NSC2014中国金融CIO联盟理事长陈天晴

关于银行信息系统安全可控的思考

金融信息系统安全可控这个重要性不用多讲,大家都知道,安全是非常重要的,也一直是我们努力的目标。作为金融来说,金融的安全当然是关系到整个全社会的问题,金融作为IT的使用是最普遍、最深入的领域之一。而它的服务又牵扯到我们全社会,包括在座的所有人,所以它的安全和发展都是大家关心的问题。我今天想从六个方面谈一下自己的看法,不一定全面,不一定跟大家的理解一致,供大家交流和参考。

20141023102133100

第一,安全是一个永恒的话题,其重要性怎么讲都不过分。

刚才我们公安部的陆处长做了一个很好的开篇。这个重要性我不想多讲了,现在讲得更多了。但是我讲金融的特点,银行业信息系统的安全需求除了我们通常意义上大家讲的数据安全、网络安全等等信息安全以外,我们还有一个对于整个信息系统的安全性、可靠性以及服务的及时性、持续性的考虑,持续性最大的特点就是每天24小时,一年365天都要服务,而且这个服务是可持续、可恢复的,不能中间因为某些事件断了以后就再也不可恢复了,这是一个很大的特点。所以我们银行业在电子化、信息化的建设过程当中一直都是同步建设起信息安全系统。应该讲,基本保障了整个银行业信息系统的安全运行,保障了客户帐户的资金安全,也保障了业务的持续运行。30多年来我们没有发生过颠覆性的安全故障,谢天谢地,其实我们有很多的环节,对付重大的天灾人祸还不那么有把握,但是好在没有发生重大的安全问题,所以我们谢天谢地。在这种情况下,我们有力的支持和引领了银行业30多年的飞跃式发展。从而有力的支持了我们国民经济30多年的大发展,这是对于我们国家很大的一个贡献。

这个图(PPT)描述了银行信息化发展历史。在上世纪70年代我们基本上都是手工的,用算盘的,可能很多人都没有体验过那种状态了80年代以后我们进入了电子化时代,到本世纪以后我们叫信息化时代。从2005年开始,我们应该叫互联网时代。我们互联网其实提得很早,从2000年以后我们一直开展网络互动。但是到2005年,移动互联网的出现之后,我们更加强调这个事情。有人说2014年是互联网金融元年,我们说在元年的前10年就开始了。我讲这些是为了下面的铺垫,其实是一个发展过程,我们用的设备也是慢慢发展的,也不是凭空掉下来的。到目前为止,我们中大型银行核心业务的组织系统的确都是国外品牌,我们的数据库管理系统、中间件也都是国外品牌,这是一个事实,这也是一个发展过程。

随着信息化的发展,我们推出了很多金融创新的服务,这是上世纪80年代、90年代,一直到现在,现在我们讲的是网上银行、移动银行、手机银行、私人银行、金融超市、互联网金融,还有很多这个宝或者那个宝。其实是非常艰苦,非常艰辛的一个过程,投入了大量的人力和物力的过程。现在大家享受到了方便的金融服务,包括我们支付宝的服务,包括我们现在所谓的余额宝,其实都是建筑在几十年来银行信息化不断罗列的过程中,没有银行的信息化系统、强大的支付系统和银联系统,就没有我们现在所谓的支付宝、余额宝或者其他的各种支付,它是建立在这个基础之上的。

这是我讲的第一个问题,我们还是很重视安全的,但是需要有一个过程。

第二,安全是相对的,永远没有绝对的安全,我们不能把安全绝对化。

什么是安全?我前不久看到汤博在《核电安全的基本问题》当中到了三个方面,我是比较认同的。一是利益足够大、代价可承受,则可认可其是安全的,这是一个相对概念;二是安全是利益和代价的平衡,没有一件事情只有利没有弊;三是安全是可接受的风险。

所以我们可以讲,我们做安全的同事当然是非常强调安全,但是从整体上考虑,我们虽然讲安全非常重要,但是也不能讲绝对化,绝对化是做不到的事。在目前来讲,我觉得我们必须这样认识:

一是正确处理开放和安全的关系。

我们讲安全提的口号比较多,我觉得安全不等于闭关锁国,说关起门来就安全了。也不等于我们拒绝使用国际的先进技术,要知道我们现在是国际互联网的时代,拒绝肯定是不可以的。

二是正确处理安全和发展的关系。

我非常高兴的看到习主席9月30日国庆的记者招待会上讲到了八个坚持,其中一条坚持就是必须坚持抓好发展这一第一要务,不知道大家注意到没有。

所以我一直以来的观点就是,以安全保障发展,安全不是我们的目的,应该是一个手段。发展是我们的目标,以发展促进安全。不发展最不安全。30年前我们没有想到30年后我们在国际上能有这么高的地位,并不是其他的原因,是因为我们发展了,我们发展了,地位就上去了。我们还有一个比较绝对的话,说这个没做好,那个没做好,好像就不能再往下做了,我不同意这样的主张,我们不能等到所谓安全了才发展。因为我们生活中处处都有风险,我们有食品安全、环境安全、交通安全、卫生医疗安全。我前两天做饭的时候把手切了一个口子,这也是安全问题。但是我们必须生活,不能说这些问题没有解决我们就不生活了。只不过要努力的将风险限制在相对可控的范围内,我觉得这个可控也是相对的,不是绝对的。

第三,安全的需求是随着发展而变化的。

跟前面几条是一样的道理,有了发展,新的安全问题就出来了。目前银行已经进入了互联网时代,特别是移动互联网时代,对于银行信息系统有更多、更高、更新的需求。我们的银行从电子化、信息化到互联网化,我们从用户的界面来讲,可以说从原来的算盘开始,银行过去用的就是算盘,后来就是键盘,再后来就是鼠标,现在我们大家都用的是滑屏,这是在客户来讲表现出来的大概就是这么一个过程。

下一阶段的银行,我们讲是以综合服务为中心的智慧型银行,以服务为中心,以移动互联网为主要渠道,强化客户体验,提供全能型服务的智慧银行。Kank3.0描绘了,“银行不再是一个地方,而是一种行为”,我们有很多安全的事情要研究,但是我们真是边发展,边研究,我们不是等到研究好了再去发展,这个好像走不通。银行只有一条不变,我觉得就是服务于国民经济的发展,服务于民生的宗旨是不变的,其他的都在变。

PPT上显示红色的部分是我们重点的部分,从安全方面来讲,我们有灾难备份和恢复,有互联网业务的安全,有信息安全管理体系的建设。当然我们还有一个IT治理的层次更高,从应用来说,我们有大数据应用,有基于互联网金融的应用,这是我们目前的发展重点。但是这个框架不是打倒重来,只能在原来的基础上再发展。

目前来说,银行发展进入了新的时代,对于信息系统的安全可控提出了更高的要求。最近银监会联合工信部和四个部委一起发了文,【2014】39号文,题目是《关于应用安全可控信息技术,加强银行业网络安全和信息化建设的指导意见》,在这里面提出了很多要求,明确要求到2019年掌握银行与信息化的核心技术和关键技术,实现银行业关键网络和核心设施的分布,使服务设施的集中度和风险得到有效缓解,关键设施和服务台集中了,就是一个风险。安全可控的信息技术在银行业总体要达到75%左右的使用率,这是银监会和四部委的一个目标。

第四,安全可控需实事求是,积极稳妥的推进。

比如我们最近几家银行的科技部门领导都发表了他们如何开展安全可控工作的文章。如果大家比较感兴趣,可以到网上查一查。例如,工商银行科技部的总经理提的《构建“四位一体”的信息安全体系》;建设银行提的《“产”、“用”战略联动,推进信息化自主可控制进程》;广东发展银行提的《总体规划,稳步实施,通力协作,推进信息技术自主可控》等,大家可以查一查,找出你们需要的地方。举一个例子,比如工行认为“四位一体”的信息安全体系包括组织体系、制度规范、技术手段和管理措施。安全可控绝不仅仅是技术问题,更大的可能是组织制度和管理问题。

从我个人的角度来讲,基于我们目前的情况和我们配套的能力,我觉得银行业作为信息技术的应用部门,它首先努力实现的应该是应用级的安全可控。比如人家说芯片不是我们自己的,操作系统也不是我们自己的,就觉得不安全可控。我觉得如果要改变这个状态,那就不是银行部门的事了,是我们整个国家的事。但是在目前的基础上,要努力做的首先就是应用系统要安全可控,我觉得这是我们最应该做的事,也是能做的事。银行业不可能自己去搞一个芯片生产系统,也不可能再去搞一个操作系统,当然操作系统很复杂,我们不是手机操作系统,像IBM那么大型的,他们自己都不敢推倒重来。

第五,关于去IOE。

这是很敏感的,今天来的安全厂商比较多,这一类的厂商不多。这个口号我查了一下,银行没有提过,我没有查到这个口号。首先我觉得应该明确去IOE的含义,如果理解成去IBM、Oracle、EMC公司的所有产品和服务,进而去所有国外产品和服务,我觉得如果这样的话不可能,也不能为之,这是我的观点。如果是指去以IBM的Unix小型机、Oracle的数据库管理系统、EMC的储存系统为代表的传统的封闭式数据处理技术机构,代之以Linux的X86PC服务器、内部数据处理系统和云存储的开发式云架构,我觉得这个可以积极探讨,这两个是不一样的概念。

我不提倡用“去”,我觉得这个词也不太好,我建议以后用“迁移”或者是“重构”,这是从技术角度来讲。从技术角度上看,不是非此即彼,应该选择适合的业务和应用场景。从目前来看,银行核心的帐户系统对数据的一致性、客户信息安全性和系统运行稳定性要求极高,这实际上也是我们政府和客户对银行的要求,不是银行自己的要求。像交行的ATM系统停了10分钟,大家都叫苦连天,所以这是客户的要求。这个事情不要轻易的为之,要慢慢来。但是对于其他的,尤其是基于互联网的创业业务,我觉得可以努力的用开放式的云架构来实现。但是最后也是市场行为,不能用政治口号。我觉得去IOE也不等于国产化,这两个不能划等号。

第六,安全可控与国产化。

首先毋庸置疑,我们必须支持国内产业,但是支持也必须遵循实事求是、循序渐进的原则,能做什么先做什么,能用什么先用什么。

在这里推荐一下建行自主可控国产化的实践,不是说它已经做到了,而是它正在努力。分几种情况:一是对于成熟的外围硬件产品可以开展同等竞争。还是谈到竞争,要市场行为。比如PC机,比如桌面的管理系统等等,他是用平等竞争,不是不竞争;二是对于已比较成熟的非核心软件产品,要采取各种措施,积极推进国产化;三是对于逐步成熟的国产核心硬件产品,要加快国产化替代的进度;四是对于暂时没有国产替代产品的门类,要通过架构调整或新技术应用,降低相关产品在整体架构中的使用比例;五是对于国内缺少成熟商用产品的基础软件,需要银行与产、研部门长期战略合作,共同孵化;六是在部分领域,试用开源技术产品作为国产化“缺口”的补充。我觉得建设银行提的六个措施比较具体,也是可以落地的,这样进行可能比较妥善。

国产化跟安全可控是相关的,但是并不是等于的关系,说国产化就安全可控,我觉得这个不能划等号。国产化本身也不是安全可控的全部,产学研用需要积极的配合,当然政府是我们的领导。目前从我的感觉来说,我特别希望企业能够更密切的贴近用户,银行很慎重,用一个东西非常慎重,要把你拿过来进行测试,小范围试用,有很多的事要做他才敢用。如果企业联系得不太紧密,他就很难做,这是我的看法。

最重要的是我们必须保障银行业本身的安全可控,不要到最后银行业本身安全都有问题了,可控不了了。要保证银行业务的持续运营和服务能力,这也是我们国家对于银行业的要求。银行做到了安全可控,也是对企业发展的支持。如果银行搞得很悬乎,我觉得这个企业的支持也就很难了。

可能今天的会议当中我岁数最大,我曾经在独立自主、自力更生的环境下做国产机的系统软件差不多20年,我又在开放的环境下做了差不多20年的银行或者金融的信息化应用,我的体会是做事情不容易,成事更难。

最后我还是以习主席9月30日的讲话作为我今天发言的总结,就是我们要强调发展,发展才能自强,科学发展才能永续发展,谢谢大家!

 

上一篇:周鸿祎:网络黑暗势力将目标逐步转至移动终端

下一篇:沈逸:沉着应对美国网络安全新攻势