦一下建行自主可控國(guó)產(chǎn)化的實(shí)踐，不是說它已經(jīng)做到了，而是它正在努力。分幾種情況：一是對(duì)于成熟的外圍硬件產(chǎn)品可以開展同等競(jìng)爭(zhēng)。還是談到競(jìng)爭(zhēng)，要市場(chǎng)行為。比如PC機(jī)，比如桌面的管理系統(tǒng)等等，他是用平等競(jìng)爭(zhēng)，不是不競(jìng)爭(zhēng)；二是對(duì)于已比較成熟的非核心軟件產(chǎn)品，要采取各種措施，積極推進(jìn)國(guó)產(chǎn)化；三是對(duì)于逐步成熟的國(guó)產(chǎn)核心硬件產(chǎn)品，要加快國(guó)產(chǎn)化替代的進(jìn)度；四是對(duì)于暫時(shí)沒有國(guó)產(chǎn)替代產(chǎn)品的門類，要通過架構(gòu)調(diào)整或新技術(shù)應(yīng)用，降低相關(guān)產(chǎn)品在整體架構(gòu)中的使用比例；五是對(duì)于國(guó)內(nèi)缺少成熟商用產(chǎn)品的基礎(chǔ)軟件，需要銀行與產(chǎn)、研部門長(zhǎng)期戰(zhàn)略合作，共同孵化；六是在部分領(lǐng)域，試用開源技術(shù)產(chǎn)品作為國(guó)產(chǎn)化“缺口”的補(bǔ)充。我覺得建設(shè)銀行提的六個(gè)措施比較具體，也是可以落地的，這樣進(jìn)行可能比較妥善。

國(guó)產(chǎn)化跟安全可控是相關(guān)的，但是并不是等于的關(guān)系，說國(guó)產(chǎn)化就安全可控，我覺得這個(gè)不能劃等號(hào)。國(guó)產(chǎn)化本身也不是安全可控的全部，產(chǎn)學(xué)研用需要積極的配合，當(dāng)然政府是我們的領(lǐng)導(dǎo)。目前從我的感覺來說，我特別希望企業(yè)能夠更密切的貼近用戶，銀行很慎重，用一個(gè)東西非常慎重，要把你拿過來進(jìn)行測(cè)試，小范圍試用，有很多的事要做他才敢用。如果企業(yè)聯(lián)系得不太緊密，他就很難做，這是我的看法。

最重要的是我們必須保障銀行業(yè)本身的安全可控，不要到最后銀行業(yè)本身安全都有問題了，可控不了了。要保證銀行業(yè)務(wù)的持續(xù)運(yùn)營(yíng)和服務(wù)能力，這也是我們國(guó)家對(duì)于銀行業(yè)的要求。銀行做到了安全可控，也是對(duì)企業(yè)發(fā)展的支持。如果銀行搞得很懸乎，我覺得這個(gè)企業(yè)的支持也就很難了。

可能今天的會(huì)議當(dāng)中我歲數(shù)最大，我曾經(jīng)在獨(dú)立自主、自力更生的環(huán)境下做國(guó)產(chǎn)機(jī)的系統(tǒng)軟件差不多20年，我又在開放的環(huán)境下做了差不多20年的銀行或者金融的信息化應(yīng)用，我的體會(huì)是做事情不容易，成事更難。

最后我還是以習(xí)主席9月30日的講話作為我今天發(fā)言的總結(jié)，就是我們要強(qiáng)調(diào)發(fā)展，發(fā)展才能自強(qiáng)，科學(xué)發(fā)展才能永續(xù)發(fā)展，謝謝大家！