/ 中存储网

解读银行业自主可控新规:方向明确 路在脚下

2016-07-23 12:06:59 来源:安全牛王小瑞

解读背景

4月16日《华尔街日报》报道称,中国已暂停实施银行业安全新规,等待征集意见并修订后再实施。报道称,在中国银监会和工业和信息化部联合发布的通知文件中称,中国银行和技术官员将对此征求银行机构的反馈,然后对新规做出修订,何时重新实施还需等待进一步的通知。

“为稳步合理推进银行业信息安全,该规定将被修订和完善,然后再重新发布和实施。”

之前中国发布的银行业安全新规,给美国企业带来极大的影响。美国政府和商业组织纷纷表示,该规定若得到执行,将对国外技术公司造成非常不利的影响。

随着棱镜门事件的爆发,网络安全受到前所未有的关注。中央网络安全和信息化领导小组的成立,习近平主席“没有网络安全就没有国家安全”等指示的提出,无不表明网络安全已经上升到国家层面。

而作为信息化程度最深的银行业更是首当其冲,2014年9月,银监会印发《关于应用安全可控信息技术加强银行业网络安全和信息化建设的指导意见》,提出到2019年,安全可控信息技术在银行业总体达到75%左右使用率的总体目标,要求银行业金融机构应将提升网络安全保障能力和信息化建设能力纳入战略目标,将安全可控信息技术应用纳入战略规划。

《指导意见》明确“自主可控”战略要求

针对我国银行业主要软硬件设施由外资厂商提供,关键设备及软件不能自主生产存在金融安全隐患的现状,《指导意见》明确提出四大原则,即坚持开放合作、鼓励自主创新、发挥市场作用、加强协同合作。要求银行业建立应用安全可控信息技术的长效机制,避免对单一产品或技术的依赖,通过自主创新,以银行业信息化需求培育和带动市场,形成“需求拉动、产业推动、科研驱动”的良性循环,以实现整体架构自主设计、核心应用自主研发、核心知识自主掌握、关键技术自主应用的最终目的。

在应用安全可控信息技术的推进方面,指导意见也提出,当前重点在网络设备、存储、中低端服务器、信息安全、运维服务、文字处理软件等领域,在操作系统、数据库等领域要加大探索和尝试力度;从2015年起,各银行业金融机构对安全可控信息技术的应用以不低于15%的比例逐年增加,直至2019年达到不低于75%的总体占比。同时,从2015年起,银行业金融机构应安排不低于5%的年度信息化预算,专门用于支持本机构围绕安全可控信息系统开展前瞻性、创新性和规划性研究,支持本机构掌握信息化核心知识和技能。

《推进指南》加速“自主可控”落地实施

为推动安全可控信息技术在银行业的落地应用,根据《关于应用安全可控信息技术加强银行业网络安全和信息化建设的指导意见》,银监会、工业和信息化部联合编制了《银行业应用安全可控信息技术推进指南(2014-2015年度)》。该指南旨在对《指导意见》提出的总体目标、任务要求、工作措施均予以细化,对银行业信息化所涉及的技术、产品及服务明确安全可控要求,制定评价标准,从应用和研究两大方向细化任务要求,以指导和促进银行业金融机构账务信息化核心知识和关键技术。

《推进指南》指明了安全可控技术中技术风险、外包风险和供应链风险的定义,建立了银行业信息技术资产分类目录和安全可控指标,要求银行业从组织领导、工作规划、财务预算、制度流程、架构规划等方面加大自主可控战略的推进力度,明确指出2015年应至少实现一种基于安全可控信息技术的数据级灾备方案。

为保障自主可控战略的实施,银监会还于《推进指南》中明确表示,将从安全可控信息技术使用率、重要信息系统可控率和研究工作开展情况等重点指标予以评估。同时要求各级工业和信息化主管部门应做好适用技术、产品、服务及典型解决方案推介,推动需求对接。

国内厂商积极布局

自主可控战略对所有国内的IT厂商而言是一个集体盛宴,几乎所有的国产厂商都开始积极应对和布局,纷纷提出了自己的自主可控实施战略。安全牛收集了目前市场上各类技术主流的国内代表厂商,供大家参考。

IT基础设施代表厂商:联想、浪潮、华为、中科曙光、华胜天成、锐捷网络、龙芯中科、新岸线、江南计算机所等

平台软件代表厂商:操作系统–中标软件、普华基础软件、深度Deepin;数据库软件—南大通用、人大金仓、达梦数据库;中间件—东方通、金蝶中间件;系统管理软件—东软、用友、华胜天成、神州泰岳、北塔软件等

信息安全产品代表厂商:启明星辰、绿盟、天融信、网神、东软、北信源、卫士通、安恒、明朝万达等

专业IT服务代表厂商:系统集成—神州数码、太极股份、华胜天成;安全咨询—谷安天下、中电长城网际等商业银行积极探索

在积极推动信息系统软硬件国产化方面,中国邮储银行已经成为我国金融行业中的标杆。针对国产化推进、新技术应用可能带来的信息安全挑战,邮储银行已经启动信息科技风险管控体系专题规划,建立信息系统全生命周期的安全管控机制,在规划、开发、实施、上线、运行及下线各环节加强信息系统全过程安全管控,构建未来5年信息安全发展体系架构。

该行目前已成功创新开发并应用了小型机核心系统技术,并完成了对达梦、通用、人大金仓等国产关系型数据库的两轮评测工作以及对东方通、金蝶、中创等国产应用中间件的评测工作,不仅有效支撑了银行的战略转型和业务发展,也为国家实现“自主可控”战略探索出了一条道路。

工商银行根据监管部门的有关要求,在“自主可控”战略的实施方面做了一些具体工作:

1.坚持走自主研发的技术创新道路,支持业务全面发展

2.通过顶层设计构建自主技术架构体系,实现技术整体把控

3.通过自主研发实现关键业务系统风险管理的“自主可控”,降低信息泄漏风险。

据安全牛调查了解,几乎所有的商业银行目前都将自主可控战略如何落地作为一个非常重要的研究课题在积极探索。