張 堃，于英民，左 佳

(1.中國(guó)軟件與技術(shù)服務(wù)股份有限公司，北京 100081；2.國(guó)泰君安證券股份有限公司，北京 100032)

0 引言

2018年4月21日，習(xí)近平總書記在全國(guó)網(wǎng)絡(luò)安全和信息化工作會(huì)議上發(fā)表重要講話，從黨長(zhǎng)期執(zhí)政和國(guó)家長(zhǎng)治久安的戰(zhàn)略高度，闡明了維護(hù)網(wǎng)絡(luò)安全的重要性和實(shí)踐要求，強(qiáng)調(diào)了核心技術(shù)是國(guó)之重器，大國(guó)重器必須掌握在自己手里。

作為經(jīng)濟(jì)發(fā)展的命脈和社會(huì)運(yùn)行的神經(jīng)中樞，金融業(yè)在國(guó)民經(jīng)濟(jì)中處于牽一發(fā)而動(dòng)全身的核心地位。金融業(yè)具有業(yè)務(wù)分散、數(shù)據(jù)量大、對(duì)風(fēng)險(xiǎn)防控和運(yùn)行效率要求高等特點(diǎn)，加之金融業(yè)屬于信息服務(wù)屬性產(chǎn)業(yè)，其對(duì)信息技術(shù)的依賴程度要遠(yuǎn)高于其他行業(yè)。因此，金融業(yè)應(yīng)體系化推進(jìn)信息安全體系的建設(shè)工程。

1 金融業(yè)在信息安全領(lǐng)域面臨的問題

習(xí)近平總書記指出：安全是發(fā)展的前提，發(fā)展是安全的保障?？傮w來(lái)看，金融業(yè)高度重視信息技術(shù)發(fā)展應(yīng)用過(guò)程中存在的網(wǎng)絡(luò)安全問題，積極適應(yīng)互聯(lián)網(wǎng)時(shí)代對(duì)金融網(wǎng)絡(luò)安全的新需求。但是，作為網(wǎng)絡(luò)攻擊的首要目標(biāo)，我國(guó)金融關(guān)鍵信息基礎(chǔ)設(shè)施極易遭受攻擊；同時(shí)，由于如操作系統(tǒng)、數(shù)據(jù)庫(kù)、存儲(chǔ)等核心軟、硬件的國(guó)產(chǎn)化率較低，我國(guó)金融業(yè)在安全可靠、供應(yīng)保障方面一直處于被動(dòng)局面，面臨的網(wǎng)絡(luò)安全風(fēng)險(xiǎn)和數(shù)據(jù)安全風(fēng)險(xiǎn)日益突出。網(wǎng)絡(luò)安全風(fēng)險(xiǎn)指通過(guò)尋找更新、更具侵入性的攻擊方法，威脅金融業(yè)網(wǎng)絡(luò)安全；數(shù)據(jù)安全風(fēng)險(xiǎn)指通過(guò)非法手段獲取金融業(yè)運(yùn)營(yíng)和組織管理數(shù)據(jù)、賬戶數(shù)據(jù)、交易數(shù)據(jù)、投資融通數(shù)據(jù)等信息資產(chǎn)。

對(duì)我國(guó)而言，現(xiàn)階段金融業(yè)關(guān)鍵信息基礎(chǔ)設(shè)施所依賴的軟、硬件核心技術(shù)大部分依賴國(guó)外廠商供應(yīng)，在技術(shù)上普遍采用封閉的系統(tǒng)，有很多排他性的內(nèi)嵌軟件，可能存在“漏洞”、“后門”等安全隱患；同時(shí)，過(guò)度依賴國(guó)外廠商的軟、硬件，一方面導(dǎo)致了使用及維護(hù)成本過(guò)高，另一方面易導(dǎo)致行業(yè)壟斷，一旦再次形成類似美國(guó)制裁中興的局面，我國(guó)金融業(yè)關(guān)鍵信息基礎(chǔ)設(shè)施將受制于人，甚至面臨“斷供”風(fēng)險(xiǎn)，造成的損失不可估量。

如何在充分利用新一代信息技術(shù)便捷性、高效性開展業(yè)務(wù)的同時(shí)，向核心業(yè)務(wù)領(lǐng)域壓茬推進(jìn)以基礎(chǔ)軟、硬件為重點(diǎn)方向的技術(shù)，堅(jiān)決防范重大風(fēng)險(xiǎn)和安全事件，成為金融業(yè)發(fā)展亟待解決的問題。

2 金融業(yè)信息安全的目標(biāo)任務(wù)

金融業(yè)信息安全關(guān)乎國(guó)家金融安全和經(jīng)濟(jì)安全，必須要以實(shí)現(xiàn)關(guān)鍵信息基礎(chǔ)設(shè)施“改造+升級(jí)”為目標(biāo)任務(wù)。改造的本質(zhì)是體系改造，體系改造應(yīng)突出需求導(dǎo)向和問題導(dǎo)向，逐步完成用安全可靠的技術(shù)體系改造現(xiàn)有技術(shù)體系，用安全可靠的基礎(chǔ)軟、硬件產(chǎn)品改造現(xiàn)有基礎(chǔ)軟、硬件產(chǎn)品。升級(jí)的核心是能力提升，通過(guò)從軟件入手，到軟、硬一體過(guò)渡的路徑，確立CPU+OS的技術(shù)路線，重點(diǎn)突破，迭代發(fā)展，穩(wěn)步推進(jìn)全要素改造、全應(yīng)用覆蓋、全網(wǎng)絡(luò)融合，逐步建立完整生態(tài)環(huán)境。

此外，雖然現(xiàn)階段研發(fā)的基礎(chǔ)軟、硬件產(chǎn)品在性能上距主流產(chǎn)品還存在一定差距，但已達(dá)到“可用”并正向“好用”發(fā)展。因此，在“改造+升級(jí)”過(guò)程中，應(yīng)革新思路，將從單純追求峰值性能轉(zhuǎn)變?yōu)樽⒅鼐C合應(yīng)用效能，避免性能過(guò)剩造成資源浪費(fèi)，突出面向生態(tài)建設(shè)的換道發(fā)展。

3 措施建議

針對(duì)當(dāng)前金融業(yè)面臨的信息安全問題，各國(guó)紛紛出臺(tái)政策應(yīng)對(duì)。2016年，美國(guó)金融監(jiān)管部門發(fā)布“網(wǎng)絡(luò)安全框架”，討論加強(qiáng)金融信息安全計(jì)劃的相關(guān)措施；2017年6月，我國(guó)正式實(shí)施《中華人民共和國(guó)網(wǎng)絡(luò)安全法》，強(qiáng)調(diào)金融業(yè)做好信息安全工作的義務(wù)和責(zé)任；2018年，歐盟出臺(tái)《一般數(shù)據(jù)保護(hù)條例》，明確從業(yè)務(wù)系統(tǒng)運(yùn)營(yíng)、信息化架構(gòu)重構(gòu)等方面保護(hù)金融信息安全。

為保障金融業(yè)信息安全，維護(hù)社會(huì)公共利益，確保經(jīng)濟(jì)健康發(fā)展，結(jié)合我國(guó)信息安全體系發(fā)展現(xiàn)狀，本文建議以“四個(gè)結(jié)合”為行動(dòng)策略，體系化推進(jìn)金融業(yè)安全水平和保障能力建設(shè)。

3.1 核心能力與解決方案相結(jié)合

面對(duì)我國(guó)在金融信息安全方面的被動(dòng)局面，建議從政府、廠商兩個(gè)層面開展工作，加快安全技術(shù)和產(chǎn)品的研發(fā)和應(yīng)用，解決過(guò)度依賴進(jìn)口和安全防護(hù)弱等問題。在政府層面，產(chǎn)業(yè)及科研主管部門應(yīng)加強(qiáng)對(duì)信息安全關(guān)鍵技術(shù)的研發(fā)支持；同時(shí)，出臺(tái)引導(dǎo)政策，鼓勵(lì)金融企業(yè)分階段、分批次推進(jìn)相關(guān)工作。在廠商層面，應(yīng)加強(qiáng)技術(shù)沉淀和推行產(chǎn)業(yè)化發(fā)展，進(jìn)一步完善從芯片到整機(jī)、從基礎(chǔ)軟件到大型系統(tǒng)、從主動(dòng)防御到聚合服務(wù)的體系化網(wǎng)絡(luò)安全核心能力，在此基礎(chǔ)上，推動(dòng)網(wǎng)絡(luò)安全核心能力與金融業(yè)深度融合，形成安全可靠的整體解決方案。

3.2 需求引領(lǐng)與能力提升相結(jié)合

長(zhǎng)久以來(lái)，IOE架構(gòu)憑借穩(wěn)定性、兼容性成為金融業(yè)的標(biāo)準(zhǔn)配置和唯一選擇。隨著互聯(lián)網(wǎng)金融的出現(xiàn)，IOE架構(gòu)已經(jīng)無(wú)法滿足金融業(yè)爆發(fā)式增長(zhǎng)的計(jì)算需求，同時(shí)數(shù)據(jù)量的增加導(dǎo)致IOE使用成本的不斷增長(zhǎng)。因此，金融業(yè)信息安全改造要在確保網(wǎng)絡(luò)安全等能力提升的基礎(chǔ)上，高效地實(shí)現(xiàn)開發(fā)過(guò)程和使用環(huán)節(jié)中用戶需求與供給能力的充分對(duì)接，通過(guò)多種類、多層次的需求滿足，促進(jìn)成果的成熟與產(chǎn)業(yè)化，不斷提升基礎(chǔ)軟、硬件能力，形成需求與應(yīng)用協(xié)調(diào)統(tǒng)一發(fā)展的格局。

3.3 重點(diǎn)突破與壓茬推進(jìn)相結(jié)合

實(shí)現(xiàn)金融業(yè)信息安全是一項(xiàng)長(zhǎng)期工作，加強(qiáng)頂層設(shè)計(jì)，扎實(shí)推進(jìn)金融業(yè)關(guān)鍵信息基礎(chǔ)設(shè)施所依賴的軟、硬件核心技術(shù)的研發(fā)進(jìn)程，才能確保金融網(wǎng)絡(luò)安全和信息化工作的前瞻性、科學(xué)性、有效性。同時(shí)，分階段實(shí)現(xiàn)核心領(lǐng)域信息安全技術(shù)的應(yīng)用，從模式相對(duì)簡(jiǎn)單、數(shù)據(jù)量相對(duì)較小的業(yè)務(wù)入手，以客戶為中心、以效率為優(yōu)先，重點(diǎn)突破，穩(wěn)步實(shí)現(xiàn)對(duì)全流程、全業(yè)務(wù)、全行業(yè)的覆蓋。

3.4 產(chǎn)融聯(lián)動(dòng)與生態(tài)培育相結(jié)合

廣泛聚合資源，積極構(gòu)建安全可靠的金融信息安全產(chǎn)業(yè)生態(tài)鏈。加強(qiáng)與金融企業(yè)合作，打造產(chǎn)融結(jié)合的產(chǎn)業(yè)生態(tài)管理模式。設(shè)立百億級(jí)規(guī)模的“金融產(chǎn)業(yè)信息安全引導(dǎo)基金”，廣泛聯(lián)動(dòng)并重點(diǎn)關(guān)注“互聯(lián)網(wǎng)+”、云計(jì)算、大數(shù)據(jù)和人工智能等戰(zhàn)略新興產(chǎn)業(yè)，深化產(chǎn)融聯(lián)動(dòng)，促進(jìn)金融業(yè)信息安全產(chǎn)業(yè)的持續(xù)發(fā)展。

4 結(jié)論

隨著移動(dòng)互聯(lián)、大數(shù)據(jù)、云計(jì)算、人工智能等新興數(shù)字化技術(shù)與各業(yè)務(wù)的深度融合，金融業(yè)處于新舊思維碰撞、新舊動(dòng)能轉(zhuǎn)換、新舊力量對(duì)比、新舊規(guī)則交替的十字路口，對(duì)關(guān)鍵信息基礎(chǔ)設(shè)施所依賴的軟、硬件安全性的要求變得更高。以“改造+升級(jí)”的思想在金融業(yè)推進(jìn)相關(guān)工作，逐步完成軟、硬件產(chǎn)品的安全可靠、高效可用勢(shì)在必行。