中小銀行上云白皮書(shū)2018年_W

1、 中小銀行上云白皮書(shū)（2018年）中國(guó)信息通信研究院China Academy of Informationand Communications Technology ,CAICT2018年3月 版權(quán)聲明本白皮書(shū)版權(quán)屬于編寫(xiě)單位，并受法律保護(hù)。轉(zhuǎn)載、摘編或利用其它方式使用本調(diào)查報(bào)告文字或者觀點(diǎn)的，應(yīng)注明來(lái)源：中國(guó)信息通信研究院。違反上述聲明者，將追究其相關(guān)法律責(zé)任。編寫(xiě)說(shuō)明牽頭單位：中國(guó)信息通信研究院、興業(yè)數(shù)字金融服務(wù)（上海）股份有限公司參與單位：哈密市商業(yè)銀行、南陽(yáng)村鎮(zhèn)銀行編寫(xiě)人： 栗蔚，徐恩慶，陳翀，李山河，鄭子洲，許志恒，侯大鵬，楊旭輝，趙國(guó)權(quán)，鐘鳴，徐新華， 黃遺良，李昀飛，何康旭 前

2、言近年來(lái)，隨著我國(guó)國(guó)民經(jīng)濟(jì)的持續(xù)健康發(fā)展，中小企業(yè)融資需求和新農(nóng)村建設(shè)需要的不斷增強(qiáng)，中小銀行紛紛成立，為地方經(jīng)濟(jì)建設(shè)提供了強(qiáng)有力的金融支持。與此同時(shí)，中小銀行自身信息化建設(shè)能力面臨很大挑戰(zhàn)，在資金和人員有限的情況下，在風(fēng)險(xiǎn)必須可控的前提下，又快又好地建設(shè)銀行業(yè)務(wù)全系統(tǒng)和基礎(chǔ)設(shè)施成為中小銀行發(fā)展亟需解決的掣肘。 云計(jì)算作為信息技術(shù)創(chuàng)新服務(wù)模式的集中體現(xiàn)，已經(jīng)成為支撐各行業(yè)發(fā)展的關(guān)鍵信息基礎(chǔ)設(shè)施，是金融行業(yè)分布式架構(gòu)轉(zhuǎn)型的助燃劑，為中小銀行快速部署銀行業(yè)務(wù)系統(tǒng)提供了有力的信息化支撐，能夠促進(jìn)中小銀行提高信息化管理能力， 有效增強(qiáng)業(yè)務(wù)競(jìng)爭(zhēng)能力。 本白皮書(shū)作為國(guó)內(nèi)首個(gè)以“中小銀行上云”為主題的白皮書(shū)

3、，深入分析中小銀行上云的優(yōu)勢(shì)和必要性，剖析中小銀行上云過(guò)程中應(yīng)該考慮的關(guān)鍵點(diǎn)并給出專(zhuān)業(yè)建議，重點(diǎn)研究中小銀行為什么要選擇云計(jì)算服務(wù)、如何選擇云計(jì)算服務(wù)和如何應(yīng) 用云計(jì)算的問(wèn)題，供中小銀行和云計(jì)算行業(yè)相關(guān)從業(yè)者及研究人員參考。 目錄1. 云計(jì)算在金融行業(yè)應(yīng)用現(xiàn)狀11.1 云計(jì)算簡(jiǎn)介11.1.1 云計(jì)算定義11.1.2 云計(jì)算部署模型11.1.3 云計(jì)算服務(wù)模式21.1.4 云計(jì)算服務(wù)參與者31.2 云計(jì)算發(fā)展情況41.2.1 云計(jì)算市場(chǎng)情況4（1） 全球云計(jì)算市場(chǎng)情況4（2） 我國(guó)云計(jì)算市場(chǎng)情況41.2.2 我國(guó)云計(jì)算政策環(huán)境6（1） 云計(jì)算宏觀政策情況6（2） 金融行業(yè)云計(jì)算相關(guān)政策情況61.

4、2.3 云計(jì)算在金融行業(yè)應(yīng)用情況7（1） 云計(jì)算加速金融行業(yè) “互聯(lián)網(wǎng)+”發(fā)展 7（2） 金融行業(yè)云計(jì)算部署模型7（3） 金融行業(yè)上云情況82. 中小銀行選擇云計(jì)算的意義92.1 中小銀行范疇92.2 中小銀行信息科技發(fā)展瓶頸92.2.1 業(yè)務(wù)要求高92.2.2 人力財(cái)力短板102.2.3 運(yùn)維管理難度大102.3 行業(yè)云有效助力中小銀行轉(zhuǎn)型112.3.1 運(yùn)營(yíng)成本考慮112.3.2 監(jiān)管合規(guī)考慮112.3.3 業(yè)務(wù)賦能考慮123.中小銀行上云決策框架134.中小銀行上云前準(zhǔn)備144.1 確定上云優(yōu)先級(jí)及可行性方案144.1.1 優(yōu)先級(jí)確定原則144.1.2 優(yōu)先級(jí)建議及可行性方案15 （1）

5、 最高優(yōu)先級(jí)16（2） 次優(yōu)先級(jí)16（3） 中優(yōu)先級(jí)16（4） 低優(yōu)先級(jí)184.2 選擇合適的云服務(wù)商205. 中小銀行上云實(shí)施215.1 服務(wù)合同制定和簽署215.2 服務(wù)方案設(shè)計(jì)和測(cè)試215.2.1 方案設(shè)計(jì)215.2.2 方案測(cè)試225.3 服務(wù)交付235.3.1 交付方案235.3.2 交付實(shí)施235.3.3 交付評(píng)估236. 中小銀行上云后管理236.1 服務(wù)質(zhì)量監(jiān)督管理236.2 風(fēng)險(xiǎn)管理246.2.1 責(zé)任分擔(dān)模型246.2.2 自身風(fēng)險(xiǎn)管理“三道防線”266.2.3 對(duì)云服務(wù)商風(fēng)險(xiǎn)管理要求266.3 變更和退出276.3.1 服務(wù)變更276.3.2 服務(wù)退出27附錄：中小銀行上

6、云典型案例291. 哈密市商業(yè)銀行上云案例292. 南陽(yáng)村鎮(zhèn)銀行上云案例31 1.云計(jì)算在金融行業(yè)應(yīng)用現(xiàn)狀1.1 云計(jì)算簡(jiǎn)介1.1.1 云計(jì)算定義云計(jì)算（Cloud Computing）最早于 2006 年出自Google CEO Eric Schmidt 之口，自亞馬遜推出彈性計(jì)算云服務(wù)之后被廣泛傳播，最終成為定義當(dāng)前信息技術(shù)變革大潮的名稱(chēng)。 ISO/IEC 標(biāo)準(zhǔn)化組織在 2014 年發(fā)布的Cloud computing-Overview and vocabulary中給出了云計(jì)算的定義：云計(jì)算是一種以網(wǎng)絡(luò)方式接入到一個(gè)可擴(kuò)展、彈性的共享物理或虛擬資源池的服務(wù)模式，用戶可以通過(guò)自服務(wù)和管理的

7、方式來(lái)按需購(gòu)買(mǎi)該服務(wù)。云計(jì)算用戶只需要很少的管理手段或者與服務(wù)商間的交互， 便能夠快速完成計(jì)算資源（包括網(wǎng)絡(luò)、服務(wù)器、存儲(chǔ)以及應(yīng)用等）的擴(kuò)展和釋放。云計(jì)算具有按需自助服務(wù)、通過(guò)互聯(lián)網(wǎng)獲取、資源池化、快速伸縮和可計(jì)量五個(gè) 主要特點(diǎn)。 1.1.2 云計(jì)算部署模型根據(jù)使用云計(jì)算平臺(tái)用戶范圍的不同，云資源歸屬和控制方的不同，一般將云計(jì)算分成私有云、公有云、行業(yè)云（社區(qū)云）和混合云等四種部署模型： （1）公有云。云服務(wù)可被任意云服務(wù)客戶使用，且資源被云服務(wù)提供者控制 的一種云部署模型。公有云可由企業(yè)、研究機(jī)構(gòu)、政府組織，或幾者聯(lián)合擁有、管理和運(yùn)營(yíng)。公有云在云服務(wù)提供者的場(chǎng)內(nèi)。一般情況下，公有云對(duì)參與方?jīng)]

8、有 限制。 1 （2） 私有云。云服務(wù)僅被一個(gè)云服務(wù)客戶使用，且資源被該云服務(wù)客戶控 制的一類(lèi)云部署模型。私有云可由云服務(wù)客戶自身或第三方擁有、管理和運(yùn)營(yíng)。私有云可在云服務(wù)客戶的場(chǎng)內(nèi)或場(chǎng)外。云服務(wù)客戶出于自身利益考慮，還可為其他參與方授權(quán)訪問(wèn)。一般情況下，私有云的客戶只局限于某個(gè)組織。 （3） 行業(yè)云（社區(qū)云）。云服務(wù)僅由一組特定的云服務(wù)客戶使用和共享的一 種云部署模型。這組云服務(wù)客戶的需求共享，彼此相關(guān)，且資源由組內(nèi)云服務(wù)客戶控制或云服務(wù)提供商控制。社區(qū)云可由社區(qū)里的一個(gè)或多個(gè)組織、第三方、或兩者聯(lián)合擁有、管理和運(yùn)營(yíng)。社區(qū)云可在云服務(wù)客戶的場(chǎng)內(nèi)或場(chǎng)外。行業(yè)云局限于有共同關(guān)注點(diǎn)的行業(yè)內(nèi)客戶，這

9、些共同關(guān)注點(diǎn)包括但不限于：業(yè)務(wù)需求、安全需求、政策符合性考慮等。 （4） 混合云。至少包含以上兩種不同云計(jì)算部署模型。 1.1.3 云計(jì)算服務(wù)模式對(duì)于公有云和行業(yè)云（社區(qū)云）這種以服務(wù)方式對(duì)外提供云計(jì)算資源的模式， 根據(jù)云服務(wù)商提供資源類(lèi)型的不同，云計(jì)算服務(wù)模式主要可分為三類(lèi)： （1） 軟件即服務(wù)（SaaS）：在 SaaS 模式下，云服務(wù)商向用戶提供的是運(yùn)行 在云基礎(chǔ)設(shè)施之上的應(yīng)用軟件。用戶不需要購(gòu)買(mǎi)、開(kāi)發(fā)軟件，可利用不同設(shè)備上的用戶端（如 WEB 瀏覽器）或程序接口通過(guò)網(wǎng)絡(luò)訪問(wèn)和使用云服務(wù)商提供的應(yīng)用軟件，如電子郵件系統(tǒng)、協(xié)同辦公系統(tǒng)等。用戶通常不能管理或控制支撐應(yīng)用軟件運(yùn)行的底層資源，如網(wǎng)

10、絡(luò)、服務(wù)器、操作系統(tǒng)、存儲(chǔ)等，但可對(duì)應(yīng)用軟件進(jìn)行有限的配置管理。 （2） 平臺(tái)即服務(wù)（PaaS）：在 PaaS 模式下，云服務(wù)商向用戶提供的是運(yùn)行 2 在云基礎(chǔ)設(shè)施之上的軟件開(kāi)發(fā)和運(yùn)行平臺(tái)，如：標(biāo)準(zhǔn)語(yǔ)言與工具、數(shù)據(jù)訪問(wèn)、通用接口等。用戶可利用該平臺(tái)開(kāi)發(fā)和部署自己的軟件。用戶通常不能管理或控制支撐平臺(tái)運(yùn)行所需的底層資源，如網(wǎng)絡(luò)、服務(wù)器、操作系統(tǒng)、存儲(chǔ)等，但可對(duì)應(yīng)用的運(yùn)行環(huán)境進(jìn)行配置，控制自己部署的應(yīng)用。 （3）基礎(chǔ)設(shè)施即服務(wù)（IaaS）：在 IaaS 模式下，云服務(wù)商向用戶提供虛擬計(jì) 算機(jī)、存儲(chǔ)、網(wǎng)絡(luò)等計(jì)算資源，提供訪問(wèn)云基礎(chǔ)設(shè)施的服務(wù)接口。用戶可在這些資源上部署或運(yùn)行操作系統(tǒng)、中間件、數(shù)據(jù)庫(kù)和

11、應(yīng)用軟件等。用戶通常不能管理或控制云基礎(chǔ)設(shè)施，但能控制自己部署的操作系統(tǒng)、存儲(chǔ)和應(yīng)用，也能部分控制 使用的網(wǎng)絡(luò)組件。 1.1.4 云計(jì)算服務(wù)參與者云計(jì)算服務(wù)的參與者可以分為：用戶、云服務(wù)商、審計(jì)者、云服務(wù)和網(wǎng)絡(luò)運(yùn)營(yíng)商。 （1） 用戶：即云計(jì)算資源消費(fèi)者，使用云服務(wù)商提供的云服務(wù)。 （2） 云服務(wù)商：向用戶提供可用的云計(jì)算服務(wù)的組織或?qū)嶓w。 （3） 審計(jì)者：能夠?qū)υ朴?jì)算服務(wù)及云計(jì)算實(shí)例的信息系統(tǒng)操作、 能和安全性進(jìn)行中立評(píng)估的機(jī)構(gòu)或?qū)嶓w。 （4） 云服務(wù)：管理云計(jì)算服務(wù)的使用、性能以及交付的實(shí)體，它能夠協(xié)調(diào)云服務(wù)商和用戶之間關(guān)系。 （5） 網(wǎng)絡(luò)運(yùn)營(yíng)商：為云服務(wù)商提供鏈接和傳輸網(wǎng)絡(luò)資源的實(shí)體。 3

12、 1.2 云計(jì)算發(fā)展情況1.2.1 云計(jì)算市場(chǎng)情況（1）全球云計(jì)算市場(chǎng)情況全球云計(jì)算市場(chǎng)總體持續(xù)增長(zhǎng)。2016 年以IaaS、PaaS 和 SaaS 為代表的典型云服務(wù)市場(chǎng)規(guī)模達(dá)到 654.8 億美元，增速 25.4%，預(yù)計(jì) 2020 年將達(dá)到 1435.3億美元，年復(fù)合增長(zhǎng)率達(dá) 21.7%。 數(shù)據(jù)來(lái)源：Gartner 圖 1 全球云計(jì)算市場(chǎng)規(guī)模（2）我國(guó)云計(jì)算市場(chǎng)情況我國(guó)云計(jì)算市場(chǎng)總體保持高速增長(zhǎng)趨勢(shì)。根據(jù)中國(guó)信息通信研究院的中國(guó) 4 公有云發(fā)展調(diào)查報(bào)告（2017 年）和中國(guó)私有云發(fā)展調(diào)查報(bào)告（2017 年）統(tǒng)計(jì)，2016 年我國(guó)云計(jì)算整體市場(chǎng)規(guī)模達(dá) 514.9 億元，整體增速 35.9%，

13、高于全球平均水平。其中，公有云服務(wù)市場(chǎng)整體規(guī)模約 170.1 億元人民幣，比 2015 年增長(zhǎng) 66.0%，預(yù)計(jì) 2017-2020 年中國(guó)公有云市場(chǎng)仍將保持高速增長(zhǎng)態(tài)勢(shì)，到 2020 年 市場(chǎng)規(guī)模將達(dá)到 603.6 億元。私有云1市場(chǎng)規(guī)模 344.8 億元人民幣，年增長(zhǎng)率 25.1%， 預(yù)計(jì) 2017 年增速仍將達(dá)到 23.4%，市場(chǎng)規(guī)模將達(dá)到 425 億元人民幣左右。 圖 2中國(guó)公有云市場(chǎng)規(guī)模及增速（單位：億元人民幣）圖 3中國(guó)私有云市場(chǎng)規(guī)模及增速（單位：億元人民幣）1此處私有云統(tǒng)計(jì)口徑為傳統(tǒng)私有云定義5 1.2.2 我國(guó)云計(jì)算政策環(huán)境（1）云計(jì)算宏觀政策情況支持云計(jì)算發(fā)展的政策相繼出臺(tái)，

14、政策環(huán)境持續(xù)利好。近年來(lái)，國(guó)內(nèi)云計(jì)算 發(fā)展政策集中出臺(tái)，我國(guó)云計(jì)算產(chǎn)業(yè)發(fā)展、行業(yè)推廣、應(yīng)用基礎(chǔ)等重要環(huán)節(jié)的宏觀政策環(huán)境已經(jīng)基本形成。國(guó)家層面相繼出臺(tái)以下政策： 2015 年 1 月，關(guān)于促進(jìn)云計(jì)算創(chuàng)新發(fā)展培育信息產(chǎn)業(yè)新業(yè)態(tài)的意見(jiàn)（國(guó)發(fā)20155 號(hào)） 2015 年 5 月，關(guān)于加強(qiáng)黨政部門(mén)云計(jì)算服務(wù)網(wǎng)絡(luò)安全管理的意見(jiàn) 2015 年 7 月，關(guān)于積極推進(jìn)“互聯(lián)網(wǎng)+”行動(dòng)的指導(dǎo)意見(jiàn) 2015 年 8 月，促進(jìn)大數(shù)據(jù)發(fā)展行動(dòng)綱要（國(guó)發(fā)(2015)50 號(hào)） 2017 年 3 月，云計(jì)算發(fā)展三年行動(dòng)計(jì)劃（2017-2019 年） （2）金融行業(yè)云計(jì)算相關(guān)政策情況同時(shí)，金融行業(yè)對(duì)云計(jì)算發(fā)展的政策環(huán)境也在

15、逐步完善中。 首次對(duì)銀行業(yè)云計(jì)算明確發(fā)布了監(jiān)管意見(jiàn)，是中國(guó)金融云建設(shè)的里程牌； 明確提出積極開(kāi)展云計(jì)算架構(gòu)規(guī)劃，主動(dòng)和穩(wěn)步實(shí)施架構(gòu)遷移； 支持金融行業(yè)行業(yè)云。除了金融私有云之外，提出“行業(yè)公共云”模型， 支持建立符合法律法規(guī)要求、市場(chǎng)化運(yùn)作、具備金融級(jí)安全等級(jí)的行業(yè) 6 云平臺(tái)運(yùn)營(yíng)機(jī)制。 人民銀行中國(guó)金融業(yè)信息技術(shù)“十三五”發(fā)展規(guī)劃 要求落實(shí)推動(dòng)新技術(shù)應(yīng)用，促進(jìn)金融創(chuàng)新發(fā)展，穩(wěn)步推進(jìn)系統(tǒng)架構(gòu)和云 計(jì)算技術(shù)應(yīng)用研究。 1.2.3 云計(jì)算在金融行業(yè)應(yīng)用情況（1）云計(jì)算加速金融行業(yè) “互聯(lián)網(wǎng)+”發(fā)展云計(jì)算促進(jìn)金融行業(yè)分布式架構(gòu)轉(zhuǎn)型，加速金融行業(yè)“互聯(lián)網(wǎng)+”發(fā)展。隨著金 融行業(yè)“互聯(lián)網(wǎng)+”戰(zhàn)略實(shí)施的快

16、速深入，對(duì)其業(yè)務(wù)及運(yùn)維系統(tǒng)的高效敏捷運(yùn)行提出了嚴(yán)峻挑戰(zhàn)，為此傳統(tǒng)金融機(jī)構(gòu)開(kāi)始高度關(guān)注分布式云計(jì)算架構(gòu)下 IT 系統(tǒng)的發(fā)展與應(yīng)用部署。與集中式架構(gòu)相比，分布式云計(jì)算架構(gòu)能夠幫助金融機(jī)構(gòu)彈性擴(kuò)容， 大大縮短應(yīng)用部署時(shí)間、實(shí)現(xiàn)故障自動(dòng)檢測(cè)定位以及業(yè)務(wù)升級(jí)不中斷，從而更好的適應(yīng)“互聯(lián)網(wǎng)+金融”的服務(wù)模式。在分布式架構(gòu)實(shí)現(xiàn)中，云計(jì)算技術(shù)是主要技術(shù)路線。云計(jì)算以其資源池化，應(yīng)用開(kāi)發(fā)分布式架構(gòu)的特點(diǎn)，可以滿足信息化系統(tǒng) 自動(dòng)擴(kuò)縮容、底層硬件兼容、業(yè)務(wù)快速部署的需求。 （2）金融行業(yè)云計(jì)算部署模型國(guó)內(nèi)傳統(tǒng)金融機(jī)構(gòu)使用云計(jì)算技術(shù)主要采用有私有云和行業(yè)云兩種部署模型。 金融行業(yè)按照業(yè)務(wù)又可以細(xì)分為銀行業(yè)、證券業(yè)、

17、保險(xiǎn)行業(yè)、互聯(lián)網(wǎng)金融等子市場(chǎng)。對(duì)于傳統(tǒng)的金融機(jī)構(gòu)，尤其是銀行業(yè)主要采用私有云和行業(yè)云的方式，這與銀行業(yè)的高度監(jiān)管是緊密相關(guān)的。 a) 金融機(jī)構(gòu)部署私有云主要用于存儲(chǔ)、運(yùn)行重要業(yè)務(wù)系統(tǒng)，存儲(chǔ)敏感數(shù)據(jù)， 7 一般采用自建基礎(chǔ)設(shè)施、購(gòu)買(mǎi)硬件產(chǎn)品和解決方案的方式搭建，在生產(chǎn)過(guò)程中實(shí)施外包駐場(chǎng)運(yùn)維、自主運(yùn)維。 b) 金融機(jī)構(gòu)部署行業(yè)云主要是通過(guò)金融機(jī)構(gòu)間在云計(jì)算領(lǐng)域的合作，通過(guò)資 源等方面的共享，在金融行業(yè)內(nèi)形成公共基礎(chǔ)設(shè)施、公共接口、公共應(yīng)用等一批技術(shù)公共服務(wù)。金融機(jī)構(gòu)部署行業(yè)云主要用于對(duì)金融機(jī)構(gòu)外部客戶的數(shù)據(jù)處理、 服務(wù)，或?yàn)橐欢▍^(qū)域內(nèi)金融機(jī)構(gòu)、金融機(jī)構(gòu)垂直機(jī)構(gòu)提供資源共享服務(wù)。 （3）金融行業(yè)上云

18、情況互聯(lián)網(wǎng)金融和輔助性業(yè)務(wù)系統(tǒng)較多首先上云。目前，金融機(jī)構(gòu)使用云計(jì)算技 術(shù)通常采取從外圍系統(tǒng)開(kāi)始逐步遷移的實(shí)施路線。輔助性業(yè)務(wù)系統(tǒng)安全等級(jí)較低， 系統(tǒng)問(wèn)題不會(huì)導(dǎo)致巨大的業(yè)務(wù)風(fēng)險(xiǎn)。金融機(jī)構(gòu)普遍考慮將渠道類(lèi)系統(tǒng)、客戶營(yíng)銷(xiāo)系統(tǒng)和經(jīng)營(yíng)管理等輔助性系統(tǒng)嘗試使用云計(jì)算，從而提升系統(tǒng)管理的靈活性，降低運(yùn)營(yíng)成本，同時(shí)也大幅提升了相關(guān)的用戶體驗(yàn)?；ヂ?lián)網(wǎng)金融系統(tǒng)包含微貸、P2P、消費(fèi)金融等相關(guān)業(yè)務(wù)，由于其系統(tǒng)需要新建，歷史包袱相對(duì)較輕，并且天然的互 聯(lián)網(wǎng)業(yè)務(wù)特性也比較適用于云計(jì)算相關(guān)技術(shù)。 圖 4 金融機(jī)構(gòu)上云系統(tǒng)情況8 不同類(lèi)型的金融機(jī)構(gòu)對(duì)云計(jì)算的應(yīng)用路徑也存在較大差異，不能一概而論。 比如大型銀行由于傳統(tǒng)信息

19、化基礎(chǔ)設(shè)施投入大、有專(zhuān)職技術(shù)部門(mén)、安全要求更加謹(jǐn)慎等原因，一般選擇沿用采購(gòu)軟硬件產(chǎn)品自行搭建私有云并獨(dú)立運(yùn)維，而中小銀行由于“缺錢(qián)少人”等原因一般不會(huì)選擇私有云部署模型，更傾向選擇行業(yè)云。 中小銀行是現(xiàn)代化金融發(fā)展歷程中重要的一類(lèi)金融機(jī)構(gòu)，其具有相同或類(lèi)似業(yè)務(wù)需求和政策特性，本白皮書(shū)將著重聚焦中小銀行上云，重點(diǎn)分析中小銀行上云需求和上云路徑，解析中小銀行上云過(guò)程中應(yīng)該考慮的關(guān)鍵點(diǎn)并給出推薦建議。 2. 中小銀行選擇云計(jì)算的意義2.1 中小銀行范疇這里的中小銀行2指的是依法設(shè)立的股份制商業(yè)銀行、城市商業(yè)銀行、農(nóng)村商 業(yè)銀行、農(nóng)村合作銀行、村鎮(zhèn)銀行等，其中股份制商業(yè)銀行不包括國(guó)有大型股份制商業(yè)銀行

20、。 2.2 中小銀行信息科技發(fā)展瓶頸2.2.1 業(yè)務(wù)要求高業(yè)務(wù)壓力大，信息化建設(shè)能力不足。中小銀行是一個(gè)嚴(yán)格意義上的銀行，擁 有全牌照，有權(quán)進(jìn)行全業(yè)務(wù)拓展，經(jīng)過(guò)監(jiān)管機(jī)構(gòu)審批后，可以開(kāi)展業(yè)務(wù)、網(wǎng)上銀行業(yè)務(wù)和國(guó)際業(yè)務(wù)等。中小銀行為提升自身市場(chǎng)競(jìng)爭(zhēng)能力，需持續(xù)進(jìn)行新 業(yè)務(wù)系統(tǒng)的研發(fā)和建設(shè)，這對(duì)中小銀行信息化建設(shè)能力帶來(lái)較大的挑戰(zhàn)。 2引用中小銀行信息系統(tǒng)托管維護(hù)服務(wù)規(guī)范 GB/T 0140-2017 中關(guān)于中小銀行的定義9 2.2.2 人力財(cái)力短板“缺錢(qián)少人”是中小銀行發(fā)展信息科技的最主要瓶頸。與經(jīng)濟(jì)實(shí)力雄厚的國(guó)有四 大銀行以及各大股份制銀行相比，缺錢(qián)少人的中小銀行在信息化建設(shè)上常常感到力不從心。由

21、于和人才匱乏，這就使得很多中小銀行在業(yè)務(wù)的拓展和創(chuàng) 新上受到嚴(yán)重制約。 圖 5 大型銀行與中小銀行科技投入對(duì)比 （數(shù)據(jù)來(lái)源：麥肯錫）2.2.3 運(yùn)維管理難度大系統(tǒng)運(yùn)維和信息管理工作相對(duì)復(fù)雜，難以應(yīng)對(duì)。即使中小銀行的信息化建設(shè) 能夠跟的上業(yè)務(wù)發(fā)展的需求，隨著業(yè)務(wù)的創(chuàng)新和拓展，金融服務(wù)能力要求會(huì)越來(lái)越高，信息系統(tǒng)數(shù)量會(huì)越來(lái)越多，復(fù)雜程度也越來(lái)越高，管理和整合的難度自然也就也越來(lái)越大。隨著風(fēng)險(xiǎn)管理的全面展開(kāi)及深入，加上信息化建設(shè)自身在發(fā)展過(guò)程中所凸顯的風(fēng)險(xiǎn)，以及信息安全等諸多因素的影響，勢(shì)必造成管理難度越來(lái) 越大，風(fēng)險(xiǎn)暴露越來(lái)越明顯。 10 2.3 行業(yè)云有效助力中小銀行轉(zhuǎn)型2.3.1 運(yùn)營(yíng)成本考慮

22、首先，正如前文所述，中小銀行由于其“缺錢(qián)少人”的主要瓶頸，出于運(yùn)營(yíng)成本的考慮，一般不建議像大型銀行那樣投入較大人力物力來(lái)全面建設(shè)私有云。采用 按需采購(gòu)云服務(wù)的模式，發(fā)展信息科技面臨的財(cái)力、人力壓力可以得到極大減輕。 從投資方面來(lái)看，中小銀行只需以相對(duì)低廉的“月租服務(wù)費(fèi)”方式投資，不用一次性投資大筆資金，不占用過(guò)多的營(yíng)運(yùn)資金，緩解了中小銀行資金不足的壓力。同時(shí)， 中小銀行無(wú)需再配備 IT 方面的專(zhuān)業(yè)運(yùn)維人員，從最大程度上減輕了中小銀行在財(cái) 力、人力上的壓力，從而使其可以集中投入發(fā)展核心業(yè)務(wù)。 2.3.2 監(jiān)管合規(guī)考慮中小銀行面對(duì)較為嚴(yán)格的監(jiān)管合規(guī)要求，在云服務(wù)部署模型選擇上必須慎重考慮。行業(yè)云可

23、以滿足監(jiān)管的要求，普通公有云往往難以滿足監(jiān)管要求。部分銀 行業(yè)監(jiān)管要求規(guī)范如下： JR/T 00112004銀行集中式數(shù)據(jù)中心規(guī)范 JR/T 00442008銀行業(yè)信息系統(tǒng)恢復(fù)管理規(guī)范 中小銀行信息系統(tǒng)托管維護(hù)服務(wù)規(guī)范 JR/T 01402017中國(guó)人民銀行計(jì)算機(jī)系統(tǒng)信息安全管理規(guī)定（銀發(fā)2010276 號(hào)） 商業(yè)銀行信息科技風(fēng)險(xiǎn)管理指引（銀監(jiān)發(fā)200919 號(hào)文） 11 商業(yè)銀行數(shù)據(jù)中心監(jiān)管指引 （銀監(jiān)發(fā) 2010 114 號(hào)文） 商業(yè)銀行業(yè)務(wù)連續(xù)性監(jiān)管指引（銀監(jiān)發(fā)2011104 號(hào)文） 銀行業(yè)金融機(jī)構(gòu)信息科技外包風(fēng)險(xiǎn)管理指引（銀監(jiān)發(fā)20135 號(hào)文） 2.3.3 業(yè)務(wù)賦能考慮不同云計(jì)算部署

24、模型對(duì)于業(yè)務(wù)本身的提升效果也存在區(qū)別，行業(yè)云優(yōu)勢(shì)較為明顯。一方面，面向金融行業(yè)的行業(yè)云業(yè)務(wù)產(chǎn)品更加有針對(duì)性，能夠有為金融業(yè)務(wù)定制資源配比、針對(duì)市場(chǎng)需求優(yōu)化金融類(lèi)產(chǎn)品和服務(wù)。另一方面，業(yè)務(wù)部署周 期縮短，中小銀行不再需要漫長(zhǎng)的開(kāi)發(fā)周期來(lái)完善其 IT 系統(tǒng)，只要從云計(jì)算服務(wù) 商那就可以獲得最先進(jìn)的應(yīng)用技術(shù)和服務(wù)支持，加快了業(yè)務(wù)部署和迭代的步伐 。圖 6 中小銀行選擇云服務(wù)部署模型雷達(dá)圖(來(lái)源: 中國(guó)信息通信研究院) 如上圖所示，綜合上述考慮，行業(yè)云在在運(yùn)營(yíng)成本、監(jiān)管合規(guī)和業(yè)務(wù)賦能三方面均表現(xiàn)較好，在本白皮書(shū)中，我們推薦“金融行業(yè)云”作為普通中小銀行的上云12 首選部署模型，后文中關(guān)于中小銀行的上云

25、分析均默認(rèn)為行業(yè)云部署模型。3.中小銀行上云決策框架在傳統(tǒng)的信息化建設(shè)模式下，中小銀行直接投資構(gòu)建IT 設(shè)施、服務(wù)器以及網(wǎng)絡(luò)，擁有信息化資源的所有權(quán)；現(xiàn)在，需要轉(zhuǎn)換思維，把 IT 看作服務(wù)，看作是商品化的計(jì)算資源和服務(wù)。這種全新的思維方式對(duì)整個(gè) IT 服務(wù)的生命周期都產(chǎn)生了 重大影響。 本白皮書(shū)提出了中小銀行上云的決策框架，從上云前準(zhǔn)備、上云實(shí)施到上云后管理三個(gè)流程提出決策建議。供計(jì)劃實(shí)施的有關(guān)單位參考。 表 1 中小銀行上云決策框架 13上云前準(zhǔn)備 上云實(shí)施 上云后管理 確定上云優(yōu)先級(jí)和可行性方案 選擇合適的云服務(wù)商 服務(wù)合同制定和簽署 服務(wù)方案設(shè)計(jì)和測(cè)試 服務(wù)交付 服務(wù)質(zhì)量監(jiān)督管理 風(fēng)險(xiǎn)管

26、理 變更和退出 4.中小銀行上云前準(zhǔn)備4.1 確定上云優(yōu)先級(jí)及可行性方案4.1.1 優(yōu)先級(jí)確定原則確定上云優(yōu)先級(jí)是中小銀行上云的第一步工作，也是最重要的工作。中小銀 行在上云之前應(yīng)全面審視自己的業(yè)務(wù)系統(tǒng)，認(rèn)真評(píng)估其 IT 資產(chǎn)，仔細(xì)設(shè)計(jì)路線圖，將適合云化部署且準(zhǔn)備比較充分的服務(wù)置于首選地位，以使上云帶來(lái)的收益最大化、成本最小化。 中小銀行因資產(chǎn)規(guī)模區(qū)別，業(yè)務(wù)系統(tǒng)種類(lèi)和數(shù)量一般也存在較大差異，資產(chǎn)規(guī)模較大的股份制商業(yè)銀行和城市商業(yè)銀行業(yè)務(wù)系統(tǒng)通常比較豐富，而中小銀行中資產(chǎn)規(guī)模最小的村鎮(zhèn)銀行因盈利能力較弱，系統(tǒng)較少?？傮w來(lái)說(shuō)，銀行業(yè)信息系統(tǒng)一般包含渠道服務(wù)、客戶服務(wù)、產(chǎn)品服務(wù)、風(fēng)險(xiǎn)管理、管理信息、

27、核心銀行、內(nèi)部支持和基礎(chǔ)平臺(tái)等八個(gè)主要的業(yè)務(wù)系統(tǒng)領(lǐng)域。各業(yè)務(wù)系統(tǒng)領(lǐng)域中的典型應(yīng)用 如下圖所示： 最高優(yōu)先次高優(yōu)先中優(yōu)先低優(yōu)先圖 7 銀行業(yè)信息系統(tǒng)14 成本收益比、安全保護(hù)要求、監(jiān)管機(jī)構(gòu)管理要求、應(yīng)用系統(tǒng)上云難度是確定業(yè)務(wù)系統(tǒng)上云優(yōu)先級(jí)的主要考量因素。通常來(lái)說(shuō)，確定上云優(yōu)先級(jí)有幾個(gè)參考原 則。 一是對(duì)于需新部署的業(yè)務(wù)系統(tǒng)，且云服務(wù)商已有與之相對(duì)應(yīng)的比較成熟的業(yè)務(wù)，從價(jià)值收益的角度建議不分業(yè)務(wù)類(lèi)型，都首選云服務(wù)； 二是已有信息化系統(tǒng)，上云后價(jià)值效益明顯的，也建議盡快上云，尤其像訪 問(wèn)流量有突發(fā)變化特征或?qū)?shù)據(jù)融合處理有較高要求的系統(tǒng)，上云后能夠帶來(lái)明顯的效益提升; 三是對(duì)于已有信息化系統(tǒng)，按照非

28、核心系統(tǒng)和核心系統(tǒng)的區(qū)分確定優(yōu)先級(jí)， 先上非核心系統(tǒng)，后上核心系統(tǒng)。 4.1.2 優(yōu)先級(jí)建議及可行性方案如前文所述，對(duì)于新開(kāi)業(yè)的中小銀行或中小銀行需要新開(kāi)發(fā)部署業(yè)務(wù)系統(tǒng)， 建議直接采用云計(jì)算部署架構(gòu)，根據(jù)業(yè)務(wù)需求逐步部署業(yè)務(wù)系統(tǒng)。下文重點(diǎn)分析中小銀行已有信息化系統(tǒng)遷移上云應(yīng)如何確定優(yōu)先級(jí)。 綜合成本收益比、安全保護(hù)要求、監(jiān)管機(jī)構(gòu)管理要求、應(yīng)用系統(tǒng)上云難度等多方面考慮，本白皮書(shū)給出中小銀行業(yè)務(wù)系統(tǒng)遷移上云的優(yōu)先級(jí)推薦建議，圖 7 中綠色、黃色、橙色、紅色代表各類(lèi)系統(tǒng)上云優(yōu)先級(jí)從高至低，分別為：最高優(yōu)先級(jí)（綠色）、次高優(yōu)先級(jí)（黃色）、中優(yōu)先級(jí)（橙色）、低優(yōu)先級(jí)（紅色）。當(dāng)然， 需要強(qiáng)調(diào)的是本白皮書(shū)

29、僅針對(duì)普遍情形給出推薦建議，中小銀行可根據(jù)自身特點(diǎn) 有所調(diào)整策略。 15 （1）最高優(yōu)先級(jí)銀行業(yè)使用信息系統(tǒng)中，圖 7 中標(biāo)注為綠色的信息系統(tǒng)可以考慮優(yōu)先上云。具體包括：手機(jī)銀行、微信銀行、網(wǎng)上銀行、電子支付、電話銀行、第三方支付、呼叫中心、積分系統(tǒng)、辦公系統(tǒng)、員工培訓(xùn)學(xué)習(xí)系統(tǒng)、網(wǎng)點(diǎn)管理系統(tǒng)、人力資源系統(tǒng)、機(jī)房運(yùn)維管理系統(tǒng)、郵件系統(tǒng)、數(shù)據(jù)級(jí)災(zāi)備系統(tǒng)、ITSM 工具以及短信平臺(tái)等。 可行性方案：這些系統(tǒng)中，云化的部署模型基本上不會(huì)改變現(xiàn)有應(yīng)用系統(tǒng)的架構(gòu)，直接進(jìn)行遷移即可。數(shù)據(jù)級(jí)災(zāi)備系統(tǒng)所使用的行業(yè)云服務(wù)與其他應(yīng)用系統(tǒng)略有不同；其他系統(tǒng)多使用行業(yè)云服務(wù)中的“云主機(jī)”服務(wù)，而數(shù)據(jù)級(jí)災(zāi)備使用類(lèi)似 于“

30、云備份”的服務(wù)模式。 （2）次優(yōu)先級(jí)圖 7 中黃色系統(tǒng)為其次，具體包括：客戶關(guān)系管理系統(tǒng)、營(yíng)銷(xiāo)系統(tǒng)、財(cái)富管理平臺(tái)、直銷(xiāo)銀行、互聯(lián)網(wǎng)金融類(lèi)系統(tǒng)、票據(jù)系統(tǒng)、監(jiān)管報(bào)送類(lèi)系統(tǒng)、司法查控、電信反、經(jīng)營(yíng)分析、綜合報(bào)表、定價(jià)系統(tǒng)、資產(chǎn)負(fù)債管理以及績(jī)效考核類(lèi)系統(tǒng)等。 可行性方案：基礎(chǔ)服務(wù)類(lèi)應(yīng)用系統(tǒng)和非面向互聯(lián)網(wǎng)的服務(wù)類(lèi)應(yīng)用系統(tǒng)具有一定的上云改造要求，但是基本上只是接口模式或者數(shù)據(jù)對(duì)接類(lèi)的改造，應(yīng)用架構(gòu) 沒(méi)有太大改變。 （3）中優(yōu)先級(jí)圖 7 中橙色系統(tǒng)，是面向互聯(lián)網(wǎng)服務(wù)類(lèi)的應(yīng)用系統(tǒng)、渠道類(lèi)應(yīng)用系統(tǒng)以及部 16 分底層支持類(lèi)的信息系統(tǒng)，在上云過(guò)程中具有相對(duì)較高的難度和要求。此類(lèi)信息系統(tǒng)包括：銀聯(lián)卡、ATM/POS

31、、智能機(jī)具、智能柜臺(tái)、銀企直聯(lián)、統(tǒng)一客戶管理管理、信貸業(yè)務(wù)平臺(tái)、資金交易、智能風(fēng)控、審計(jì)系統(tǒng)、事后監(jiān)督、財(cái)務(wù)管理、統(tǒng)一監(jiān)控平臺(tái)等。 可行性方案：此類(lèi)信息在上云改造時(shí)要考慮分布式架構(gòu)改造、分布式存儲(chǔ)的 選擇、SaaS 多租戶模式改造和信息安全問(wèn)題四個(gè)方面。 a) 分布式架構(gòu)改造一般銀行業(yè)原有的此類(lèi)系統(tǒng)是基于高可靠、高性能的小型機(jī)、數(shù)據(jù)庫(kù)、存儲(chǔ)等設(shè)計(jì)的向上的封閉架構(gòu)；如果進(jìn)行 X86 的改造需要考慮采用分布式軟件架構(gòu)實(shí)現(xiàn)冗余，增加容錯(cuò)性。以及在分布式架構(gòu)事物和數(shù)據(jù)處理將分布在多個(gè) X86 節(jié)點(diǎn)中完成，處理狀態(tài)極大增加同步開(kāi)銷(xiāo)，需要在系統(tǒng)應(yīng)用層盡量采用無(wú)狀態(tài)機(jī)制實(shí) 現(xiàn)。 b) 分布式存儲(chǔ)的選擇存儲(chǔ)的

32、選擇需要結(jié)合業(yè)務(wù)場(chǎng)景和需求。塊存儲(chǔ)服務(wù)適用于需求塊級(jí)數(shù)據(jù)存儲(chǔ)的應(yīng)用；文件存儲(chǔ)服務(wù)主要針對(duì)非結(jié)構(gòu)化數(shù)據(jù)；對(duì)象存儲(chǔ)服務(wù)適合于面向 Web 的存儲(chǔ)型應(yīng)用。對(duì)于分析型數(shù)據(jù)庫(kù) OLAP，根據(jù)需求可采用 Hadoop/MPP 分布式云存儲(chǔ)。對(duì)于交易型數(shù)據(jù)庫(kù) OLTP，并發(fā)量小的，根據(jù)數(shù)據(jù)存儲(chǔ)的應(yīng)用特征，選擇合適的文件、對(duì)象或塊等云存儲(chǔ)；并發(fā)量大的，目前建議還是用傳統(tǒng)存儲(chǔ)。因此， 根據(jù)系統(tǒng)應(yīng)用的存儲(chǔ)需求特征，選擇合適的存儲(chǔ)方案是支撐系統(tǒng)云化中的關(guān)鍵問(wèn) 題。 17 c) SaaS 多租戶模式改造如果是行業(yè)云提供商進(jìn)行系統(tǒng)的云化改造，還需要考慮將原有單個(gè)系統(tǒng)服務(wù)模式改造成多租戶模式。租戶是指擁有獨(dú)占而隔離的、專(zhuān)

33、有使用策略、SLA 保證、可統(tǒng)計(jì)和可計(jì)費(fèi)的資源服務(wù)單元，租戶也可形成有層級(jí)關(guān)系的樹(shù)形結(jié)構(gòu)。以多租 戶為基礎(chǔ)的業(yè)務(wù)服務(wù)模式是云計(jì)算數(shù)據(jù)中心的重要特征。 d) 信息安全此類(lèi)信息系統(tǒng)的原有安全要求已經(jīng)比較高，公安部具有三級(jí)等保的要求，銀監(jiān)會(huì)有每年的安全風(fēng)險(xiǎn)檢查和安全風(fēng)險(xiǎn)評(píng)估要求，人民銀行有渠道類(lèi)系統(tǒng)的上線檢查要求等。即使上云后，云服務(wù)提供商或者銀行自建的云服務(wù)系統(tǒng)均應(yīng)滿足其對(duì)應(yīng)的監(jiān)管要求。另外，共享資源池可能引起的全局故障、多租戶環(huán)境的安全隔離不完全、多系統(tǒng)共存和資源池的動(dòng)態(tài)化導(dǎo)致的安全策略的復(fù)雜性、虛擬化技術(shù)帶來(lái)的新安全威脅和入侵點(diǎn)、虛擬機(jī)的剩余信息保護(hù)、虛擬資源內(nèi)部之間的安全管控等由上云導(dǎo)致的新

34、問(wèn)題均應(yīng)充分考慮，可以參考可信云評(píng)估的要求在數(shù)據(jù)私 密性、數(shù)據(jù)存儲(chǔ)持久性等方面達(dá)到相應(yīng)的要求。 （4）低優(yōu)先級(jí)圖 7 中紅色系統(tǒng)，銀行原有核心系統(tǒng)的上云是最復(fù)雜、最有難度，也是應(yīng)該最后進(jìn)行的信息系統(tǒng)，包括柜面綜合業(yè)務(wù)前置、核心系統(tǒng)、支付平臺(tái)、電子驗(yàn)印、密押系統(tǒng)、集中授權(quán)、策略管理、應(yīng)用級(jí)災(zāi)備系統(tǒng)以及統(tǒng)一認(rèn)證等系統(tǒng)。 可行性方案：目前我國(guó)商業(yè)銀行的核心系統(tǒng)基本上均是基于小型機(jī)或者甚至 大型機(jī)為基礎(chǔ)的高可用 IOE 模式。核心系統(tǒng)改造需要大量的財(cái)力投入和較長(zhǎng)的改 18 造時(shí)間，如果在這個(gè)過(guò)程沒(méi)有有效的業(yè)務(wù)保障，很容易造成嚴(yán)重后果，導(dǎo)致 IT 拖延業(yè)務(wù)，甚至失去市場(chǎng)和地位。 核心系統(tǒng)上云的主要技術(shù)難

35、點(diǎn)在于應(yīng)用架構(gòu)的改造，改造過(guò)程中除了需要考慮上文中提到的中優(yōu)先級(jí)中的分布式架構(gòu)改造、分布式存儲(chǔ)的選擇、SaaS 多租戶模式改造和信息安全以外，還應(yīng)著重充分考慮三方面：一是與其他業(yè)務(wù)的對(duì)接模 式；二是應(yīng)用架構(gòu)的分布式改造；三是以客戶為中心的新需求。 a) 與其他所有業(yè)務(wù)的對(duì)接模式銀行核心系統(tǒng)原有模式采用“大集中”的管理模式，即：全部數(shù)據(jù)都會(huì)與核心系統(tǒng)對(duì)接。在改造過(guò)程中有兩個(gè)選擇：一是繼續(xù)使用“大集中”模式（低難度）；二是 采用 SOA 松耦合模式（高難度），應(yīng)對(duì)未來(lái)的改造將會(huì)更加靈活。 b) 應(yīng)用架構(gòu)的分布式改造核心系統(tǒng)的分布式改造建議由熟悉業(yè)務(wù)流程邏輯的人員參與實(shí)施，核心系統(tǒng)其實(shí)已超越了一個(gè)

36、IT 系統(tǒng)本身應(yīng)有的意義，不再僅僅是業(yè)務(wù)操作習(xí)慣的變化，它為銀行帶來(lái)的變革和價(jià)值是廣泛而深遠(yuǎn)的，涉及了銀行的經(jīng)營(yíng)理念、管理模式、組織流程和文化等等很多方面。所有這些變革，在項(xiàng)目前期都需要經(jīng)過(guò)充分的討 論和共識(shí)，需要得到銀行上至行領(lǐng)導(dǎo)下至柜員的全部門(mén)的大力支持。 c) 以客戶為中心的新需求在改造過(guò)程中，可以考慮將原有的核心系統(tǒng)改造需求納入開(kāi)發(fā)范圍，以實(shí)現(xiàn)核心系統(tǒng)升級(jí)后對(duì)業(yè)務(wù)的有效支撐，通過(guò) IT 架構(gòu)轉(zhuǎn)型，推動(dòng)科技創(chuàng)新，滿足安全19 可控要求，最終實(shí)現(xiàn)科技引領(lǐng)業(yè)務(wù)轉(zhuǎn)型與發(fā)展的目標(biāo)。4.2 選擇合適的云服務(wù)商中小銀行在選擇云服務(wù)商時(shí)應(yīng)充分考慮云服務(wù)商的服務(wù)能力、 穩(wěn)定性等風(fēng)險(xiǎn)， 建立云服務(wù)商的準(zhǔn)入

37、標(biāo)準(zhǔn)，不因引入云服務(wù)商而增加整體風(fēng)險(xiǎn)。 中小銀行選擇云服務(wù)商應(yīng)遵循以下基本原則： （1）云服務(wù)商應(yīng)在數(shù)據(jù)安全、服務(wù)質(zhì)量和權(quán)益保障等方面具備可信任的能力，獲得過(guò)相關(guān)資質(zhì)（如通過(guò)可信云評(píng)估）。 （2）云服務(wù)商應(yīng)滿足監(jiān)管機(jī)構(gòu)的準(zhǔn)入要求。 （3）中小銀行應(yīng)審查、評(píng)估候選云服務(wù)商的財(cái)務(wù)穩(wěn)定性和行業(yè)經(jīng)驗(yàn)， 對(duì)候選云服務(wù)商進(jìn)行風(fēng)險(xiǎn)評(píng)估，考查其資源和能力是否足以承擔(dān)相應(yīng)的責(zé)任，防范引入高風(fēng)險(xiǎn)特性的云服務(wù)商。 （4）中小銀行應(yīng)對(duì)重點(diǎn)云服務(wù)商開(kāi)展盡職調(diào)查，必要時(shí)可委托第三方評(píng)估機(jī)構(gòu)協(xié)助調(diào)查和評(píng)估，應(yīng)關(guān)注： 云服務(wù)商的技術(shù)和行業(yè)經(jīng)驗(yàn)，包括但不限于：服務(wù)能力和支持技術(shù)、服務(wù)經(jīng)驗(yàn)、服務(wù)人員技能、市場(chǎng)評(píng)價(jià)、監(jiān)管評(píng)價(jià)等；

38、云服務(wù)商的內(nèi)部控制和管理能力，包括但不限于：內(nèi)部控制機(jī)制和管理流程的完善程度、內(nèi)部控制技術(shù)和工具、數(shù)據(jù)管理和訪問(wèn)控制方面的能力等； 云服務(wù)商的持續(xù)經(jīng)營(yíng)狀況，包括但不限于：財(cái)務(wù)狀況、從業(yè)時(shí)間、市場(chǎng) 地位及發(fā)展趨勢(shì)等。 20 5.中小銀行上云實(shí)施5.1 服務(wù)合同制定和簽署中小銀行需確保與云服務(wù)商簽訂規(guī)范的服務(wù)合同，將有助于提升服務(wù)質(zhì)量， 最大程度地降低對(duì)于特定廠商的依賴(lài)度。依據(jù)可信云服務(wù)合同參考模板3，可按照主約加附件的方式制定服務(wù)合同，主約中重點(diǎn)關(guān)注服務(wù)條款要求、交付要求、數(shù)據(jù)保密要求、知識(shí)產(chǎn)權(quán)、責(zé)任、違約條款等；附件主要為服務(wù)等級(jí)協(xié)議（SLA），重點(diǎn)關(guān)注云服務(wù)商的服務(wù)可用性、數(shù)據(jù)存儲(chǔ)持久性、資

39、源調(diào)配能力、網(wǎng)絡(luò)接入能力、故障恢復(fù)能力等，SLA 應(yīng)盡量做到可量化、可評(píng)估，中小銀行可依據(jù) SLA 中簽訂的能力要求在后續(xù)實(shí)施和管理過(guò)程中自行或委托第三方對(duì)云服務(wù)商進(jìn)行評(píng)估 考核。 5.2 服務(wù)方案設(shè)計(jì)和測(cè)試5.2.1 方案設(shè)計(jì)云服務(wù)商應(yīng)依據(jù)云服務(wù)目標(biāo)和服務(wù)級(jí)別協(xié)議進(jìn)行云服務(wù)方案的設(shè)計(jì)，服務(wù)方案應(yīng)涉及與云服務(wù)相關(guān)的資源配備、人力配備和管理要求。管理要求應(yīng)涵蓋組織管理、范圍管理、質(zhì)量管理、溝通管理、時(shí)間管理、風(fēng)險(xiǎn)管理、財(cái)務(wù)預(yù)算管理、技術(shù)管理、文檔管理及其他資源管理，也應(yīng)涉及測(cè)試驗(yàn)證流程、技術(shù)實(shí)施流程、服務(wù)交付流程、日常維護(hù)流程、應(yīng)急處置與恢復(fù)流程、驗(yàn)收考核流程等各個(gè)方面。 需要特別強(qiáng)調(diào)的是，除上

40、線新業(yè)務(wù)外，很大部分工作在于存量業(yè)務(wù)應(yīng)用的遷 3可信云服務(wù)合同參考模版由中國(guó)信息通信研究院（工業(yè)和信息化部電信研究院），基于 YDB144-2014云計(jì)算服務(wù)協(xié)議參考框架 基礎(chǔ)上，參考了computing）后撰寫(xiě)。 國(guó)際貿(mào)易法委員會(huì)云計(jì)算合同議題（checklist of contractual issues relating to cloud21 移，如何有序、安全、便捷地進(jìn)行遷移，保證業(yè)務(wù)的可用性、安全性、連續(xù)性是必須考慮的重要環(huán)節(jié)。服務(wù)商應(yīng)按照前述第 4 章第 4.1 部分確定上云優(yōu)先級(jí)及可行性方案的內(nèi)容，針對(duì)不同的銀行業(yè)務(wù)系統(tǒng)現(xiàn)狀規(guī)劃方案，包括： （1）業(yè)務(wù)系統(tǒng)遷移的優(yōu)先級(jí)及可行性方案

41、; （2）相應(yīng)業(yè)務(wù)系統(tǒng)的資源使用規(guī)劃和架構(gòu)，包括計(jì)算、存儲(chǔ)、網(wǎng)絡(luò)等; （3）相應(yīng)的業(yè)務(wù)系統(tǒng)的運(yùn)維管理模式，服務(wù)商和中小銀行的權(quán)責(zé)劃分等。 5.2.2 方案測(cè)試云服務(wù)商在服務(wù)資源、人員和管理方面準(zhǔn)備就緒后應(yīng)測(cè)試并驗(yàn)證服務(wù)方案的完備性。測(cè)試和驗(yàn)證應(yīng)滿足以下要求： （1） 為避免云服務(wù)存在技術(shù)和管理方面的缺陷，云服務(wù)商應(yīng)依據(jù)服務(wù)方案的內(nèi)容對(duì)相關(guān)的技術(shù)手段、軟件、設(shè)備和工具的可用性及性能、管理制度和流程的合理性等方面進(jìn)行必要的測(cè)試及驗(yàn)證。 （2） 云服務(wù)商應(yīng)在測(cè)試驗(yàn)證前向中小銀行用戶提交測(cè)試驗(yàn)證方案，明確測(cè)試驗(yàn)證的方式、人員、環(huán)境、標(biāo)準(zhǔn)、文檔等，中小銀行用戶應(yīng)對(duì)測(cè)試驗(yàn)證方案進(jìn)行評(píng)審。 （3） 云服務(wù)商

42、應(yīng)按測(cè)試驗(yàn)證方案的內(nèi)容向中小銀行用戶提供測(cè)試人員、準(zhǔn)備測(cè)試環(huán)境、記錄測(cè)試數(shù)據(jù)、提供測(cè)試報(bào)告，中小銀行用戶應(yīng)提供必要的協(xié)助， 并 22 5.3 服務(wù)交付5.3.1 交付方案云服務(wù)商向中小銀行用戶提交詳細(xì)的服務(wù)交付方案，包括服務(wù)交付時(shí)間、交付方式、交付人員、交付技術(shù)手段、交付文檔、交付培訓(xùn)、交付驗(yàn)收標(biāo)準(zhǔn)和流程 等，中小銀行用戶應(yīng)對(duì)服務(wù)交付方案進(jìn)行評(píng)審并與云服務(wù)商達(dá)成一致。 5.3.2 交付實(shí)施中小銀行用戶應(yīng)對(duì)云服務(wù)商提交的服務(wù)管理計(jì)劃進(jìn)行評(píng)審，并在服務(wù)交付過(guò)程中對(duì)云服務(wù)商的交付過(guò)程進(jìn)行監(jiān)督和檢查，發(fā)現(xiàn)交付過(guò)程中存在問(wèn)題和偏差時(shí)， 應(yīng)及時(shí)向云服務(wù)商反映，并要求云服務(wù)商采取必要的措施。在業(yè)務(wù)遷移的實(shí)施

43、過(guò)程中，盡量應(yīng)做到無(wú)停機(jī)的數(shù)據(jù)遷移，實(shí)現(xiàn)在線不停業(yè)務(wù)遷移；按照靈活部署原 則，先遷移后擇時(shí)割接。 5.3.3 交付評(píng)估服務(wù)交付完成后，云服務(wù)商應(yīng)向中小銀行提交服務(wù)交付報(bào)告，中小銀行可以組織第三方對(duì)遷移后的業(yè)務(wù)和云平臺(tái)進(jìn)行評(píng)估驗(yàn)收。詳細(xì)記錄服務(wù)交付的關(guān)鍵信息，如工作任務(wù)、所需資源、進(jìn)展?fàn)顟B(tài)、負(fù)責(zé)和參與人員、完成時(shí)間、存在的問(wèn)題、解決方案等，中小銀行應(yīng)組織相關(guān)人員對(duì)報(bào)告進(jìn)行評(píng)審，通過(guò)后上線。 6.中小銀行上云后管理6.1 服務(wù)質(zhì)量監(jiān)督管理上云成功后，云計(jì)算廠商接受中小銀行用戶或受委托的第三方機(jī)構(gòu)對(duì)云服務(wù) 23 的監(jiān)督和管理。云計(jì)算廠商和中小銀行用戶共同建立故障響應(yīng)流程以及日常巡檢、服務(wù)質(zhì)量監(jiān)督制度

44、，督促云計(jì)算廠商為中小銀行用戶提供可靠的運(yùn)行服務(wù)保障， 推動(dòng)服務(wù)質(zhì)量持續(xù)改進(jìn)。中小銀行用戶根據(jù)自身審計(jì)能力可以選擇通過(guò)自行審計(jì)或委托第三方機(jī)構(gòu)審計(jì)的方式，開(kāi)展周期性評(píng)估審計(jì)。 中小銀行用戶管理云系統(tǒng)需要將云服務(wù)商、審計(jì)者和最終用戶都考慮進(jìn)來(lái)， 將關(guān)注的側(cè)重點(diǎn)聚焦于服務(wù)而非資產(chǎn)。需要有效地管理云服務(wù)商的輸出過(guò)程(例如SLA）而不是用戶的輸入過(guò)程(例如服務(wù)器的數(shù)量)。對(duì)出現(xiàn)的服務(wù)不可用或其他應(yīng)對(duì)用戶進(jìn)行賠償?shù)膱?chǎng)景，云計(jì)算廠商應(yīng)按照與中小銀行用戶服務(wù)協(xié)議中約定的內(nèi) 容和方式，進(jìn)行有效賠付，保證中小銀行用戶的合法權(quán)益。 6.2 風(fēng)險(xiǎn)管理6.2.1 責(zé)任分擔(dān)模型中小銀行用戶必須加強(qiáng)防范云計(jì)算模式下的 I

45、T 風(fēng)險(xiǎn),保障業(yè)務(wù)信息和運(yùn)行安全。中小銀行在使用云服務(wù)的過(guò)程中，會(huì)有多種云計(jì)算技術(shù)的選擇方式，同時(shí)也可能會(huì)面臨多個(gè)云服務(wù)商。任何一個(gè)云服務(wù)的參與者都應(yīng)當(dāng)承擔(dān)起相應(yīng)的職責(zé)，不同角色的參與者通常會(huì)承擔(dān)實(shí)施和管理不同部分的責(zé)任。云安全和云風(fēng)險(xiǎn)的職 責(zé)會(huì)由參與者共同分擔(dān)。建議的責(zé)任分擔(dān)模型如下圖所示： 24 圖 8 中小銀行用戶和服務(wù)提供商責(zé)任分擔(dān)模型 在 IaaS 服務(wù)模式中，云資源使用方和云服務(wù)提供商共同保證主機(jī)服務(wù)器及網(wǎng)絡(luò)環(huán)境的穩(wěn)定運(yùn)行。 云資源使用方主要負(fù)責(zé)：提交云資源配置需求并正常使用云服務(wù)提供商提供的云主機(jī)、網(wǎng)絡(luò)、安全策略等；按照本公司的風(fēng)險(xiǎn)管理要求進(jìn)行云服務(wù)器和網(wǎng)絡(luò)的變更，避免人為失誤或

46、方案疏忽等因素造成影響單個(gè)應(yīng)用或整個(gè)云平臺(tái)的風(fēng)險(xiǎn)。 云服務(wù)提供商主要負(fù)責(zé)：按照云資源使用方的要求提供相應(yīng)的云主機(jī)、網(wǎng)絡(luò)、安全資源；負(fù)責(zé)維護(hù)整個(gè)云平臺(tái)的高可用運(yùn)行，負(fù)責(zé)確保單個(gè)云主機(jī)或者單個(gè)物理機(jī)的故障能夠自動(dòng)、快速、有效恢復(fù)正常；負(fù)責(zé)在出現(xiàn)風(fēng)險(xiǎn)時(shí)，配合客戶進(jìn)行基礎(chǔ)環(huán)境、主機(jī)環(huán)境、網(wǎng)絡(luò)環(huán)境、甚至應(yīng)用層面的故障排查、處置和恢復(fù)。數(shù)據(jù)資產(chǎn)的安全和保護(hù)貫徹?cái)?shù)據(jù)使用生命周期的各個(gè)環(huán)節(jié)，需要云資源使用方和云服務(wù)提供商共同維護(hù)、協(xié)同保障。2018 年 3 月 16 日，中國(guó)銀監(jiān)會(huì)發(fā)布了25 銀行業(yè)金融機(jī)構(gòu)數(shù)據(jù)治理指引（征求），要求銀行業(yè)金融機(jī)構(gòu)將數(shù)據(jù)治理納入公司治理范疇，并將數(shù)據(jù)治理情況與公司治理評(píng)價(jià)和監(jiān)管

47、評(píng)級(jí)掛鉤。明確鼓勵(lì)銀行業(yè)金融機(jī)構(gòu)開(kāi)展制度性探索，在公司設(shè)置首席數(shù)據(jù)官。強(qiáng)調(diào)銀行業(yè)金融機(jī)構(gòu)應(yīng)順應(yīng)大數(shù)據(jù)時(shí)代的需要，同時(shí)所有相關(guān)方均應(yīng)強(qiáng)化數(shù)據(jù)安全意識(shí)，依法合 規(guī)采集數(shù)據(jù)，防止過(guò)度采集、數(shù)據(jù)，切實(shí)依法保護(hù)客戶數(shù)據(jù)安全。 6.2.2 自身風(fēng)險(xiǎn)管理“三道防線”中小銀行用戶從自身來(lái)說(shuō)，應(yīng)制定完善的風(fēng)險(xiǎn)管理和安全保障制度，依據(jù)監(jiān)管要求的“三道防線”的思路下設(shè)計(jì)整信息科技部門(mén)的風(fēng)險(xiǎn)管理體系架構(gòu)，包括信息科技管理、信息科技風(fēng)險(xiǎn)管理和信息科技審計(jì)管理。重點(diǎn)做好數(shù)據(jù)風(fēng)險(xiǎn)管理，建 立人才培養(yǎng)和技能儲(chǔ)備機(jī)制，強(qiáng)化主動(dòng)管理風(fēng)險(xiǎn)能力。 圖 9 中小銀行IT 風(fēng)險(xiǎn)管理“三道防線”架構(gòu)6.2.3 對(duì)云服務(wù)商風(fēng)險(xiǎn)管理要求中小銀

48、行用戶應(yīng)做好對(duì)云服務(wù)商的監(jiān)督管理，建議從以下幾個(gè)方面對(duì)云服務(wù) 26 商加強(qiáng)風(fēng)險(xiǎn)管理要求： （1） 云服務(wù)商應(yīng)組織評(píng)估本機(jī)構(gòu)面臨風(fēng)險(xiǎn)狀況， 找出可能影響中小銀行用戶服務(wù)結(jié)果和服務(wù)承諾的風(fēng)險(xiǎn)要素，制定云服務(wù)商的風(fēng)險(xiǎn)管理策略。 （2） 云服務(wù)商應(yīng)定期開(kāi)展風(fēng)險(xiǎn)評(píng)估工作， 向中小銀行用戶提供本機(jī)構(gòu)風(fēng)險(xiǎn)評(píng)估的結(jié)論，并依此決定采取風(fēng)險(xiǎn)防范的措施和方法，對(duì)風(fēng)險(xiǎn)進(jìn)行分級(jí)管理。 （3） 云服務(wù)商應(yīng)建立健全各項(xiàng)管理與內(nèi)控制度，設(shè)立專(zhuān)門(mén)風(fēng)險(xiǎn)管理崗位，監(jiān)督和檢查各項(xiàng)規(guī)范、制度、標(biāo)準(zhǔn)和流程的執(zhí)行情況以及風(fēng)險(xiǎn)管理狀況，持續(xù)監(jiān)督風(fēng)險(xiǎn)管理狀況，及時(shí)預(yù)警，將風(fēng)險(xiǎn)控制在可接受水平。 （4） 云服務(wù)商應(yīng)建立信息安全息 管理機(jī)制，定期

49、向中小銀行用戶提供信 6.3 變更和退出6.3.1 服務(wù)變更中小銀行上云后由于業(yè)務(wù)變化會(huì)經(jīng)常變更服務(wù)需求。中小銀行用戶發(fā)起服務(wù)變更請(qǐng)求，云服務(wù)商應(yīng)及時(shí)響應(yīng)，制定變更服務(wù)方案、實(shí)施計(jì)劃和恢復(fù)方案；提出服務(wù)內(nèi)容相匹配的服務(wù)內(nèi)容說(shuō)明及服務(wù)級(jí)別承諾；提出明確的時(shí)間計(jì)劃，并與 中小銀行用戶充分協(xié)商，審核確認(rèn)，變更實(shí)施應(yīng)避開(kāi)銀行業(yè)務(wù)運(yùn)行敏感時(shí)間窗口。 6.3.2 服務(wù)退出云服務(wù)由于情況變化、服務(wù)到期等原因中止或取消服務(wù)稱(chēng)為服務(wù)退出，服務(wù)退出可分為到期退出和提前退出。服務(wù)的退出應(yīng)滿足以下要求： （1）在服務(wù)協(xié)議/合同到期前，中小銀行用戶應(yīng)以書(shū)面方式明確退出服務(wù)協(xié) 27 議/合同，云服務(wù)商應(yīng)及時(shí)響應(yīng)，并共同細(xì)

50、化服務(wù)退出方案，包括但不限于退出實(shí)施計(jì)劃和資源處置方案。 （2） 需提前退出服務(wù)的，提出退出的機(jī)構(gòu)應(yīng)說(shuō)明服務(wù)退出的理由，提出服 務(wù)退出和過(guò)渡方案，并為雙方協(xié)商和云服務(wù)的平穩(wěn)過(guò)渡預(yù)留足夠時(shí)間。 （3） 云服務(wù)商應(yīng)協(xié)助中小銀行用戶，在服務(wù)退出過(guò)程中，保證業(yè)務(wù)系統(tǒng)的 有效運(yùn)行和數(shù)據(jù)完整。 28 附錄：中小銀行上云典型案例1.哈密市商業(yè)銀行上云案例哈密市商業(yè)銀行前身為哈密市城市信用社股份有限公司，是由原五家城市信用社合并重組，于 2010 年 6 月 28 日掛牌成立的地方性金融企業(yè)。 哈密市商業(yè)銀行以“服務(wù)地方經(jīng)濟(jì)、服務(wù)中小企業(yè)、服務(wù)城市居民”為經(jīng)營(yíng)理念， 堅(jiān)持做好“人的生活銀行”，把促進(jìn)地方經(jīng)濟(jì)發(fā)

51、展作為生存之本、發(fā)展之基，努 力緩解中小企業(yè)融資難問(wèn)題，為廣大市民提供多元化、個(gè)性化的金融產(chǎn)品服務(wù)。目前哈密市商業(yè)銀行資產(chǎn)規(guī)模已達(dá)到 310 億元。 2014 年，隨著哈密市商業(yè)銀行業(yè)務(wù)種類(lèi)和業(yè)務(wù)規(guī)模不斷上漲，自建的核心系統(tǒng)開(kāi)始出現(xiàn)性能瓶頸，為了快速實(shí)現(xiàn)新業(yè)務(wù)上線需求以及計(jì)算資源的迅速擴(kuò)張， 哈密市商業(yè)銀行經(jīng)過(guò)多方比較最終選定與有金融行業(yè)背景，特別是與有銀行業(yè)服務(wù)經(jīng)驗(yàn)的金融行業(yè)云專(zhuān)業(yè)服務(wù)商進(jìn)行合作，通過(guò)系統(tǒng)上云的方式快速實(shí)現(xiàn)業(yè)務(wù)需求。 哈密市商業(yè)銀行應(yīng)用系統(tǒng)上云計(jì)劃從 2015 年 6 月開(kāi)始實(shí)施，到 2016 年 1 月 23 日正式上線，在服務(wù)商技術(shù)團(tuán)隊(duì)的配合下僅僅歷時(shí) 8 個(gè)月就完成了機(jī)

52、房改造、網(wǎng)絡(luò)改造、系統(tǒng)部署、應(yīng)用測(cè)試、人員培訓(xùn)、制度修訂等建設(shè)工作。哈密市商業(yè)銀行將核心業(yè)務(wù)系統(tǒng)群托管在金融云機(jī)房，前置系統(tǒng)部署在本地機(jī)房，通過(guò)對(duì)本行信息科技人員技能培訓(xùn)實(shí)現(xiàn)運(yùn)維本地化，不但提高了業(yè)務(wù)響應(yīng)速度也提升了本地科技人員IT 技術(shù)能力。 哈密市商業(yè)銀行深度結(jié)合云計(jì)算三個(gè)層面，先后在IaaS、PaaS、SaaS 層面 與金融云公司展開(kāi)合作。 29 IaaS 層面，哈密市商業(yè)銀行通過(guò)租賃云主機(jī)的方式實(shí)現(xiàn)了自建業(yè)務(wù)系統(tǒng)快速、穩(wěn)定上線，目前已經(jīng)租用云主機(jī) 40 余臺(tái)，微貸系統(tǒng)、農(nóng)貸系統(tǒng)、OA 系統(tǒng)、績(jī)效系統(tǒng)等十余套自建業(yè)務(wù)系統(tǒng)已上線運(yùn)行。 PaaS 層面，哈密市商業(yè)銀行借助金融云的平臺(tái)服務(wù)，在分布式數(shù)據(jù)庫(kù)服務(wù)、分布式文件服務(wù)以及緩存服務(wù)方面實(shí)現(xiàn)了高性能計(jì)算，為數(shù)據(jù)分析、報(bào)表展示系統(tǒng)提供有效支撐。 SaaS 層面，哈密市商業(yè)銀行先后實(shí)現(xiàn)了核心業(yè)務(wù)系統(tǒng)、事后監(jiān)督系統(tǒng)、對(duì)公信貸管理系統(tǒng)、零售信貸管理系統(tǒng)、IC 卡系統(tǒng)、金卡系統(tǒng)&自助柜員機(jī)系統(tǒng)、支票影像系統(tǒng)、城商行電票系統(tǒng)、財(cái)稅庫(kù)銀系統(tǒng)、外部查控系統(tǒng)、非現(xiàn)場(chǎng)監(jiān)管報(bào)表及金融統(tǒng)計(jì)