我國金融業信息安全體系建設策略

張 堃，于英民，左 佳

(1.中國軟件與技術服務股份有限公司，北京 100081；2.國泰君安證券股份有限公司，北京 100032)

0 引言

2018年4月21日，習近平總書記在全國網絡安全和信息化工作會議上發表重要講話，從黨長期執政和國家長治久安的戰略高度，闡明了維護網絡安全的重要性和實踐要求，強調了核心技術是國之重器，大國重器必須掌握在自己手里。

作為經濟發展的命脈和社會運行的神經中樞，金融業在國民經濟中處于牽一發而動全身的核心地位。金融業具有業務分散、數據量大、對風險防控和運行效率要求高等特點，加之金融業屬于信息服務屬性產業，其對信息技術的依賴程度要遠高于其他行業。因此，金融業應體系化推進信息安全體系的建設工程。

1 金融業在信息安全領域面臨的問題

習近平總書記指出：安全是發展的前提，發展是安全的保障。總體來看，金融業高度重視信息技術發展應用過程中存在的網絡安全問題，積極適應互聯網時代對金融網絡安全的新需求。但是，作為網絡攻擊的首要目標，我國金融關鍵信息基礎設施極易遭受攻擊；同時，由于如操作系統、數據庫、存儲等核心軟、硬件的國產化率較低，我國金融業在安全可靠、供應保障方面一直處于被動局面，面臨的網絡安全風險和數據安全風險日益突出。網絡安全風險指通過尋找更新、更具侵入性的攻擊方法，威脅金融業網絡安全；數據安全風險指通過非法手段獲取金融業運營和組織管理數據、賬戶數據、交易數據、投資融通數據等信息資產。

對我國而言，現階段金融業關鍵信息基礎設施所依賴的軟、硬件核心技術大部分依賴國外廠商供應，在技術上普遍采用封閉的系統，有很多排他性的內嵌軟件，可能存在“漏洞”、“后門”等安全隱患；同時，過度依賴國外廠商的軟、硬件，一方面導致了使用及維護成本過高，另一方面易導致行業壟斷，一旦再次形成類似美國制裁中興的局面，我國金融業關鍵信息基礎設施將受制于人，甚至面臨“斷供”風險，造成的損失不可估量。

如何在充分利用新一代信息技術便捷性、高效性開展業務的同時，向核心業務領域壓茬推進以基礎軟、硬件為重點方向的技術，堅決防范重大風險和安全事件，成為金融業發展亟待解決的問題。

2 金融業信息安全的目標任務

金融業信息安全關乎國家金融安全和經濟安全，必須要以實現關鍵信息基礎設施“改造+升級”為目標任務。改造的本質是體系改造，體系改造應突出需求導向和問題導向，逐步完成用安全可靠的技術體系改造現有技術體系，用安全可靠的基礎軟、硬件產品改造現有基礎軟、硬件產品。升級的核心是能力提升，通過從軟件入手，到軟、硬一體過渡的路徑，確立CPU+OS的技術路線，重點突破，迭代發展，穩步推進全要素改造、全應用覆蓋、全網絡融合，逐步建立完整生態環境。

此外，雖然現階段研發的基礎軟、硬件產品在性能上距主流產品還存在一定差距，但已達到“可用”并正向“好用”發展。因此，在“改造+升級”過程中，應革新思路，將從單純追求峰值性能轉變為注重綜合應用效能，避免性能過剩造成資源浪費，突出面向生態建設的換道發展。

3 措施建議

針對當前金融業面臨的信息安全問題，各國紛紛出臺政策應對。2016年，美國金融監管部門發布“網絡安全框架”，討論加強金融信息安全計劃的相關措施；2017年6月，我國正式實施《中華人民共和國網絡安全法》，強調金融業做好信息安全工作的義務和責任；2018年，歐盟出臺《一般數據保護條例》，明確從業務系統運營、信息化架構重構等方面保護金融信息安全。

為保障金融業信息安全，維護社會公共利益，確保經濟健康發展，結合我國信息安全體系發展現狀，本文建議以“四個結合”為行動策略，體系化推進金融業安全水平和保障能力建設。

3.1 核心能力與解決方案相結合

面對我國在金融信息安全方面的被動局面，建議從政府、廠商兩個層面開展工作，加快安全技術和產品的研發和應用，解決過度依賴進口和安全防護弱等問題。在政府層面，產業及科研主管部門應加強對信息安全關鍵技術的研發支持；同時，出臺引導政策，鼓勵金融企業分階段、分批次推進相關工作。在廠商層面，應加強技術沉淀和推行產業化發展，進一步完善從芯片到整機、從基礎軟件到大型系統、從主動防御到聚合服務的體系化網絡安全核心能力，在此基礎上，推動網絡安全核心能力與金融業深度融合，形成安全可靠的整體解決方案。

3.2 需求引領與能力提升相結合

長久以來，IOE架構憑借穩定性、兼容性成為金融業的標準配置和唯一選擇。隨著互聯網金融的出現，IOE架構已經無法滿足金融業爆發式增長的計算需求，同時數據量的增加導致IOE使用成本的不斷增長。因此，金融業信息安全改造要在確保網絡安全等能力提升的基礎上，高效地實現開發過程和使用環節中用戶需求與供給能力的充分對接，通過多種類、多層次的需求滿足，促進成果的成熟與產業化，不斷提升基礎軟、硬件能力，形成需求與應用協調統一發展的格局。

3.3 重點突破與壓茬推進相結合

實現金融業信息安全是一項長期工作，加強頂層設計，扎實推進金融業關鍵信息基礎設施所依賴的軟、硬件核心技術的研發進程，才能確保金融網絡安全和信息化工作的前瞻性、科學性、有效性。同時，分階段實現核心領域信息安全技術的應用，從模式相對簡單、數據量相對較小的業務入手，以客戶為中心、以效率為優先，重點突破，穩步實現對全流程、全業務、全行業的覆蓋。

3.4 產融聯動與生態培育相結合

廣泛聚合資源，積極構建安全可靠的金融信息安全產業生態鏈。加強與金融企業合作，打造產融結合的產業生態管理模式。設立百億級規模的“金融產業信息安全引導基金”，廣泛聯動并重點關注“互聯網+”、云計算、大數據和人工智能等戰略新興產業，深化產融聯動，促進金融業信息安全產業的持續發展。

4 結論

隨著移動互聯、大數據、云計算、人工智能等新興數字化技術與各業務的深度融合，金融業處于新舊思維碰撞、新舊動能轉換、新舊力量對比、新舊規則交替的十字路口，對關鍵信息基礎設施所依賴的軟、硬件安全性的要求變得更高。以“改造+升級”的思想在金融業推進相關工作，逐步完成軟、硬件產品的安全可靠、高效可用勢在必行。