平台化是银行业信息化“安全可控”的重要方法


 2015-03-12 15:09:29       764

平台化是银行业信息化“安全可控”的重要方法

                                          作者 焦烈焱 吴宗明

编者按:在金融行业日渐成为国民经济重要基石的当下,从信息安全乃至国家经济安全的长远战略出发,银监会适时提出了“安全可控”的意见和要求,并在2015年初制定和发布了银行业应用安全可控信息技术的年度推进指南文件。针对银监会提出的信息化安全可控的战略目标,银行业科技人员普遍认为,安全可控并不是简单地产品替换,实质上是进行新一代架构提升。要快速实现银行业信息化安全可控的战略目标,需要在平台化思路的指引下实施“基础设施的平台化、数据管理的平台化、业务流程的平台化、应用开发的平台化、运营监控的平台化、科技管理的平台化”。在这样的前提下,“安全自主平台化”既是银行业信息化征程的最好概括和历史写照,也是银行业信息化发展的重要目标与演进方法。

2014年9月3日,中国银监会、国家发展改革委员会、科技部以及工业和信息化部联合发布《关于应用安全可控信息技术加强银行业网络安全和信息化建设的指导意见》(银监发[2014]39号,简称39号文),明确将安全可控信息技术应用纳入银行业战略规划。在指导意见中提出和强调“建立银行业应用安全可控信息技术的长效机制,制定配套政策,建立推进平台,大力推广使用能够满足银行业信息安全需求,技术风险、外包风险和供应链风险可控的信息技术”,并制定安全可控的量化目标,即“到2019年,掌握银行业信息化的核心知识和关键技术……安全可控信息技术在银行业总体达到75%左右的使用率”。这是银监会在“棱镜门”事件暴发之后及信息安全形势日益复杂严峻的国际背景下第一次旗帜鲜明地倡导和要求银行业认真、具体地对待信息技术的安全可控。

从历史的纬度来看,中国银行业的电子化、信息化已经走过了30多年的历程。以上世纪80年代中后期中国人民银行的电子联行(EIS)项目为标志(同期商业银行中,中国银行和中国工商银行完成引进IBM的SAFE系统),以90年代初期的“金卡工程”为旗帜,以90年代末期中国工商银行启动的“9991”数据大集中工程为里程碑,以2006年现代化支付系统全国推广应用为关键节点,银行业的信息化建设一步一个坚实的脚印,开创了当前金融行业信息化发展的新局面。中国人民银行科技司原司长陆静对这个跨越式的阶段概括性地总结为“没有信息化,就没有今天的现代金融服务”。在银行业数十年轰轰烈烈的信息化建设过程中,为业务单位快速实现业务处理的现代化和银行业经营管理的现代化,几代金融科技工作者做出了不可磨灭的贡献,取得了丰硕的成果。当然,我们也应该看到,在这个过程中,无论是信息化起步初期的引进11套M-150中型计算机系统(日立公司提供),还是当前银行业信息化在网络设备、存储设备、服务器、操作系统、数据库软件、中间件产品等广泛存在的硬、软件两个方面,都是国外企业或产品大行其道。这个局面的形成存在着不可逆转的历史原因,也与国家整体信息化发展的程度和水平息息相关。在信息安全形势骤然变化和加剧的情况下,特别是随着国内信息化在硬、软件两方面都得到长足发展和进步的前提下,从信息安全乃至国家经济安全的长远战略出发,银监会提出安全可控的意见和要求,不仅十分必要,而且理应是银行业信息化工作的重中之重。

 

图1-银行业信息化阶段性历程

客观地说,银行业信息化的安全可控既要充分认清它的作用和意义,同时也要清醒地认识和了解推进这项工作的复杂性和艰巨性。任何激进或片面的行动,不仅无助于安全可控目标的实现,反而会适得其反,产生对目标达成的疑虑和畏惧心理或过高估计、强调实现过程的困难程度。据目前了解,银监会在2015年初,已经制定和发布了银行业应用安全可控信息技术的年度推进指南文件,从“2014年度银行业信息技术情况专题调研”开始,摸清银行业信息技术的使用情况,了解和掌握银行业在计算机设备、网络设备、存储设备、安全设备、通用软件和基础设施等10大类信息化及技术方面对厂商或产品的应用信息,为下一步工作的意见指导、行动推进建立数据基础。这是一个非常良好的开端,有了准确、详尽和翔实的数据信息,银行业信息化的安全可控才有着力点和出发点。

我们也欣喜地看到,针对银监会提出的信息化安全可控的战略目标,银行业科技人员也有自己的思考。普遍认为,安全可控并不是简单地产品替换,在互联网发展以及技术创新日新月异的当前,银行业要在信息化方面更上层楼,需要在安全可控的基础上进行新一代的架构改变,通过整体规划、自主研发等手段牢牢地掌握信息化的主动权,最终为银行业的金融服务和支持快速创新提供基础。中国工商银行首席信息官林晓轩撰文指出,商业银行落实银监会安全可控的要求,应该主要通过信息系统体系架构的总体顶层设计和主要信息系统的自主研发,实现对科技信息风险的可管理、可监控和可审计。广发银行首席信息技术官王兵在关于安全可控的文章中提出,按照监管机构的信息科技建设战略要求,银行业除了需要积极推进实施基础软硬件国产化和持续提升核心技术自主研发能力以外,还需要国内信息产业协同构建银行业信息技术自主可控的生态链。这些理性、务实和睿智的声音,激荡着银行业信息化安全可控的目标纵使在复杂而艰难的环境下仍然毫不动摇地向前推进。

我们更需要看到,部分银行(包括政策性银行、商业银行和农信社)已经在安全可控的道路上构建了重要的基础。这些前瞻性的举措既体现了银行业科技者的智慧和眼光,也是对银监会提出的安全可控的遥远的呼应。以坚持走自主研发的技术创新道路的中国工商银行为例,早在2003年即投入科技骨干研发自主可控的应用(CTP)平台,并在2011年前后与国内领先的基础平台软件厂商普元合作,共同研发和发布了新一代Java应用基础平台(CTP 5),以此作为工商银行J2EE类应用系统的技术基础,指导和规范相应业务系统的设计、开发和测试、运行,从技术架构到开发实现做到完全自主掌控。在银行业,从应用平台入手从而进行安全可控的,还有包括中国建设银行、国家开发银行、交通银行、中信银行、兴业银行、浦发银行、山东省农信社等在内的更多的名单。这些银行业的代表在信息化的过程中从朴素的自主可控思想出发,在多年以后与监管机构的要求建立起前后关联,与其对其间的暗合充满瑰丽的想象,不如对先行者对信息安全的关注与重视致以敬意。在金融行业日渐成为国民经济重要基石的当下,银行业的安全可控已经不是孤立存在,与国家安全和人民生活都紧密相关。

银行业信息化的安全可控涉及到基础设施、技术、供应链以及外包等各个方面,应用平台的自主可控只是在技术方面的特定环节和外包相关的技术服务起到积极的促进作用,其他方面尚有待采取其他有效措施。但是,从实施应用基础平台的过程和效果来看,建立起相应的平台,实质上是建立起相关方面的标准、制度和规范,并运用这些标准与规范在银行内加强管理和发挥功效,这一点对银行业信息化的安全可控来说,才是最重要、最核心的价值。换言之,通过平台化的思想梳理和建立银行业信息化的各个主要方面的标准和制度,并以平台化的方式进行包括设备、技术在内的几个方面进行管理和发展,是银行业已经实践和证明行之有效的策略,在银监会突出强调安全可控的新形势下,更要进一步理解和掌握平台化的方法与内涵,充分运用这个有力的武器和方法,加快银行业安全可控的实现。

图2-银行业信息化平台方式架构示意

从银行业信息化安全可控的几个方面来看,平台化是重要的依据和指导,在平台化思路的指引下实施“基础设施的平台化、数据管理的平台化、业务流程的平台化、应用开发的平台化、运营监控的平台化、科技管理的平台化”,那么银行业信息化安全可控的战略目标能够快速地予以实现。当前信息技术的高度发展,特别是虚拟化技术的出现和成熟,对于基础设施(包括计算机设备、存储设备、数据库等)的平台化已经做好了准备,中国银联在这个方面已经迈进了一大步,积累了丰富的行业经验。在数据管理方面,从元数据的管理到数据标准、数据质量以及数据仓库等,各家银行或多或少地建立了相应的应用,需要的是从数据平台化的角度来审视和规划。国家开发银行在数据管理的平台化方面已经做了不少的工作,值得借鉴其中的方法和经验。去年年中浦发银行开展和实施的业务流程管理平台项目第一次以全行视角进行业务流程的应用与管理,流程平台化的地位和价值才得以真正的彰显。应用的平台化已经有了不少的典型,不再赘述,但需要强调的是,在应用的平台化中,对软件的测试环节也要给予相应的规划和支持。运营监控的平台化是一个大的主题,包括集成、部署、运行、监控、分析和弹性调整等多个方面的内容。在科技管理的平台化中,宁波银行在2014年已经开始建设和一期投入运行,将科技建设的方方面面进行系统化的管理。总而言之,通过上述几个方面的平台化,银行业信息化的安全可控将纲举目张,卓有成效。另外,在平台化的过程中,特别是在基础设施的平台化过程中,只要建立起相关的国家或行业标准,并加强对软、硬件产品的认证与审查,不管是哪家厂商何种性质的产品或技术都可以为我所用,银行业信息化的安全可控进程同样是积极的、开放的。

图3-银行业信息化发展历程概括

中国银行业从手工替代、联机实时处理到数据大集中等几个阶段的信息化发展历程被行业专家归纳为“业务操作自动化、信息处理网络化、社会服务多元化和经营管理信息化”,在新的时代环境和技术创新、变革的前提下,再加上“安全自主平台化”,则既是银行业信息化征程的最好概括和历史写照,也是银行业信息化发展的重要目标与演进方法。银监会在新的阶段适时提出安全可控的信息化要求,本质上可以进一步理解为在大数据、云计算以及移动互联等新兴技术充分发展的条件下进行银行业信息化的新一代架构提升,本次提升包括安全可控这个主要的命题,同样还包括支持金融业务创新等时代话题。银行业需要以银监会提出的信息技术安全可控为重要契机,大力开展信息化的各项研究及建设工作,推进中国银行业在信息化建设方面达到开创的、领先的历史新阶段。

作者简介:

焦烈焱 普元信息CTO。长期致力于分布式环境的企业计算、 SOA与云计算技术研究与实践,组织完成了一系列相关产品的研发工作,包括SOA应用平台、以BPM /ESB为核心的业务集成平台、以复杂事件处理/数据治理/作业调度为核心的大数据平台。对企业应用技术架构有着深刻理解,主持了中国工商银行、中国建设银行等多家大型企业技术平台的规划与研发。著有《SOA中国路线图—实施版》一书。

吴宗明 普元信息华南区技术总监。从2005年起一直为金融行业提供技术服务,历经中国工商银行新一代Java应用基础平台、中国建设银行组件化平台等多家银行应用平台的规划、研发与实施。在交通银行、广东省农信社以及柳州银行等地负责和指导了科技管理平台方面的规划与建设。

相关阅读: