編者按：在金融行業日漸成為國民經濟重要基石的當下，從信息安全乃至國家經濟安全的長遠戰略出發，銀監會適時提出了“安全可控”的意見和要求，并在2015年初制定和發布了銀行業應用安全可控信息技術的年度推進指南文件。針對銀監會提出的信息化安全可控的戰略目標，銀行業科技人員普遍認為，安全可控并不是簡單地產品替換，實質上是進行新一代架構提升。要快速實現銀行業信息化安全可控的戰略目標，需要在平臺化思路的指引下實施“基礎設施的平臺化、數據管理的平臺化、業務流程的平臺化、應用開發的平臺化、運營監控的平臺化、科技管理的平臺化”。在這樣的前提下，“安全自主平臺化”既是銀行業信息化征程的最好概括和歷史寫照，也是銀行業信息化發展的重要目標與演進方法。

2014年9月3日，中國銀監會、國家發展改革委員會、科技部以及工業和信息化部聯合發布《關于應用安全可控信息技術加強銀行業網絡安全和信息化建設的指導意見》（銀監發[2014]39號，簡稱39號文），明確將安全可控信息技術應用納入銀行業戰略規劃。在指導意見中提出和強調“建立銀行業應用安全可控信息技術的長效機制，制定配套政策，建立推進平臺，大力推廣使用能夠滿足銀行業信息安全需求，技術風險、外包風險和供應鏈風險可控的信息技術”，并制定安全可控的量化目標，即“到2019年，掌握銀行業信息化的核心知識和關鍵技術……安全可控信息技術在銀行業總體達到75%左右的使用率”。這是銀監會在“棱鏡門”事件暴發之后及信息安全形勢日益復雜嚴峻的國際背景下第一次旗幟鮮明地倡導和要求銀行業認真、具體地對待信息技術的安全可控。

從歷史的緯度來看，中國銀行業的電子化、信息化已經走過了30多年的歷程。以上世紀80年代中后期中國人民銀行的電子聯行（EIS）項目為標志（同期商業銀行中，中國銀行和中國工商銀行完成引進IBM的SAFE系統），以90年代初期的“金卡工程”為旗幟，以90年代末期中國工商銀行啟動的“9991”數據大集中工程為里程碑，以2006年現代化支付系統全國推廣應用為關鍵節點，銀行業的信息化建設一步一個堅實的腳印，開創了當前金融行業信息化發展的新局面。中國人民銀行科技司原司長陸靜對這個跨越式的階段概括性地總結為“沒有信息化，就沒有今天的現代金融服務”。在銀行業數十年轟轟烈烈的信息化建設過程中，為業務單位快速實現業務處理的現代化和銀行業經營管理的現代化，幾代金融科技工作者做出了不可磨滅的貢獻，取得了豐碩的成果。當然，我們也應該看到，在這個過程中，無論是信息化起步初期的引進11套M-150中型計算機系統（日立公司提供），還是當前銀行業信息化在網絡設備、存儲設備、服務器、操作系統、數據庫軟件、中間件產品等廣泛存在的硬、軟件兩個方面，都是國外企業或產品大行其道。這個局面的形成存在著不可逆轉的歷史原因，也與國家整體信息化發展的程度和水平息息相關。在信息安全形勢驟然變化和加劇的情況下，特別是隨著國內信息化在硬、軟件兩方面都得到長足發展和進步的前提下，從信息安全乃至國家經濟安全的長遠戰略出發，銀監會提出安全可控的意見和要求，不僅十分必要，而且理應是銀行業信息化工作的重中之重。

圖1-銀行業信息化階段性歷程

客觀地說，銀行業信息化的安全可控既要充分認清它的作用和意義，同時也要清醒地認識和了解推進這項工作的復雜性和艱巨性。任何激進或片面的行動，不僅無助于安全可控目標的實現，反而會適得其反，產生對目標達成的疑慮和畏懼心理或過高估計、強調實現過程的困難程度。據目前了解，銀監會在2015年初，已經制定和發布了銀行業應用安全可控信息技術的年度推進指南文件，從“2014年度銀行業信息技術情況專題調研”開始，摸清銀行業信息技術的使用情況，了解和掌握銀行業在計算機設備、網絡設備、存儲設備、安全設備、通用軟件和基礎設施等10大類信息化及技術方面對廠商或產品的應用信息，為下一步工作的意見指導、行動推進建立數據基礎。這是一個非常良好的開端，有了準確、詳盡和翔實的數據信息，銀行業信息化的安全可控才有著力點和出發點。

我們也欣喜地看到，針對銀監會提出的信息化安全可控的戰略目標，銀行業科技人員也有自己的思考。普遍認為，安全可控并不是簡單地產品替換，在互聯網發展以及技術創新日新月異的當前，銀行業要在信息化方面更上層樓，需要在安全可控的基礎上進行新一代的架構改變，通過整體規劃、自主研發等手段牢牢地掌握信息化的主動權，最終為銀行業的金融服務和支持快速創新提供基礎。中國工商銀行首席信息官林曉軒撰文指出，商業銀行落實銀監會安全可控的要求，應該主要通過信息系統體系架構的總體頂層設計和主要信息系統的自主研發，實現對科技信息風險的可管理、可監控和可審計。廣發銀行首席信息技術官王兵在關于安全可控的文章中提出，按照監管機構的信息科技建設戰略要求，銀行業除了需要積極推進實施基礎軟硬件國產化和持續提升核心技術自主研發能力以外，還需要國內信息產業協同構建銀行業信息技術自主可控的生態鏈。這些理性、務實和睿智的聲音，激蕩著銀行業信息化安全可控的目標縱使在復雜而艱難的環境下仍然毫不動搖地向前推進。

我們更需要看到，部分銀行（包括政策性銀行、商業銀行和農信社）已經在安全可控的道路上構建了重要的基礎。這些前瞻性的舉措既體現了銀行業科技者的智慧和眼光，也是對銀監會提出的安全可控的遙遠的呼應。以堅持走自主研發的技術創新道路的中國工商銀行為例，早在2003年即投入科技骨干研發自主可控的應用（CTP）平臺，并在2011年前后與國內領先的基礎平臺軟件廠商普元合作，共同研發和發布了新一代Java應用基礎平臺（CTP 5），以此作為工商銀行J2EE類應用系統的技術基礎，指導和規范相應業務系統的設計、開發和測試、運行，從技術架構到開發實現做到完全自主掌控。在銀行業，從應用平臺入手從而進行安全可控的，還有包括中國建設銀行、國家開發銀行、交通銀行、中信銀行、興業銀行、浦發銀行、山東省農信社等在內的更多的名單。這些銀行業的代表在信息化的過程中從樸素的自主可控思想出發，在多年以后與監管機構的要求建立起前后關聯，與其對其間的暗合充滿瑰麗的想象，不如對先行者對信息安全的關注與重視致以敬意。在金融行業日漸成為國民經濟重要基石的當下，銀行業的安全可控已經不是孤立存在，與國家安全和人民生活都緊密相關。

銀行業信息化的安全可控涉及到基礎設施、技術、供應鏈以及外包等各個方面，應用平臺的自主可控只是在技術方面的特定環節和外包相關的技術服務起到積極的促進作用，其他方面尚有待采取其他有效措施。但是，從實施應用基礎平臺的過程和效果來看，建立起相應的平臺，實質上是建立起相關方面的標準、制度和規范，并運用這些標準與規范在銀行內加強管理和發揮功效，這一點對銀行業信息化的安全可控來說，才是最重要、最核心的價值。換言之，通過平臺化的思想梳理和建立銀行業信息化的各個主要方面的標準和制度，并以平臺化的方式進行包括設備、技術在內的幾個方面進行管理和發展，是銀行業已經實踐和證明行之有效的策略，在銀監會突出強調安全可控的新形勢下，更要進一步理解和掌握平臺化的方法與內涵，充分運用這個有力的武器和方法，加快銀行業安全可控的實現。

圖2-銀行業信息化平臺方式架構示意

從銀行業信息化安全可控的幾個方面來看，平臺化是重要的依據和指導，在平臺化思路的指引下實施“基礎設施的平臺化、數據管理的平臺化、業務流程的平臺化、應用開發的平臺化、運營監控的平臺化、科技管理的平臺化”，那么銀行業信息化安全可控的戰略目標能夠快速地予以實現。當前信息技術的高度發展，特別是虛擬化技術的出現和成熟，對于基礎設施（包括計算機設備、存儲設備、數據庫等）的平臺化已經做好了準備，中國銀聯在這個方面已經邁進了一大步，積累了豐富的行業經驗。在數據管理方面，從元數據的管理到數據標準、數據質量以及數據倉庫等，各家銀行或多或少地建立了相應的應用，需要的是從數據平臺化的角度來審視和規劃。國家開發銀行在數據管理的平臺化方面已經做了不少的工作，值得借鑒其中的方法和經驗。去年年中浦發銀行開展和實施的業務流程管理平臺項目第一次以全行視角進行業務流程的應用與管理，流程平臺化的地位和價值才得以真正的彰顯。應用的平臺化已經有了不少的典型，不再贅述，但需要強調的是，在應用的平臺化中，對軟件的測試環節也要給予相應的規劃和支持。運營監控的平臺化是一個大的主題，包括集成、部署、運行、監控、分析和彈性調整等多個方面的內容。在科技管理的平臺化中，寧波銀行在2014年已經開始建設和一期投入運行，將科技建設的方方面面進行系統化的管理。總而言之，通過上述幾個方面的平臺化，銀行業信息化的安全可控將綱舉目張，卓有成效。另外，在平臺化的過程中，特別是在基礎設施的平臺化過程中，只要建立起相關的國家或行業標準，并加強對軟、硬件產品的認證與審查，不管是哪家廠商何種性質的產品或技術都可以為我所用，銀行業信息化的安全可控進程同樣是積極的、開放的。

圖3-銀行業信息化發展歷程概括

中國銀行業從手工替代、聯機實時處理到數據大集中等幾個階段的信息化發展歷程被行業專家歸納為“業務操作自動化、信息處理網絡化、社會服務多元化和經營管理信息化”，在新的時代環境和技術創新、變革的前提下，再加上“安全自主平臺化”，則既是銀行業信息化征程的最好概括和歷史寫照，也是銀行業信息化發展的重要目標與演進方法。銀監會在新的階段適時提出安全可控的信息化要求，本質上可以進一步理解為在大數據、云計算以及移動互聯等新興技術充分發展的條件下進行銀行業信息化的新一代架構提升，本次提升包括安全可控這個主要的命題，同樣還包括支持金融業務創新等時代話題。銀行業需要以銀監會提出的信息技術安全可控為重要契機，大力開展信息化的各項研究及建設工作，推進中國銀行業在信息化建設方面達到開創的、領先的歷史新階段。

作者簡介：

焦烈焱 普元信息CTO。長期致力于分布式環境的企業計算、 SOA與云計算技術研究與實踐，組織完成了一系列相關產品的研發工作，包括SOA應用平臺、以BPM /ESB為核心的業務集成平臺、以復雜事件處理/數據治理/作業調度為核心的大數據平臺。對企業應用技術架構有著深刻理解，主持了中國工商銀行、中國建設銀行等多家大型企業技術平臺的規劃與研發。著有《SOA中國路線圖—實施版》一書。

吳宗明 普元信息華南區技術總監。從2005年起一直為金融行業提供技術服務，歷經中國工商銀行新一代Java應用基礎平臺、中國建設銀行組件化平臺等多家銀行應用平臺的規劃、研發與實施。在交通銀行、廣東省農信社以及柳州銀行等地負責和指導了科技管理平臺方面的規劃與建設。