导读

最近爆发的俄乌冲突中，美国与欧盟、英国和加拿大丢下一枚“金融核弹”，禁止俄罗斯使用环球同业银行金融电讯协会（SWIFT）国际结算系统，把俄罗斯排除于国际贸易体系之外。这为未来中国金融的发展敲响了警钟，我们必须有所准备，在数字经济时代保证金融安全、经济安全。解决“卡脖子”问题，自主可控是确保关键时刻不掉链子的必要选择。那么，金融行业在数字化转型的过程中，要实现完全自主可控，现状如何？路径在哪？本文提供了一种视角。

1、自主可控是不二之选

自主可控战略是近年来国家基于内外部复杂严峻的形势研判，立足于国家安全所做出的一项系统性的重大战略部署，涉及国民经济多个关键领域：围绕经济运行安全，中央提出要“强化国家战略科技力量，增强产业链供应链自主可控能力”；基于粮食安全，中央近日提出要实现“实现种业科技自立自强、种源自主可控”……

伴随网络和信息技术的快速发展、以及对经济社会的广泛渗透，网络安全和信息安全已事关经济社会全局发展。网络安全和信息安全无法做到自主可控，将会对包括金融行业在内的各个领域构成巨大的潜在威胁。为应对这一风险，国家成立中央网络安全和信息化领导小组，在国家总体层面推动信息科技安全可控，并明确了“加快推进国产自主可控替代计划，构建安全可控的信息技术体系”的发展方向。

习近平总书记指出，“金融是国家重要的核心竞争力，金融安全是国家安全的重要组成部分”。金融行业是科技密集型行业，信息技术在其创新发展中发挥着至关重要的作用。数字经济时代数字技术蓬勃发展，这为金融机构数字化转型提供源动力的同时，也使得信息安全自主可控成为金融行业要必然面对的问题。

2、信息安全“新国货”仍待进步

金融行业对信息安全自主可控的研究和部署由来已久。早在2014年，银监会就发布了《关于应用安全可控信息技术加强银行业网络安全和信息化建设的指导意见》（银监发〔2014〕39号）；随后，银监会、工信部又联合发布了《银行业应用安全可控信息技术推进指南（2014-2015年度）》（银监办发〔2014〕317号）。两文的发布对于推动金融领域自主可控起到了里程碑式的作用。

39号文中有两个明确的量化考核指标，一是“从2015年起，各银行业金融机构对安全可控信息技术的应用以不低于15%的比例逐年增加，直至2019年达到不低于75%的总体占比”；二是“2015年起，银行业金融机构应安排不低于5%的年度信息化预算，专门用于支持本机构围绕安全可控信息系统开展前瞻性、创新性和规划性研究，支持本机构掌握信息化核心知识和技能”。在39号文和317号文的要求和指引下，“十三五”时期，我国金融行业信息安全自主可控工作整体上取得了明显的进步，但仍存在许多关键问题有待进一步解决。

金融领域的信息化涉及信息系统软件、硬件各个领域，相应地，信息安全自主可控也是一个涵盖多方面的系统工程。其中，去“IOE”（即IBM服务器、Oracle甲骨文数据库、EMC高端存储）一直是一个绕不过去的话题。

金融领域 “去IOE化”

自我国金融机构启动信息化以来，在很长一段时间内，我国的各类银行等金融机构普遍采用了“IOE”等海外厂商掌控的集中式架构。虽然以浪潮、曙光等为代表的国内信息企业已经在部分细分领域对国外厂商实现了并跑乃至赶超，但目前，我国IT行业发展的整体水平无法做到对国外厂商的完全替代。

此前，为了达到39号文规定的国产化率要求，大部分银行采购了国产品牌服务器硬件，在短期提升了金融业自主可控的整体水平，也为国内硬件厂商的发展提供了很大助力，但是，银行底层芯片和核心软硬件仍然受制于国外厂商，并没有从根本上解决信息安全自主可控问题。

 “十四五”新阶段，“科技自立自强”、“数字化转型”、“金融信创”等一系列关键词搅动着金融行业。做好金融创新与信息安全自主可控的平衡，在未来一段时间都是我国金融行业需要研究的课题。

3、中小型银行自主可控的“突围之路”

当前，我国数字经济蓬勃发展，其催生出的新行业、新业态，正成为推动我国经济社会高质量发展的源动力。与此同时，数字经济的健康发展，也离不开安全可靠的网络环境和数据环境，金融机构、金融服务对于信息安全的依赖性更加突显。根据IDC预测，中国网络安全支出规模将在2025年达到214.6亿美元，其中银行业用户位居前列；2021年到2025年的年复合增长率（YoY）为20.5%，增速位列全球第一。

中国网络安全市场支出预测

过去几年的发展经验表明，推进金融领域信息安全自主可控是一项需立足现实、循序渐进的长期工作，需要对现有的系统架构和软硬件进行重构替代，这不仅要与金融行业发展进程相匹配，也和我国信息产业发展的整体水平息息相关。当前，推进底层软硬件自主可控已成为我国金融行业实现全面自主可控主要聚焦点，也是业内创新的前沿领域，并取得了一定的进展。

我们可以看看国内首家互联网银行的做法。微众银行采用了基于中国独立自主知识产权――鲲鹏芯片的华为ARM泰山服务器，部署使用在微众银行自身核心金融业务场景中，“应用接入层-操作系统层-硬件资源”的全路径技术栈组件均在ARM架构下部署并稳定运行。微众银行通过对底层硬件资源进行ARM架构应用，从核心基础组件、核心业务应用系统、银行交易系统等方面推动银行系统硬件国产化，真正实现了银行核心系统的软硬件全面自主可控。

然而，银行等金融机构彼此之间信息化发展程度不一，数字化转型阶段性需求各异，相比于国有大型银行和股份制商业银行，大部分民营银行、城商银行、农商银行等中小型银行，普遍面临着信息化水平不高、投入预算有限、技术力量薄弱、人才储备不足等现实约束，采取大型金融机构的自主可控战略是不现实的。广大中小型银行更需要在把握信息安全自主可控原则的基础上，走出适合自己的道路。

立足国家标准与监管合规要求

 合规是推进信息安全自主可控的基石，只有立足于国家标准与监管要求基础上的信息系统体系架构与安全管理体系，才能确保金融机构相关工作符合国家政策导向，最大化地保障金融机构自身权益。

确定中长期发展战略与实施计划

信息安全自主可控是一项长期工作，需要明确符合自身实际情况的阶段性发展目标、重点任务，通过稳定的人才队伍持续推进，才能在确保大方向正确的前提下，能够根据实际需求灵活调整，推动各项工作有序落实。

提升对相关产品、服务的整合能力

 依靠中小型银行现有的人才、技术资源，通过自主研发获得业务所需的全部软硬件产品服务，是不经济的选择。立足于自身中长期数字化发展战略，聚焦于当前亟需的业务需求，通过对数字化领域内适宜产品、服务的精准整合，提升金融机构数字化水平和信息安全能力，才是符合经济规律的科学路径。

选定长期的合作伙伴

数字经济时代呈现出生态融合的特点，银行、客户、第三方科技公司之间联系日益紧密。自主可控要求银行在数字化转型过程中确保系统安全性和业务连续性，银行要选择能够为其长期赋能的战略合作伙伴，在互补和共生中获得共赢。

总 结 

2022年初下发的《关于银行业保险业数字化转型的指导意见》指出，要提高自主可控能力，培育金融数字技术生态。作为一家懂金融的科技公司，聚均科技赋能金融机构产业金融服务的数字化转型，为银行提供涵盖系统安全、网络安全、数据安全以及隐私保护的全流程、嵌入式的信息安全保障服务，与银行共建生态、共创价值。

参考文献：
  【1】林晓轩：《关于商业银行信息科技自主可控的思考和实践》
  【2】王健肃：《小银行的大课题——自主可控之惑、之解》
  【3】曾晨：《银行业信息技术外包自主可控探讨》
  【4】麻德琼：《实现银行业核心技术自主可控，共建技术应用产业生态链》
  【5】中国银监会：《关于应用安全可控信息技术加强银行业网络安全和信息化建设的指导意见》（银监发〔2014〕39号）
  【6】中国银监会：《银行业应用安全可控信息技术推进指南（2014—2015年度）》（银监办发〔2014〕317号）
  【7】中国金融新闻网：《从底层软硬件入手，我国银行业实现全面自主可控已具可行性》