目前中國(guó)金融機(jī)構(gòu)尤其是銀行業(yè)使用的IT系統(tǒng)大多出自國(guó)外廠商。
記者獲悉,根據(jù)銀監(jiān)會(huì)和工信部下發(fā)的《銀行業(yè)應(yīng)用安全可控技術(shù)推進(jìn)指南》(2014-2015年度),各銀行已在2015年3月15日前向監(jiān)管層報(bào)送了具體落實(shí)方案,3月30日則是各地銀監(jiān)局報(bào)送至銀監(jiān)會(huì)的最后期限。從4月1日開(kāi)始,各IT企業(yè)可根據(jù)不同信息技術(shù)的安全可控要求,向銀監(jiān)會(huì)信科部遞交備案和風(fēng)險(xiǎn)評(píng)估申請(qǐng)。換句話說(shuō),4月1日起,銀行業(yè)采購(gòu)新的IT系統(tǒng)設(shè)備,就必須按照新規(guī)來(lái)執(zhí)行。
銀行的IT系統(tǒng)是一個(gè)巨大體系,簡(jiǎn)單來(lái)看,包括硬件、軟件和服務(wù)三項(xiàng)。
所謂“安全可控”,則是銀監(jiān)會(huì)等四部委去年9月發(fā)布的《關(guān)于應(yīng)用安全可控信息技術(shù)加強(qiáng)銀行業(yè)網(wǎng)絡(luò)安全和信息化建設(shè)的指導(dǎo)意見(jiàn)》(銀監(jiān)發(fā)<2014>39號(hào))所提新要求,總體意思是,銀行業(yè)金融機(jī)構(gòu)不因采用任何技術(shù)、產(chǎn)品或服務(wù)而損失對(duì)技術(shù)風(fēng)險(xiǎn)的識(shí)別、監(jiān)測(cè)和控制能力。
具體的要求有很多,討論較多的主要是兩點(diǎn):一是IT企業(yè)應(yīng)該將源代碼在銀監(jiān)會(huì)信科部備案,二是在中國(guó)設(shè)立由技術(shù)研究或服務(wù)中心。
新規(guī)規(guī)定,銀行等金融機(jī)構(gòu)應(yīng)用安全可控信息技術(shù)應(yīng)以不低于15%的比例逐年增加,直至2019年達(dá)到不低于75%的總體占比。在比例考核中,對(duì)硬件的考核以設(shè)備數(shù)量為計(jì),軟件以軟件許可(或裝機(jī))為計(jì),服務(wù)則以合同金額來(lái)算。 該文一發(fā)布,即引發(fā)國(guó)外IT 企業(yè)的激烈反彈:它們一方面不愿提交源代碼、不愿共享技術(shù),并稱中國(guó)是在變相推進(jìn)IT系統(tǒng)國(guó)產(chǎn)化,另一方面則不愿意放棄中國(guó)市場(chǎng),目前中國(guó)金融機(jī)構(gòu)尤其是銀行業(yè)使用的IT系統(tǒng)大多出自國(guó)外廠商,代表即是IOE——IBM(服務(wù)器、小型機(jī))、甲骨文Oracle(數(shù)據(jù)庫(kù)軟件)和易安信EMC(高端存儲(chǔ)),這三家企業(yè)基本滿足了金融機(jī)構(gòu)IT系統(tǒng)的基本架構(gòu)。
不過(guò),從上述年度指引來(lái)看,國(guó)外廠商,乃至美國(guó)商會(huì)、歐盟商會(huì)的反對(duì),并未能軟化中國(guó)推行安全可控的決心。銀監(jiān)會(huì)2月12日在官網(wǎng)聲明稱:一、源代碼備案具體工作還在研究中,備案方式和流程將在充分聽(tīng)取各方意見(jiàn)后實(shí)施(請(qǐng)注意,僅是備案方式和流程在研究,備案估計(jì)已是鐵板釘釘);二、在銀行業(yè)范疇以內(nèi),關(guān)于隨機(jī)軟件擁有自主知識(shí)產(chǎn)權(quán),現(xiàn)階段只要求供應(yīng)商提供軟件的知識(shí)產(chǎn)權(quán)證明或合法來(lái)源證明;三、相關(guān)要求不存在國(guó)別差別。
“就我所知,外資還蠻積極的,他們也不想丟了中國(guó)這塊大蛋糕。”對(duì)此,一銀行科技管理部門負(fù)責(zé)人告訴澎湃新聞(www.thepaper.cn)。而另一國(guó)內(nèi)知名廠商人士也透露,出于市場(chǎng)份額的角度,適當(dāng)開(kāi)源也是支持的。更重要的是,不少IT設(shè)備還有四年的緩沖期。
或也正因此,英國(guó)金融時(shí)報(bào)16日的報(bào)道提及,國(guó)外廠商仍冀望中國(guó)暫緩實(shí)施“源代碼備案”等舉措。該報(bào)道援引一位律師的話稱,“歷史上看,中國(guó)政府如果認(rèn)識(shí)到未曾對(duì)某一舉措作周全考慮,他們往往會(huì)打退堂鼓。”
也有業(yè)內(nèi)律師向澎湃新聞(www.thepaper.cn)表示,相關(guān)規(guī)定并沒(méi)有做國(guó)內(nèi)外廠商的區(qū)別對(duì)待,而且只要保證上交的源代碼不用做商業(yè)用途,做好保密工作,并不涉及侵權(quán)違法。“其實(shí)更多是一個(gè)行政行為,如果真要推進(jìn),更多還是要相互溝通”。
值得一提的是,上述年度指引還列明了達(dá)到安全可控的具體指標(biāo)。比如,2014-2015年度,包括防火墻、殺毒軟件、加密設(shè)備在內(nèi)的安全設(shè)備要求新增設(shè)備100%符合安全可控要求;PC服務(wù)器、臺(tái)式計(jì)算機(jī)、筆記本、POS機(jī)、自主服務(wù)終端、自主發(fā)卡機(jī)、VTM虛擬柜員等多項(xiàng)內(nèi)容也要求100%達(dá)到安全可控。與之相對(duì),網(wǎng)絡(luò)設(shè)備、存儲(chǔ)設(shè)備、基礎(chǔ)設(shè)施的新增安全可控比例要求相對(duì)低一些,要求達(dá)到50%-90%不等;虛擬化軟件、操作系統(tǒng)等通用軟件的要求則更低,要求新增比例在10%-40%。