张 堃，于英民，左 佳

(1.中国软件与技术服务股份有限公司，北京 100081；2.国泰君安证券股份有限公司，北京 100032)

0 引言

2018年4月21日，习近平总书记在全国网络安全和信息化工作会议上发表重要讲话，从党长期执政和国家长治久安的战略高度，阐明了维护网络安全的重要性和实践要求，强调了核心技术是国之重器，大国重器必须掌握在自己手里。

作为经济发展的命脉和社会运行的神经中枢，金融业在国民经济中处于牵一发而动全身的核心地位。金融业具有业务分散、数据量大、对风险防控和运行效率要求高等特点，加之金融业属于信息服务属性产业，其对信息技术的依赖程度要远高于其他行业。因此，金融业应体系化推进信息安全体系的建设工程。

1 金融业在信息安全领域面临的问题

习近平总书记指出：安全是发展的前提，发展是安全的保障。总体来看，金融业高度重视信息技术发展应用过程中存在的网络安全问题，积极适应互联网时代对金融网络安全的新需求。但是，作为网络攻击的首要目标，我国金融关键信息基础设施极易遭受攻击；同时，由于如操作系统、数据库、存储等核心软、硬件的国产化率较低，我国金融业在安全可靠、供应保障方面一直处于被动局面，面临的网络安全风险和数据安全风险日益突出。网络安全风险指通过寻找更新、更具侵入性的攻击方法，威胁金融业网络安全；数据安全风险指通过非法手段获取金融业运营和组织管理数据、账户数据、交易数据、投资融通数据等信息资产。

对我国而言，现阶段金融业关键信息基础设施所依赖的软、硬件核心技术大部分依赖国外厂商供应，在技术上普遍采用封闭的系统，有很多排他性的内嵌软件，可能存在“漏洞”、“后门”等安全隐患；同时，过度依赖国外厂商的软、硬件，一方面导致了使用及维护成本过高，另一方面易导致行业垄断，一旦再次形成类似美国制裁中兴的局面，我国金融业关键信息基础设施将受制于人，甚至面临“断供”风险，造成的损失不可估量。

如何在充分利用新一代信息技术便捷性、高效性开展业务的同时，向核心业务领域压茬推进以基础软、硬件为重点方向的技术，坚决防范重大风险和安全事件，成为金融业发展亟待解决的问题。

2 金融业信息安全的目标任务

金融业信息安全关乎国家金融安全和经济安全，必须要以实现关键信息基础设施“改造+升级”为目标任务。改造的本质是体系改造，体系改造应突出需求导向和问题导向，逐步完成用安全可靠的技术体系改造现有技术体系，用安全可靠的基础软、硬件产品改造现有基础软、硬件产品。升级的核心是能力提升，通过从软件入手，到软、硬一体过渡的路径，确立CPU+OS的技术路线，重点突破，迭代发展，稳步推进全要素改造、全应用覆盖、全网络融合，逐步建立完整生态环境。

此外，虽然现阶段研发的基础软、硬件产品在性能上距主流产品还存在一定差距，但已达到“可用”并正向“好用”发展。因此，在“改造+升级”过程中，应革新思路，将从单纯追求峰值性能转变为注重综合应用效能，避免性能过剩造成资源浪费，突出面向生态建设的换道发展。

3 措施建议

针对当前金融业面临的信息安全问题，各国纷纷出台政策应对。2016年，美国金融监管部门发布“网络安全框架”，讨论加强金融信息安全计划的相关措施；2017年6月，我国正式实施《中华人民共和国网络安全法》，强调金融业做好信息安全工作的义务和责任；2018年，欧盟出台《一般数据保护条例》，明确从业务系统运营、信息化架构重构等方面保护金融信息安全。

为保障金融业信息安全，维护社会公共利益，确保经济健康发展，结合我国信息安全体系发展现状，本文建议以“四个结合”为行动策略，体系化推进金融业安全水平和保障能力建设。

3.1 核心能力与解决方案相结合

面对我国在金融信息安全方面的被动局面，建议从政府、厂商两个层面开展工作，加快安全技术和产品的研发和应用，解决过度依赖进口和安全防护弱等问题。在政府层面，产业及科研主管部门应加强对信息安全关键技术的研发支持；同时，出台引导政策，鼓励金融企业分阶段、分批次推进相关工作。在厂商层面，应加强技术沉淀和推行产业化发展，进一步完善从芯片到整机、从基础软件到大型系统、从主动防御到聚合服务的体系化网络安全核心能力，在此基础上，推动网络安全核心能力与金融业深度融合，形成安全可靠的整体解决方案。

3.2 需求引领与能力提升相结合

长久以来，IOE架构凭借稳定性、兼容性成为金融业的标准配置和唯一选择。随着互联网金融的出现，IOE架构已经无法满足金融业爆发式增长的计算需求，同时数据量的增加导致IOE使用成本的不断增长。因此，金融业信息安全改造要在确保网络安全等能力提升的基础上，高效地实现开发过程和使用环节中用户需求与供给能力的充分对接，通过多种类、多层次的需求满足，促进成果的成熟与产业化，不断提升基础软、硬件能力，形成需求与应用协调统一发展的格局。

3.3 重点突破与压茬推进相结合

实现金融业信息安全是一项长期工作，加强顶层设计，扎实推进金融业关键信息基础设施所依赖的软、硬件核心技术的研发进程，才能确保金融网络安全和信息化工作的前瞻性、科学性、有效性。同时，分阶段实现核心领域信息安全技术的应用，从模式相对简单、数据量相对较小的业务入手，以客户为中心、以效率为优先，重点突破，稳步实现对全流程、全业务、全行业的覆盖。

3.4 产融联动与生态培育相结合

广泛聚合资源，积极构建安全可靠的金融信息安全产业生态链。加强与金融企业合作，打造产融结合的产业生态管理模式。设立百亿级规模的“金融产业信息安全引导基金”，广泛联动并重点关注“互联网+”、云计算、大数据和人工智能等战略新兴产业，深化产融联动，促进金融业信息安全产业的持续发展。

4 结论

随着移动互联、大数据、云计算、人工智能等新兴数字化技术与各业务的深度融合，金融业处于新旧思维碰撞、新旧动能转换、新旧力量对比、新旧规则交替的十字路口，对关键信息基础设施所依赖的软、硬件安全性的要求变得更高。以“改造+升级”的思想在金融业推进相关工作，逐步完成软、硬件产品的安全可靠、高效可用势在必行。