我的IT我做主 ——银行业自主可控持续升温

标签:信息安全自主可控银行IT国产化信息安全机制

访客:28289  发表于:2014-12-22 10:53:27

被渗透、被包围、被潜伏……互联网时代,信息安全形势异常严峻,如何保护网络信息安全已成为世界各国所面临的头等大事。据不完全统计,已有50多个国家发布网络安全战略、40多个国家组建了网战部队。作为网民已经超过6亿、网站近400万家的世界互联网大国,保护信息安全是中国当下面临的重要课题。

1124日,为期一周的“首届国家网络安全周”在北京世纪坛拉开帷幕,这是我国第一次举办全国范围的网络安全主题宣传活动。宣传周以“共建网络安全,共享网络文明”为主题,结合“启动日”、“政务日”、“金融日”、“产业日”、“电信日”、“青少年日”、“法治日”7个主题宣传日展开。

中国人民银行组织工商银行、农业银行、中国银行、建设银行、邮储银行、华夏银行、北京农商行、农信银资金清算中心、中国银联等9家单位参加现场展览,向公众传播金融网络安全知识,并全面展示了日渐成熟的网络安全防护体系。

从银行业自身出发,打造自主可控、安全可信的防护体系,掌握核心技术为我所用,是保障网络信息安全的关键所在。本届网络安全周,记者在展台上也看到了各家银行在坚持自主可控道路上均有不同程度的进展,自主可控的重视程度在持续升温……

 

网络信息安全呼唤自主可控

目前,银行业的发展进入了一个新时代。随着网络信息安全逐渐被重视,国家有关部门和监管机构对银行信息系统的安全可控提出了更高的要求。2014年9月份,银监会发布了《关于应用安全可控信息技术加强银行业网络安全和信息化建设的指导意见》,明确提出,到2019年,掌握银行业信息化的核心知识和关键技术;实现银行业关键网络和信息基础设施的合理分布,关键设施和服务的集中度风险得到有效缓解;安全可控信息技术在银行业总体达到75%左右的使用率。

由于银行对基础设施配置的要求相对较高,所以长期以来,银行核心信息系统的软硬件很多采用国外的技术和设备。而银行采购设备时,厂商一般只提供产品和服务而不会提供核心技术,银行很难全面掌握或者进行二次开发,对信息安全的可控性、可知性和可信懒的程度成为未知数,更难发现是否存在漏洞、后门等安全风险。如果设备被植入恶意代码或开通恶意后门,后果不堪设想。

所以,如果不从根本上解决信息安全自主可控的问题,核心技术与重要信息系统受制于人的局面将不会改变,全面的安全防御也就成为一句空话。对银行业而言,提高信息安全自主可控能力势在必行。


自主可控倒逼国内产业发展

目前看,我国信息安全领域的民族产业成熟度还不够,自主可控正在倒逼产业的发展。

既然确立了自主可控的目标,就要积极行动起来。但银行毕竟不是科技型公司,银行是提供金融服务的机构,它不可能自己生产主机、服务器、存储设备,或者自己去开发一套操作系统。所以,产业成了目前的短板,实施自主可控要倒逼国内产业的发展。

 “我们必定会大力支持国内产业,但是支持也必须遵循实事求是、循序渐进的原则,能做什么先做什么、能用什么先用什么。”

据了解,建设银行也制定了自主可控的几大措施:对于成熟的外围硬件产品可以开展同等竞争,比如PC机、桌面的管理系统等;对于已比较成熟的非核心软件产品,要采取各种措施,积极推进国产化;对于逐步成熟的国产核心硬件产品,要加快国产化替代的进度;对于暂时没有国产替代产品的门类,要通过架构调整或新技术应用,降低相关产品在整体架构中的使用比例;对于国内缺少成熟商用产品的基础软件,需要银行与产、研部门长期战略合作,共同孵化;在部分领域,试用开源技术产品作为国产化“缺口”的补充。

 

建立信息安全审查机制

“自主可控”的终极目标是“安全”,所以建立信息安全的审查机制也相当重要。系统投产后,需要对其运行情况,以及系统防范风险和防御攻击的能力进行深度评估,要不断进行改进,以达到企业的要求。

网络安全宣传周期间,中国人民银行科技司司长王永红莅琳现场,他表示,将来金融行业需要取得国家相关信息安全队伍的支持,不但对基础设施进行重点保护,还要完善技术规范;同时要建立信息安全监测认证机制,以便使用的产品都能达到一定的安全程度,并且要定期进行评估。

由此看来,构建自主可控的生态环境,需要各方给力,不仅需要产业界研发出高性能、高质量的产品,还需要银行的积极配合推进,更需要相关部门的安全评估,来确保改造后的系统稳定可靠。(《新金融世界》记者 韩维蜜

评论(0)

您可以在评论框内@您的好友一起参与讨论!

<--script type="text/javascript">BAIDU_CLB_fillSlot("927898");