两会过后,去IOE的呼声更是一浪高过一浪,安全焦点行业——银行业,也跟着忙起来。就在近日,根据银监会和工信部下发的《银行业应用安全可控技术推进指南》,各银行已向监管层报送了具体落实方案, 4月1日,各IT企业可根据不同信息技术的安全可控要求,向银监会信科部递交备案和风险评估申请,自此,银行业采购新的IT系统设备,就必须按照新规来执行。
该文一发布,即引发国外IT企业的激烈反弹,一方面不愿进行技术共享,担心中国是在变相推进IT系统国产化,另一方面则不愿意放弃中国市场。
目前中国金融机构尤其是银行业使用的IT系统大多出自国外厂商,代表即是IOE——IBM(服务器、小型机)、甲骨文Oracle(数据库软件)和易安信EMC(高端存储),这三家企业基本满足了金融机构IT系统的基本架构。
但是反对的声音并不能弱化我国推行安全可控的决心,见下图发文便知一二
新规规定:银行等金融机构应用安全可控信息技术应以不低于15%的比例逐年增加,直至2019年达到不低于75%的总体占比。在比例考核中,对硬件的考核以设备数量为计,软件以软件许可(或装机)为计,服务则以合同金额来算。
所谓“安全可控”,银监会等四部委去年9月发布的《关于应用安全可控信息技术加强银行业网络安全和信息化建设的指导意见》中总体意思表示,银行业金融机构不因采用任何技术、产品或服务而损失对技术风险的识别、监测和控制能力。
对于国内IT厂商和各大安全企业来讲,《指引》发布,无疑是是一利好消息,同时针对我国在知识产权自主化、核心技术创新提升,捍卫国家信息安全保障,提高国家核心竞争力,挑战与发展并存。
《指引》中,关于安全可控也提出了具体指标。比如,2014-2015年度,包括防火墙、杀毒软件、加密设备在内的安全设备要求新增设备100%符合安全可控要求;网络设备、存储设备、基础设施的新增安全可控比例要求相对低一些,要求达到50%-90%不等;虚拟化软件、操作系统等通用软件的要求则更低,要求新增比例在10%-40%。而在不同领域,国内已经崭露与国际水准不相上下的企业厂商,如信息安全厂商绿盟科技,去年收购布局终端安全、文档安全、数据库安全领域;专注数据库安全细分领域的安华金和,围绕数据库做整体安全防护,其全线产品数据库安全审计、数据库防火墙、数据库加密、数据库漏扫产品,不仅支持Oracle、MySQL等国际主流数据库,同时兼容国产数据库南通、达梦、金仓,国产操作系统中标麒麟等。 随着信息安全已经提升至国家战略高度,数据泄密事件又频频发生,安华金和这类专注细分领域的新兴安全厂商,抓住发展机遇,其升值空间值得期待。
《新规》在银行业掀起巨大波澜,源于金融领域安全要求比较高,安全风险比较大,一旦泄密,造成的危害不可估量。《金融行业信息系统信息安全等级保护实施指引》中,针对金融行业技术方面物理安全、网络安全、主机安全、应用安全、数据安全五方面均提出明确的安全等级要求;管理方面安全管理制度、安全管理机构、人员安全管理、 系统建设管理和系统运维管理五方面提出明确的等级保护要求。
金融行业信息安全保障总体架构图
金融行业本次施行IT采购新规,真是几家欢乐几家愁,从前国外IOE厂商的辉煌,是否将逐渐隐退,国产企业崛起之时,让我们翘首以盼。