中小银行上云白皮书（2018年）.pdf

资源描述

1、中小银行上云白皮书中小银行上云白皮书（20182018年年）中国信息通信研究院中国信息通信研究院 China Academy of Information and Communications Technology,CAICTChina Academy of Information and Communications Technology,CAICT 20182018年年3 3月月版权声明版权声明本白皮书版权属于编写单位，并受法律保护。转载、摘编或利用其它方本白皮书版权属于编写单位，并受法律保护。转载、摘编或利用其它方式使用本调查报告文字或者观点的，式使用本调查报告文字或者观点的，应

2、注明来源：中国信息通信研究院应注明来源：中国信息通信研究院。违。违反上述声明者，将追究其相关法律责任。反上述声明者，将追究其相关法律责任。编写说明编写说明牵头单位：中国信息通信研究院、兴业数字金融服务（上海）股份有限公司牵头单位：中国信息通信研究院、兴业数字金融服务（上海）股份有限公司参与单位：哈密市商业银行、南阳村镇银行参与单位：哈密市商业银行、南阳村镇银行编写人：编写人：栗蔚，徐恩庆，陈翀，李山河，郑子洲，许志恒，侯大鹏，杨旭辉，赵国权，钟鸣，徐新华，黄遗良，李昀飞，何康旭前前言言近年来，随着我国国民经济的持续健康发展，中小企业融资需求和新农村建设需要的不断增强，中小银行纷纷成

3、立，为地方经济建设提供了强有力的金融支持。与此同时，中小银行自身信息化建设能力面临很大挑战，在资金和人员有限的情况下，在风险必须可控的前提下，又快又好地建设银行业务全系统和基础设施成为中小银行发展亟需解决的掣肘。云计算作为信息技术创新服务模式的集中体现，已经成为支撑各行业发展的关键信息基础设施，是金融行业分布式架构转型的助燃剂，为中小银行快速部署银行业务系统提供了有力的信息化支撑，能够促进中小银行提高信息化管理能力，有效增强业务竞争能力。本白皮书作为国内首个以“中小银行上云”为主题的白皮书，深入分析中小银行上云的优势和必要性，剖析中小银行上云过程中应该考虑的关键点并给出专业建议，重点研究中小银

4、行为什么要选择云计算服务、如何选择云计算服务和如何应用云计算的问题，供中小银行和云计算行业相关从业者及研究人员参考。目目录录 1.云计算在金融行业应用现状.1 1.1 云计算简介.1 1.1.1 云计算定义.1 1.1.2 云计算部署模型.1 1.1.3 云计算服务模式.2 1.1.4 云计算服务参与者.3 1.2 云计算发展情况.4 1.2.1 云计算市场情况.4（1）全球云计算市场情况.4（2）我国云计算市场情况.4 1.2.2 我国云计算政策环境.6（1）云计算宏观政策情况.6（2）金融行业云计算相关政策情况.6 1.2.3 云计算在金融行业应用情况.7（1）云计算加速金融行业“互联网

5、+”发展.7（2）金融行业云计算部署模型.7（3）金融行业上云情况.8 2.中小银行选择云计算的意义.9 2.1 中小银行范畴.9 2.2 中小银行信息科技发展瓶颈.9 2.2.1 业务要求高.9 2.2.2 人力财力短板.10 2.2.3 运维管理难度大.10 2.3 行业云有效助力中小银行转型.11 2.3.1 运营成本考虑.11 2.3.2 监管合规考虑.11 2.3.3 业务赋能考虑.12 3.中小银行上云决策框架.13 4.中小银行上云前准备.14 4.1 确定上云优先级及可行性方案.14 4.1.1 优先级确定原则.14 4.1.2 优先级建议及可行性方案.15 （1）最高优先级.

6、16（2）次优先级.16（3）中优先级.16（4）低优先级.18 4.2 选择合适的云服务商.20 5.中小银行上云实施.21 5.1 服务合同制定和签署.21 5.2 服务方案设计和测试.21 5.2.1 方案设计.21 5.2.2 方案测试.22 5.3 服务交付.23 5.3.1 交付方案.23 5.3.2 交付实施.23 5.3.3 交付评估.23 6.中小银行上云后管理.23 6.1 服务质量监督管理.23 6.2 风险管理.24 6.2.1 责任分担模型.24 6.2.2 自身风险管理“三道防线”.26 6.2.3 对云服务商风险管理要求.26 6.3 变更和退出.27 6.3.1

7、服务变更.27 6.3.2 服务退出.27 附录：中小银行上云典型案例.29 1.哈密市商业银行上云案例.29 2.南阳村镇银行上云案例.31 1 1.1.云计算在金融行业应用现状云计算在金融行业应用现状 1.11.1 云计算简介云计算简介 1.1.11.1.1 云计算定义云计算定义云计算（Cloud Computing）最早于 2006 年出自 Google CEO Eric Schmidt之口，自亚马逊推出弹性计算云服务之后被广泛传播，最终成为定义当前信息技术变革大潮的名称。ISO/IEC 标准化组织在 2014 年发布的Cloud computing-Overview and voc

8、abulary中给出了云计算的定义：云计算是一种以网络方式接入到一个可扩云计算是一种以网络方式接入到一个可扩展、弹性的共享物理或虚拟资源池的服务模式，用户可以通过自服务和管理的方展、弹性的共享物理或虚拟资源池的服务模式，用户可以通过自服务和管理的方式来按需购买该服务。式来按需购买该服务。云计算用户只需要很少的管理手段或者与服务商间的交互，便能够快速完成计算资源（包括网络、服务器、存储以及应用等）的扩展和释放。云计算具有按需自助服务、通过互联网获取、资源池化、快速伸缩和可计量五个主要特点。1.1.21.1.2 云计算云计算部署模型部署模型根据使用云计算平台用户范围的不同，云资源归属和控制方的不

9、同，一般将云计算分成私有云、公有云、行业云（社区云）和混合云等四种部署模型：（1）公有云公有云。云服务可被任意云服务客户使用，且资源被云服务提供者控制的一种云部署模型。公有云可由企业、研究机构、政府组织，或几者联合拥有、管理和运营。公有云在云服务提供者的场内。一般情况下，公有云对参与方没有限制。2 （2）私有云私有云。云服务仅被一个云服务客户使用，且资源被该云服务客户控制的一类云部署模型。私有云可由云服务客户自身或第三方拥有、管理和运营。私有云可在云服务客户的场内或场外。云服务客户出于自身利益考虑，还可为其他参与方授权访问。一般情况下，私有云的客户只局限于某个组织。（3）行业云行业云（社区云）

10、。云服务仅由一组特定的云服务客户使用和共享的一种云部署模型。这组云服务客户的需求共享，彼此相关，且资源由组内云服务客户控制或云服务提供商控制。社区云可由社区里的一个或多个组织、第三方、或两者联合拥有、管理和运营。社区云可在云服务客户的场内或场外。行业云局限于有共同关注点的行业内客户，这些共同关注点包括但不限于：业务需求、安全需求、政策符合性考虑等。（4）混合云混合云。至少包含以上两种不同云计算部署模型。1.1.31.1.3 云计算服务模式云计算服务模式对于公有云和行业云（社区云）这种以服务方式对外提供云计算资源的模式，根据云服务商提供资源类型的不同，云计算服务模式主要可分为三类：（1）软件即

11、服务（软件即服务（SaaSSaaS）：在 SaaS 模式下，云服务商向用户提供的是运行在云基础设施之上的应用软件。用户不需要购买、开发软件，可利用不同设备上的用户端（如 WEB 浏览器）或程序接口通过网络访问和使用云服务商提供的应用软件，如电子邮件系统、协同办公系统等。用户通常不能管理或控制支撑应用软件运行的底层资源，如网络、服务器、操作系统、存储等，但可对应用软件进行有限的配置管理。（2）平台即服务（平台即服务（PaaSPaaS）：在 PaaS 模式下，云服务商向用户提供的是运行 3 在云基础设施之上的软件开发和运行平台，如：标准语言与工具、数据访问、通用接口等。用户可利用该平台开发和部署自

12、己的软件。用户通常不能管理或控制支撑平台运行所需的底层资源，如网络、服务器、操作系统、存储等，但可对应用的运行环境进行配置，控制自己部署的应用。（3）基础设施即服务（基础设施即服务（IaaSIaaS）：在 IaaS 模式下，云服务商向用户提供虚拟计算机、存储、网络等计算资源，提供访问云基础设施的服务接口。用户可在这些资源上部署或运行操作系统、中间件、数据库和应用软件等。用户通常不能管理或控制云基础设施，但能控制自己部署的操作系统、存储和应用，也能部分控制使用的网络组件。1.1.41.1.4 云计算服务参与者云计算服务参与者云计算服务的参与者可以分为：用户、云服务商、审计者、云服务代理和网络运

13、营商。（1）用户用户：即云计算资源消费者，使用云服务商提供的云服务。（2）云服务商云服务商：向用户提供可用的云计算服务的组织或实体。（3）审计者审计者：能够对云计算服务及云计算实例的信息系统操作、能和安全性进行中立评估的机构或实体。（4）云服务代理云服务代理：管理云计算服务的使用、性能以及交付的实体，它能够协调云服务商和用户之间关系。（5）网络运营商网络运营商：为云服务商提供链接和传输网络资源的实体。4 1.21.2 云计算发展情况云计算发展情况 1.2.11.2.1 云计算市场情况云计算市场情况（1 1）全球云计算市场情况）全球云计算市场情况全球云计算市场总体持续增长。全球云计算市场总体

14、持续增长。2016 年以 IaaS、PaaS 和 SaaS 为代表的典型云服务市场规模达到 654.8 亿美元，增速 25.4%，预计 2020 年将达到 1435.3亿美元，年复合增长率达 21.7%。数据来源：Gartner 图 1 全球云计算市场规模（2 2）我国云计算市场情况）我国云计算市场情况我国云计算市场总体保持高速增长趋势。我国云计算市场总体保持高速增长趋势。根据中国信息通信研究院的中国 5 公有云发展调查报告（2017 年）和中国私有云发展调查报告（2017 年）统计，2016 年我国云计算整体市场规模达 514.9 亿元，整体增速 35.9%，高于全球平均水平。其中，公有

15、云服务市场整体规模约 170.1 亿元人民币，比 2015 年增长66.0%，预计 2017-2020 年中国公有云市场仍将保持高速增长态势，到 2020 年市场规模将达到 603.6 亿元。私有云1市场规模 344.8 亿元人民币，年增长率 25.1%，预计 2017 年增速仍将达到 23.4%，市场规模将达到 425 亿元人民币左右。图 2 中国公有云市场规模及增速（单位：亿元人民币）图 3 中国私有云市场规模及增速（单位：亿元人民币）1 此处私有云统计口径为传统私有云定义 6 1.2.21.2.2 我国云计算政策环境我国云计算政策环境（1 1）云计算宏观政策情况）云计算宏观政策情况支

16、持云计算发展的政策相继出台，政策环境持续利好。支持云计算发展的政策相继出台，政策环境持续利好。近年来，国内云计算发展政策集中出台，我国云计算产业发展、行业推广、应用基础等重要环节的宏观政策环境已经基本形成。国家层面相继出台以下政策：2015 年 1 月，国务院关于促进云计算创新发展培育信息产业新业态的意见（国发20155 号）2015 年 5 月，关于加强党政部门云计算服务网络安全管理的意见 2015 年 7 月，国务院关于积极推进“互联网+”行动的指导意见 2015 年 8 月，促进大数据发展行动纲要（国发(2015)50 号）2017 年 3 月，云计算发展三年行动计划（2017-2019

17、年）（2 2）金融行业云计算相关政策情况）金融行业云计算相关政策情况同时，金融行业对云计算发展的政策环境也在逐步完善中。银监会中国银行业信息科技“十三五”发展规划监管指导意见（征求意见银监会中国银行业信息科技“十三五”发展规划监管指导意见（征求意见稿）稿）首次对银行业云计算明确发布了监管意见，是中国金融云建设的里程牌事件；明确提出积极开展云计算架构规划，主动和稳步实施架构迁移；支持金融行业行业云。除了金融私有云之外，提出“行业公共云”模型，支持建立符合法律法规要求、市场化运作、具备金融级安全等级的行业 7 云平台运营机制。人民银行中国金融业信息技术“十三五”发展规划人民银行中国金融业信息技

18、术“十三五”发展规划要求落实推动新技术应用，促进金融创新发展，稳步推进系统架构和云计算技术应用研究。1.2.31.2.3 云计算在金融行业应用情云计算在金融行业应用情况况（1 1）云计算加速金融行业）云计算加速金融行业 “互联网“互联网+”发展”发展云计算促进金融行业分布式架构转型，加速金融行业“互联网云计算促进金融行业分布式架构转型，加速金融行业“互联网+”发展。”发展。随着金融行业“互联网+”战略实施的快速深入，对其业务及运维系统的高效敏捷运行提出了严峻挑战，为此传统金融机构开始高度关注分布式云计算架构下 IT 系统的发展与应用部署。与集中式架构相比，分布式云计算架构能够帮助金融机构

19、弹性扩容，大大缩短应用部署时间、实现故障自动检测定位以及业务升级不中断，从而更好的适应“互联网+金融”的服务模式。在分布式架构实现中，云计算技术是主要技术路线。云计算以其资源池化，应用开发分布式架构的特点，可以满足信息化系统自动扩缩容、底层硬件兼容、业务快速部署的需求。（2 2）金融行业云计算）金融行业云计算部署模型部署模型国内传统金融机构使用云计算技术主要采用有私有云和行业云两种国内传统金融机构使用云计算技术主要采用有私有云和行业云两种部署模型部署模型。金融行业按照业务又可以细分为银行业、证券业、保险行业、互联网金融等子市场。对于传统的金融机构，尤其是银行业主要采用私有云和行业云的方式，这

20、与银行业的高度监管是紧密相关的。a)金融机构部署私有云金融机构部署私有云主要用于存储、运行重要业务系统，存储敏感数据，8 一般采用自建基础设施、购买硬件产品和解决方案的方式搭建，在生产过程中实施外包驻场运维、自主运维。b)金融机构部署行业云金融机构部署行业云主要是通过金融机构间在云计算领域的合作，通过资源等方面的共享，在金融行业内形成公共基础设施、公共接口、公共应用等一批技术公共服务。金融机构部署行业云主要用于对金融机构外部客户的数据处理、服务，或为一定区域内金融机构、金融机构垂直机构提供资源共享服务。（3 3）金融行业上云情况）金融行业上云情况互联网金融和辅助性业务系统较多首先上云。互联网

21、金融和辅助性业务系统较多首先上云。目前，金融机构使用云计算技术通常采取从外围系统开始逐步迁移的实施路线。辅助性业务系统安全等级较低，系统问题不会导致巨大的业务风险。金融机构普遍考虑将渠道类系统、客户营销系统和经营管理等辅助性系统尝试使用云计算，从而提升系统管理的灵活性，降低运营成本，同时也大幅提升了相关的用户体验。互联网金融系统包含微贷、P2P、消费金融等相关业务，由于其系统需要新建，历史包袱相对较轻，并且天然的互联网业务特性也比较适用于云计算相关技术。图 4 金融机构上云系统情况 9 不同类型的金融机构对云计算的应用路径也存在较大差异，不能一概而论不同类型的金融机构对云计算的应用路径也存在较

22、大差异，不能一概而论。比如大型银行由于传统信息化基础设施投入大、有专职技术部门、安全要求更加谨慎等原因，一般选择沿用采购软硬件产品自行搭建私有云并独立运维，而中小银行由于“缺钱少人”等原因一般不会选择私有云部署模型，更倾向选择行业云。中小银行是现代化金融发展历程中重要的一类金融机构，其具有相同或类似业务需求和政策特性，本白皮书将着重聚焦中小银行上云，重点分析中小银行上云需求和上云路径，解析中小银行上云过程中应该考虑的关键点并给出推荐建议。2.2.中小银行选择云计算的意义中小银行选择云计算的意义 2.12.1 中小银行范畴中小银行范畴这里的中小银行2指的是依法设立的股份制商业银行、城市商业银行

23、、农村商业银行、农村合作银行、村镇银行等，其中股份制商业银行不包括国有大型股份制商业银行。2.22.2 中小银行信息科技发展瓶颈中小银行信息科技发展瓶颈 2.2.12.2.1 业务要求高业务要求高业务压力大，信息化建设能力不足。业务压力大，信息化建设能力不足。中小银行是一个严格意义上的银行，拥有全牌照，有权进行全业务拓展，经过监管机构审批后，可以开展银行卡业务、网上银行业务和国际业务等。中小银行为提升自身市场竞争能力，需持续进行新业务系统的研发和建设，这对中小银行信息化建设能力带来较大的挑战。2 引用中小银行信息系统托管维护服务规范 GB/T 0140-2017 中关于中小银行的定义 10

24、2.2.22.2.2 人力财力短板人力财力短板 “缺钱少人”是中小银行发展信息科技的最主要瓶颈。“缺钱少人”是中小银行发展信息科技的最主要瓶颈。与经济实力雄厚的国有四大银行以及各大股份制银行相比，缺钱少人的中小银行在信息化建设上常常感到力不从心。由于资金短缺和人才匮乏，这就使得很多中小银行在业务的拓展和创新上受到严重制约。图 5 大型银行与中小银行科技投入对比（数据来源：麦肯锡）2.2.32.2.3 运维管理难度大运维管理难度大系统运维和信息管理工作相对复杂，难以应对。系统运维和信息管理工作相对复杂，难以应对。即使中小银行的信息化建设能够跟的上业务发展的需求，随着业务的创新和拓展，金融服务能

25、力要求会越来越高，信息系统数量会越来越多，复杂程度也越来越高，管理和整合的难度自然也就也越来越大。随着风险管理的全面展开及深入，加上信息化建设自身在发展过程中所凸显的风险，以及信息安全等诸多因素的影响，势必造成管理难度越来越大，风险暴露越来越明显。11 2.32.3 行业云有效助力中小银行转型行业云有效助力中小银行转型 2.3.12.3.1 运营成本考虑运营成本考虑首先，正如前文所述，中小银行由于其“缺钱少人”的主要瓶颈，出于运营成本中小银行由于其“缺钱少人”的主要瓶颈，出于运营成本的考虑，一般不建议像大型银行那样投入较大人力物力来全面建设私有云的考虑，一般不建议像大型银行那样投入较大人力物

26、力来全面建设私有云。采用按需采购云服务的模式，发展信息科技面临的财力、人力压力可以得到极大减轻。从投资方面来看，中小银行只需以相对低廉的“月租服务费”方式投资，不用一次性投资大笔资金，不占用过多的营运资金，缓解了中小银行资金不足的压力。同时，中小银行无需再配备 IT 方面的专业运维人员，从最大程度上减轻了中小银行在财力、人力上的压力，从而使其可以集中投入发展核心业务。2.3.22.3.2 监管合规考虑监管合规考虑中小银行面对较为严格的监管合规要求，在云服务中小银行面对较为严格的监管合规要求，在云服务部署模型部署模型选择上必须慎重选择上必须慎重考虑。考虑。行业云可以满足监管的要求，普通公有云往

27、往难以满足监管要求。部分银行业监管要求规范如下：JR/T 00112004 银行集中式数据中心规范 JR/T 00442008 银行业信息系统灾难恢复管理规范 JR/T 01402017 中小银行信息系统托管维护服务规范银监会中国银行业信息科技“十三五”发展规划监管指导意见（征求意见稿）中国人民银行计算机系统信息安全管理规定（银发2010276 号）商业银行信息科技风险管理指引（银监发200919 号文印发）12 商业银行数据中心监管指引（银监发 2010 114 号文印发）商业银行业务连续性监管指引（银监发2011104 号文印发）银行业金融机构信息科技外包风险管理指引（银监发 2013

28、 5 号文印发）2.3.32.3.3 业务赋能考虑业务赋能考虑不同云计算不同云计算部署模型部署模型对于业务本身的提升效果也存在区别，行业云优势较为对于业务本身的提升效果也存在区别，行业云优势较为明显明显。一方面，面向金融行业的行业云业务产品更加有针对性，能够有为金融业务定制资源配比、针对市场需求优化金融类产品和服务。另一方面，业务部署周期缩短，中小银行不再需要漫长的开发周期来完善其 IT 系统，只要从云计算服务商那就可以获得最先进的应用技术和服务支持，加快了业务部署和迭代的步伐。图 6 中小银行选择云服务部署模型雷达图(来源:中国信息通信研究院)如上图所示，综合上述考虑，行业云在在运营成本、

29、监管合规和业务赋能三如上图所示，综合上述考虑，行业云在在运营成本、监管合规和业务赋能三方面均表现较好，在本白皮书中，我们推荐“金融行业云”作为普通中小银行的上云方面均表现较好，在本白皮书中，我们推荐“金融行业云”作为普通中小银行的上云 13 首选首选部署模型部署模型，后文中关于中小银行的上云分析均默认为行业云部署模型。3.3.中小银行上云决策框架中小银行上云决策框架在传统的信息化建设模式下，中小银行直接投资构建 IT 设施、服务器以及网络，拥有信息化资源的所有权；现在，需要转换思维，把现在，需要转换思维，把 ITIT 看作服务，看作是商看作服务，看作是商品化的计算资源和服务品化的计算资源和服

30、务。这种全新的思维方式对整个 IT 服务的生命周期都产生了重大影响。本白皮书提出了中小银行上云的决策框架，从上云前准备、上云实施到上云本白皮书提出了中小银行上云的决策框架，从上云前准备、上云实施到上云后管理三个流程提出决策建议后管理三个流程提出决策建议。供计划实施的有关单位参考。表 1 中小银行上云决策框架上云前准备上云实施上云后管理确定上云优先级和可行性方案选择合适的云服务商服务合同制定和签署服务方案设计和测试服务交付服务质量监督管理风险管理变更和退出 14 4.4.中小银行上云前准备中小银行上云前准备 4.14.1 确定上云优先级及可行性方案确定上云优先级及可行性方案

31、 4.1.14.1.1 优先级确定原则优先级确定原则确定上云优先级是中小银行上云的第一步工作，也是最重要的工作。确定上云优先级是中小银行上云的第一步工作，也是最重要的工作。中小银行在上云之前应全面审视自己的业务系统，认真评估其IT资产，仔细设计路线图，将适合云化部署且准备比较充分的服务置于首选地位，以使上云带来的收益最大化、成本最小化。中小银行因资产规模区别，业务系统种类和数量一般也存在较大差异，资产规模较大的股份制商业银行和城市商业银行业务系统通常比较丰富，而中小银行中资产规模最小的村镇银行因盈利能力较弱，系统较少。总体来说，银行业信息系统一般包含渠道服务、客户服务、产品服务、风险管理、管

32、理信息、核心银行、内部支持和基础平台等八个主要的业务系统领域。各业务系统领域中的典型应用如下图所示：图 7 银行业信息系统最高优先次高优先中优先低优先 15 成本收益比、安全保护要求、监管机构管理要求、应用系统上云难度是确定成本收益比、安全保护要求、监管机构管理要求、应用系统上云难度是确定业务系统上云优先级的主要考量因素。业务系统上云优先级的主要考量因素。通常来说，确定上云优先级有几个参考原则。一是一是对于需新部署的业务系统，且云服务商已有与之相对应的比较成熟的业务，从价值收益的角度建议不分业务类型，都首选云服务；二是二是已有信息化系统，上云后价值效益明显的，也建议尽快上云，尤其像访问流量有

33、突发变化特征或对数据融合处理有较高要求的系统，上云后能够带来明显的效益提升;三是三是对于已有信息化系统，按照非核心系统和核心系统的区分确定优先级，先上非核心系统，后上核心系统。4.1.24.1.2 优先级建议及可行性方案优先级建议及可行性方案如前文所述，对于新开业的中小银行或中小银行需要新开发部署业务系统，建议直接采用云计算部署架构，根据业务需求逐步部署业务系统。下文重点分析中小银行已有信息化系统迁移上云应如何确定优先级。综合成本收益比、安全保护要求、监管机构管理要求、应用系统上云难度等多方面考虑，本白皮书给出中小银行业务系统迁移上云的优先级推荐建议，图 7中绿色、黄色、橙色、红色代表各类系

34、统上云优先级从高至低，分别为：最高优最高优先级（绿色）、次高优先级（黄色）、中优先级（橙色）、低优先级（红色）先级（绿色）、次高优先级（黄色）、中优先级（橙色）、低优先级（红色）。当然，需要强调的是本白皮书仅针对普遍情形给出推荐建议，中小银行可根据自身特点有所调整策略。16 （1 1）最高优先级）最高优先级银行业使用信息系统中，图 7 中标注为绿色的信息系统可以考虑优先上云。具体包括：手机银行、微信银行、网上银行、电子支付、电话银行、第三方支付、呼叫中心、积分系统、办公系统、员工培训学习系统、网点管理系统、人力资源系统、机房运维管理系统、邮件系统、数据级灾备系统、ITSM 工具以及短信平台等

35、。可行性方案：这些系统中，云化的部署模型基本上不会改变现有应用系统的架构，直接进行迁移即可。数据级灾备系统所使用的行业云服务与其他应用系统略有不同；其他系统多使用行业云服务中的“云主机”服务，而数据级灾备使用类似于“云备份”的服务模式。（2 2）次优先级）次优先级图 7 中黄色系统为其次，具体包括：客户关系管理系统、营销系统、财富管理平台、直销银行、互联网金融类系统、票据系统、监管报送类系统、司法查控、电信反欺诈、经营分析、综合报表、定价系统、资产负债管理以及绩效考核类系统等。可行性方案：基础服务类应用系统和非面向互联网的服务类应用系统具有一定的上云改造要求，但是基本上只是接口模式或者数据对

36、接类的改造，应用架构没有太大改变。（3 3）中优先级）中优先级图 7 中橙色系统，是面向互联网服务类的应用系统、渠道类应用系统以及部 17 分底层支持类的信息系统，在上云过程中具有相对较高的难度和要求。此类信息系统包括：银联卡、ATM/POS、智能机具、智能柜台、银企直联、统一客户管理管理、信贷业务平台、资金交易、智能风控、审计系统、事后监督、财务管理、统一监控平台等。可行性方案：此类信息在上云改造时要考虑分布式架构改造、分布式存储的选择、SaaS 多租户模式改造和信息安全问题四个方面。a)a)分布式架构改造分布式架构改造一般银行业原有的此类系统是基于高可靠、高性能的小型机、数据库、存储等

37、设计的向上的封闭架构；如果进行 X86 的改造需要考虑采用分布式软件架构实现冗余，增加容错性。以及在分布式架构事物和数据处理将分布在多个 X86 节点中完成，处理状态极大增加同步开销，需要在系统应用层尽量采用无状态机制实现。b)b)分布式存储的选择分布式存储的选择存储的选择需要结合业务场景和需求。块存储服务适用于需求块级数据存储的应用；文件存储服务主要针对非结构化数据；对象存储服务适合于面向 Web 的存储型应用。对于分析型数据库 OLAP，根据需求可采用 Hadoop/MPP 分布式云存储。对于交易型数据库 OLTP，并发量小的，根据数据存储的应用特征，选择合适的文件、对象或块等云存储；并

38、发量大的，目前建议还是用传统存储。因此，根据系统应用的存储需求特征，选择合适的存储方案是支撑系统云化中的关键问题。18 c)c)SaaSSaaS 多租户模式改造多租户模式改造如果是行业云提供商进行系统的云化改造，还需要考虑将原有单个系统服务模式改造成多租户模式。租户是指拥有独占而隔离的、专有使用策略、SLA 保证、可统计和可计费的资源服务单元，租户也可形成有层级关系的树形结构。以多租户为基础的业务服务模式是云计算数据中心的重要特征。d)d)信息安全信息安全此类信息系统的原有安全要求已经比较高，公安部具有三级等保的要求，银监会有每年的安全风险检查和安全风险评估要求，人民银行有渠道类系统的上线

39、检查要求等。即使上云后，云服务提供商或者银行自建的云服务系统均应满足其对应的监管要求。另外，共享资源池可能引起的全局故障、多租户环境的安全隔离不完全、多系统共存和资源池的动态化导致的安全策略的复杂性、虚拟化技术带来的新安全威胁和入侵点、虚拟机的剩余信息保护、虚拟资源内部之间的安全管控等由上云导致的新问题均应充分考虑，可以参考可信云评估的要求在数据私密性、数据存储持久性等方面达到相应的要求。（4 4）低优先级）低优先级图 7 中红色系统，银行原有核心系统的上云是最复杂、最有难度，也是应该最后进行的信息系统，包括柜面综合业务前置、核心系统、支付平台、电子验印、密押系统、集中授权、策略管理、应用级

40、灾备系统以及统一认证等系统。可行性方案：目前我国商业银行的核心系统基本上均是基于小型机或者甚至大型机为基础的高可用 IOE 模式。核心系统改造需要大量的财力投入和较长的改 19 造时间，如果在这个过程没有有效的业务保障，很容易造成严重后果，导致 IT 拖延业务，甚至失去市场和地位。核心系统上云的主要技术难点在于应用架构的改造，改造过程中除了需要考虑上文中提到的中优先级中的分布式架构改造、分布式存储的选择、SaaS 多租户模式改造和信息安全以外，还应着重充分考虑三方面：一是与其他业务的对接模式；二是应用架构的分布式改造；三是以客户为中心的新需求。a)a)与其他所有业务的对接模式与其他所有业务的对

41、接模式银行核心系统原有模式采用“大集中”的管理模式，即：全部数据都会与核心系统对接。在改造过程中有两个选择：一是继续使用“大集中”模式（低难度）；二是采用 SOA 松耦合模式（高难度），应对未来的改造将会更加灵活。b)b)应用架构的分布式改造应用架构的分布式改造核心系统的分布式改造建议由熟悉业务流程逻辑的人员参与实施，核心系统其实已超越了一个 IT 系统本身应有的意义，不再仅仅是业务操作习惯的变化，它为银行带来的变革和价值是广泛而深远的，涉及了银行的经营理念、管理模式、组织流程和文化等等很多方面。所有这些变革，在项目前期都需要经过充分的讨论和共识，需要得到银行上至行领导下至柜员的全部门的大

42、力支持。c)c)以客户为中心的新需求以客户为中心的新需求在改造过程中，可以考虑将原有的核心系统改造需求纳入开发范围，以实现核心系统升级后对业务的有效支撑，通过 IT 架构转型，推动科技创新，满足安全 20 可控要求，最终实现科技引领业务转型与发展的目标。4.24.2 选择合适的云服务商选择合适的云服务商中小银行在选择云服务商时应充分考虑云服务商的服务能力、稳定性等风险，建立云服务商的准入标准，不因引入云服务商而增加整体风险。中小银行选择云服务商应遵循以下基本原则：（1）云服务商应在数据安全、服务质量和权益保障等方面具备可信任的能力，获得过相关资质（如通过可信云评估）。（2）云服务商应满足监

43、管机构的准入要求。（3）中小银行应审查、评估候选云服务商的财务稳定性和行业经验，对候选云服务商进行风险评估，考查其资源和能力是否足以承担相应的责任，防范引入高风险特性的云服务商。（4）中小银行应对重点云服务商开展尽职调查，必要时可委托第三方评估机构协助调查和评估，应关注：云服务商的技术和行业经验，包括但不限于：服务能力和支持技术、服务经验、服务人员技能、市场评价、监管评价等；云服务商的内部控制和管理能力，包括但不限于：内部控制机制和管理流程的完善程度、内部控制技术和工具、数据管理和访问控制方面的能力等；云服务商的持续经营状况，包括但不限于：财务状况、从业时间、市场地位及发展趋势等。21 5.5

44、.中小银行上云实施中小银行上云实施 5.15.1 服务合同制定和签署服务合同制定和签署中小银行需确保与云服务商签订规范的服务合同，将有助于提升服务质量，最大程度地降低对于特定厂商的依赖度。依据可信云服务合同参考模板3，可按照主约加附件的方式制定服务合同，主约中重点关注服务条款要求、交付要求、数据保密要求、知识产权、责任、违约条款等；附件主要为服务等级协议（SLA），重点关注云服务商的服务可用性、数据存储持久性、资源调配能力、网络接入能力、故障恢复能力等，SLA 应尽量做到可量化、可评估，中小银行可依据 SLA 中签订的能力要求在后续实施和管理过程中自行或委托第三方对云服务商进行评估考核。5.

45、25.2 服务方案设计和测试服务方案设计和测试 5.2.15.2.1 方案设计方案设计云服务商应依据云服务目标和服务级别协议进行云服务方案的设计，服务方案应涉及与云服务相关的资源配备、人力配备和管理要求。管理要求应涵盖组织管理、范围管理、质量管理、沟通管理、时间管理、风险管理、财务预算管理、技术管理、文档管理及其他资源管理，也应涉及测试验证流程、技术实施流程、服务交付流程、日常维护流程、应急处置与灾难恢复流程、验收考核流程等各个方面。需要特别强调的是，除上线新业务外，很大部分工作在于存量业务应用的迁 3可信云服务合同参考模版由中国信息通信研究院（工业和信息化部电信研究院），基于 YDB144

46、-2014云计算服务协议参考框架基础上，参考了联合国国际贸易法委员会云计算合同议题清单（checklist of contractual issues relating to cloud computing）后撰写。22 移，如何有序、安全、便捷地进行迁移，保证业务的可用性、安全性、连续性是必须考虑的重要环节。服务商应按照前述第 4 章第 4.1 部分确定上云优先级及可行性方案的内容，针对不同的银行业务系统现状规划方案，包括：（1）业务系统迁移的优先级及可行性方案;（2）相应业务系统的资源使用规划和架构，包括计算、存储、网络等;（3）相应的业务系统的运维管理模式，服务商和中小银行的权责划分等

47、。5.2.25.2.2 方案测试方案测试云服务商在服务资源、人员和管理方面准备就绪后应测试并验证服务方案的完备性。测试和验证应满足以下要求：（1）为避免云服务存在技术和管理方面的缺陷，云服务商应依据服务方案的内容对相关的技术手段、软件、设备和工具的可用性及性能、管理制度和流程的合理性等方面进行必要的测试及验证。（2）云服务商应在测试验证前向中小银行用户提交测试验证方案，明确测试验证的方式、人员、环境、标准、文档等，中小银行用户应对测试验证方案进行评审。（3）云服务商应按测试验证方案的内容向中小银行用户提供测试人员、准备测试环境、记录测试数据、提供测试报告，中小银行用户应提供必要的协助，并对测

48、试验证报告的结果进行验证。23 5.35.3 服务交付服务交付 5.3.15.3.1 交付方案交付方案云服务商向中小银行用户提交详细的服务交付方案，包括服务交付时间、交付方式、交付人员、交付技术手段、交付文档、交付培训、交付验收标准和流程等，中小银行用户应对服务交付方案进行评审并与云服务商达成一致。5.3.25.3.2 交付实施交付实施中小银行用户应对云服务商提交的服务管理计划进行评审，并在服务交付过程中对云服务商的交付过程进行监督和检查，发现交付过程中存在问题和偏差时，应及时向云服务商反映，并要求云服务商采取必要的措施。在业务迁移的实施过程中，尽量应做到无停机的数据迁移，实现在线不停业务

49、迁移；按照灵活部署原则，先迁移后择时割接。5.3.35.3.3 交付评估交付评估服务交付完成后，云服务商应向中小银行提交服务交付报告，中小银行可以组织第三方对迁移后的业务和云平台进行评估验收。详细记录服务交付的关键信息，如工作任务、所需资源、进展状态、负责和参与人员、完成时间、存在的问题、解决方案等，中小银行应组织相关人员对报告进行评审，通过后上线。6.6.中小银行上云后管理中小银行上云后管理 6.16.1 服务质量监督管理服务质量监督管理上云成功后，云计算厂商接受中小银行用户或受委托的第三方机构对云服务 24 的监督和管理。云计算厂商和中小银行用户共同建立故障响应流程以及日常巡检、服务质

50、量监督制度，督促云计算厂商为中小银行用户提供可靠的运行服务保障，推动服务质量持续改进。中小银行用户根据自身审计能力可以选择通过自行审计或委托第三方机构审计的方式，开展周期性评估审计。中小银行用户管理云系统需要将云服务商、审计者和最终用户都考虑进来，将关注的侧重点聚焦于服务而非资产。需要有效地管理云服务商的输出过程(例如SLA）而不是用户的输入过程(例如服务器的数量)。对出现的服务不可用或其他应对用户进行赔偿的场景，云计算厂商应按照与中小银行用户服务协议中约定的内容和方式，进行有效赔付，保证中小银行用户的合法权益。6.26.2 风险管理风险管理 6.2.16.2.1 责任分担模型责任分担模型中

展开阅读全文