2018年中小银行上云研究报告.pdf

中小银行上云白皮书 （ 2018年 ） 中国信息通信研究院 China Academy of Information and Communications Technology ,CAICT 2018年 3月 版权声明 本白皮书版权属于编写单位，并受法律保护。转载、摘编或利用其它方式使用本调查报告文字或者观点的， 应注明来源：中国信息通信研究院 。违反上述声明者，将追究其相关法律责任。 编写说明 牵头单位：中国信息通信研究院、兴业数字金融服务（上海）股份有限公司 参与单位：哈密市商业银行、南阳村镇银行 编写人： 栗蔚，徐恩庆，陈 翀 ，李山河，郑子洲，许志恒，侯大鹏，杨旭辉，赵国权，钟鸣，徐新华， 黄遗良，李昀飞，何康旭 前 言 近年来，随着我国国民经济的持续健康发展，中小企业融资需求和新农村建设需要的不断增强，中小银行纷纷成立，为地方经济建设提供了强有力的金融支持。与此同时，中小银行自身信息化建设能力面临很大挑战，在资金和人员有限的情况下，在风险必须可控的前提下，又快又好地建设银行业务全系统和基础设施成为中小银行发展亟需解决的掣肘。 云计算 作为信息技术创新服务模式的集中体现，已经成为支撑各行业发展的关键信息基础设施，是金融行业分布式架构转型的助燃剂，为中小银行快速部署银行业务系统提供了有力的信息化支撑，能够促进中小银行提高信息化管理能力，有效增强业务竞争能力。 本白皮书作为国内首个以“中小银行上云”为主题的白皮书，深入分析中小银行上云的优势和必要性，剖析中小银行上云过程中应该考虑的关键点并给出专业建议，重点研究中小银行为什么要选择云计算服务、如何选择云计算服务和如何应用云计算的问题，供中小银行和云计算行业相关从业者及研究人员参考。 目 录 1.云计算在金融行业应用现状 . 1 1.1 云计算简介 . 1 1.1.1 云计算定义 . 1 1.1.2 云计算部署模型 . 1 1.1.3 云计算服务模式 . 2 1.1.4 云计算服务参与者 . 3 1.2 云计算发展情况 . 4 1.2.1 云计算市场情况 . 4 （ 1）全球云计算市场情况 . 4 （ 2）我国云计算市场情况 . 4 1.2.2 我国云计算政策环境 . 6 （ 1）云计算宏观政策情况 . 6 （ 2）金融行业云计算相关政策情况 . 6 1.2.3 云计算在金融行业应用情况 . 7 （ 1）云计算加速金融行业 “互联网 +”发展 . 7 （ 2）金融行业云 计算部署模型 . 7 （ 3）金融行业上云情况 . 8 2. 中小银行选择云计算的意义 . 9 2.1 中小银行范畴 . 9 2.2 中小银行信息科技发展瓶颈 . 9 2.2.1 业务要求高 . 9 2.2.2 人力财力短板 . 10 2.2.3 运维管理难度大 . 10 2.3 行业云有效助力中小银行转型 . 11 2.3.1 运营成本考虑 . 11 2.3.2 监管合规考虑 . 11 2.3.3 业务赋能考虑 . 12 3.中小银行上云决策框架 . 13 4.中小银行上云前准备 . 14 4.1 确定上云优先级及可行性方案 . 14 4.1.1 优先级确定原则 . 14 4.1.2 优先级建议及可行性方案 . 15 （ 1）最高优先级 . 16 （ 2）次优先级 . 16 （ 3）中优先级 . 16 （ 4）低优先级 . 18 4.2 选择合适的云服务商 . 20 5.中小银行上云实施 . 21 5.1 服务合同制定和签署 . 21 5.2 服务方案设计和测试 . 21 5.2.1 方案设计 . 21 5.2.2 方案测试 . 22 5.3 服务交付 . 23 5.3.1 交付方案 . 23 5.3.2 交付实施 . 23 5.3.3 交付评估 . 23 6.中小银行上云后管理 . 23 6.1 服务质量监督管理 . 23 6.2 风险管理 . 24 6.2.1 责任分担模型 . 24 6.2.2 自身风险管理“三道防线” . 26 6.2.3 对云服务商风险管理要求 . 26 6.3 变更和退出 . 27 6.3.1 服务变更 . 27 6.3.2 服务退出 . 27 附录：中小银行上云典型案例 . 29 1.哈密市商业银行上云案例 . 29 2.南阳村镇银行上云案例 . 31 1 1.云计算在金融行业应用现状 1.1 云计算简介 1.1.1 云计算定义 云计算（ Cloud Computing）最早于 2006 年出自 Google CEO Eric Schmidt之口，自亚马逊推出弹性计算云服务 之后被广泛传播，最终成为定义当前信息技术变革大潮的名称。 ISO/IEC 标准化组织在 2014 年发布的 Cloud computing-Overview and vocabulary中给出了云计算的定义： 云计算是一种以网络方式接入到一个可扩展、弹性的共享物理或虚拟资源池的服务模式，用户可以通过自服务和管理的方式来按需购买该服务。 云计算用户只需要很少的管理手段或者与服务商间的交互，便能够快速完成计算资源（包括网络、服务器、存储以及应用等）的扩展和释放。云计算具有按需自助服务、通过互联网获取、资源池化、快速伸缩 和可计量五个主要特点。 1.1.2 云计算 部署模型 根据使用云计算平台用户范围的不同，云资源归属和控制方的不同，一般将云计算分成私有云、公有云、行业云（社区云）和混合云等四种 部署模型 ： （ 1） 公有云 。云服务可被任意云服务客户使用，且资源被云服务提供者控制的一种云部署模型。公有云可由企业、研究机构、政府组织，或几者联合拥有、管理和运营。公有云在云服务提供者的场内。一般情况下，公有云对参与方没有限制。 2 （ 2） 私有云 。云服务仅被一个云服务客户使用，且资源被该云服务客户控制的一类云部署模型。私有云可由云服务 客户自身或第三方拥有、管理和运营。私有云可在云服务客户的场内或场外。云服务客户出于自身利益考虑，还可为其他参与方授权访问。一般情况下，私有云的客户只局限于某个组织。 （ 3） 行业云 （社区云）。云服务仅由一组特定的云服务客户使用和共享的一种云部署模型。这组云服务客户的需求共享，彼此相关，且资源由组内云服务客户控制或云服务提供商控制。社区云可由社区里的一个或多个组织、第三方、或两者联合拥有、管理和运营。社区云可在云服务客户的场内或场外。行业云局限于有共同关注点的行业内客户，这些共同关注点包括但不限于：业务需求、安 全需求、政策符合性考虑等。 （ 4） 混合云 。至少包含以上两种不同云计算 部署模型 。 1.1.3 云计算服务模式 对于公有云和行业云（社区云）这种以服务方式对外提供云计算资源的模式，根据云服务商提供资源类型的不同，云计算服务模式主要可分为三类： （ 1） 软件即服务（ SaaS） ：在 SaaS 模式下，云服务商向用户提供的是运行在云基础设施之上的应用软件。用户不需要购买、开发软件，可利用不同设备上的用户端（如 WEB 浏览器）或程序接口通过网络访问和使用云服务商提供的应用软件，如电子邮件系统、协同办公系统等。用户通常不能管理或控 制支撑应用软件运行的底层资源，如网络、服务器、操作系统、存储等，但可对应用软件进行有限的配置管理。 （ 2） 平台即服务（ PaaS） ：在 PaaS 模式下，云服务商向用户提供的是运行 3 在云基础设施之上的软件开发和运行平台，如：标准语言与工具、数据访问、通用接口等。用户可利用该平台开发和部署自己的软件。用户通常不能管理或控制支撑平台运行所需的底层资源，如网络、服务器、操作系统、存储等，但可对应用的运行环境进行配置，控制自己部署的应用。 （ 3） 基础设施即服务（ IaaS） ：在 IaaS 模式下，云服务商向用户提供虚拟计算机、存 储、网络等计算资源，提供访问云基础设施的服务接口。用户可在这些资源上部署或运行操作系统、中间件、数据库和应用软件等。用户通常不能管理或控制云基础设施，但能控制自己部署的操作系统、存储和应用，也能部分控制使用的网络组件。 1.1.4 云计算服务参与者 云计算服务的参与者可以分为：用户、云服务商、审计者、云服务代理和网络运营商。 （ 1） 用户 ：即云计算资源消费者，使用云服务商提供的云服务。 （ 2） 云服务商 ：向用户提供可用的云计算服务的组织或实体。 （ 3） 审计者 ：能够对云计算服务及云计算实例的信息系统操作、 能和安全性进行中立评估的机构或实体。 （ 4） 云服务代理 ：管理云计算服务的使用、性能以及交付的实体 ， 它能够协调云服务商和用户之间关系。 （ 5） 网络运营商 ：为云服务商提供链接和传输网络资源的实体。 4 1.2 云计算发展情况 1.2.1 云计算市场情况 （ 1）全球云计算市场情况 全球云计算市场总体持续增长。 2016 年以 IaaS、 PaaS 和 SaaS 为代表的典型云服务市场规模达到 654.8 亿美元，增速 25.4%，预计 2020 年将达到 1435.3亿美元，年复合增长率达 21.7%。 数据来源： Gartner 图 1 全球 云计算市场规模 （ 2）我国云计算市场情况 我国云计算市场总体保持高速增长趋势。 根据中国信息通信研究院的中国 5 公有云发展调查报告（ 2017 年）和中国私有云发展调查报告（ 2017 年）统计， 2016 年我国云计算整体市场规模达 514.9 亿元，整体增速 35.9%，高于全球平均水平。其中，公有云服务市场整体规模约 170.1 亿元人民币，比 2015 年增长66.0%，预计 2017-2020 年中国公有云市场仍将保持高速增长态势，到 2020 年市场规模将达到 603.6 亿元。私有云 1市场规模 344.8 亿元人民币，年增长率 25.1%，预计 2017 年增速仍将达到 23.4%，市场规模将达到 425 亿元人民币左右。 图 2 中国公有云市场规模及增速（单位：亿元人民币） 图 3 中国私有云市场规模及增速（单位：亿元人民币） 1 此处私有云统计口径为传统私有云定义 6 1.2.2 我国云计算政策环境 （ 1）云计算宏观政策情况 支持云计算发展的政策相继出台，政策环境持续利好。 近年来，国内云计算发展政策集中出台，我国云计算产业发展、行业推广、应用基础等重要环节的宏观政策环境已经基本形成。国家层面相继出台以下政策： 2015 年 1 月，国务院关于促进云计算创新发展培育信息产业新业态的意见（国发 2015 5 号） 2015 年 5 月，关于加强党政部门云计算服务网络安全管理的意见 2015 年 7 月，国务院关于积极推进“互联网 +”行动的指导意见 2015 年 8 月，促进大数据发展行动纲要（国发 (2015)50 号） 2017 年 3 月，云计算发展三年行动计划（ 2017-2019 年） （ 2）金融行业云计算相关政策情况 同时，金融行业对云计算发展的政策环境也在逐步完善中。 银监会中国银行业信息科技“十三五”发展规划监管指导意见（征求意见稿） 首次对银行业云计算明确发布了监管意见，是中国金融云建设的里程牌事件； 明确提出积极开展云计算架构规划，主动和稳步实施架构迁移； 支持金融行业行业云。除了金融私有云之外，提出“行业公共云” 模型 ，支持建立符合法律法规要求、市场化运作、具备金融级安全等级的行业 7 云平台运营机制。 人民银行中国金融业信息技术“十三五”发展规划 要求落实推动新技术应用，促进金融创新发展，稳步推进系统架构和云计算技术应用研究。 1.2.3 云计算在金融行业应用情 况 （ 1）云计算加速金融行业 “互联网 +”发展 云计算促进金融行业分布式架构转型，加速金融行业“互联网 +”发展。 随着金融行业“互联网 +”战略实施的快速深入，对其业务及运维系统的高效敏捷运行提出了严峻挑战，为此传统金融机构开始高度关注分布式云计算架构下 IT 系统的发展与应用部署。与集中式架构相比，分布式云计算架构能够帮助金融机构弹性扩容，大大缩短应用部署时间、实现故障自动检测定位以及业务升级不中断，从而更好的适应“互联网 +金融”的服务模式。在分布式架构实现中，云计算技术是主要技术路线。云计算以其资源池化，应用开 发分布式架构的特点，可以满足信息化系统自动扩缩容、底层硬件兼容、业务快速部署的需求。 （ 2）金融行业云计算 部署模型 国内传统金融机构使用云计算技术主要采用有私有云和行业云两种 部署模型 。金融行业按照业务又可以细分为银行业、证券业、保险行业、互联网金融等子市场。对于传统的金融机构，尤其是银行业主要采用私有云和行业云的方式， 这与银行业的高度监管是紧密相关的。 a) 金融机构部署私有云 主要用于存储、运行重要业务系统，存储敏感数据， 8 一般采用自建基础设施、购买硬件产品和解决方案的方式搭建，在生产过程中实施外包驻场运维、自主运维。 b) 金融机构部署行业云 主要是通过金融机构间在云计算领域的合作，通过资源等方面的共享，在金融行业内形成公共基础设施、公共接口、公共应用等一批技术公共服务。金融机构部署行业云主要用于对金融机构外部客户的数据处理、服务，或为一定区域内金融机构、金融机构垂直机构提供资源共享服务。 （ 3）金融行业上云情况 互联网金融和辅助性业务系统较多首先上云。 目前，金融机构使用云计算技术通常采取从外围系统开始逐步迁移的实施路线。辅助 性业务系统安全等级较低，系统问题不会导致巨大的业务风险。金融机构普遍考虑将渠道类系统、客户营销系统和经营管理等辅助性系统尝试使用云计算，从而提升系统管理的灵活性，降低运营成本，同时也大幅提升了相关的用户体验。互联网金融系统包含微贷、 P2P、消费金融等相关业务，由于其系统需要新建，历史包袱相对较轻，并且天然的互联网业务特性也比较适用于云计算相关技术。 图 4 金融机构上云系统情况 9 不同类型的金融机构对云计算的应用路径也存在较大差异，不能一概而论 。比如大型银行由于传统信息化基础设施投入大、有专职技术部门、安全要求更加谨慎等原因，一般选择沿用采购软硬件产品自行搭建私有云并独立运维，而中小银行由于“缺钱少人”等原因一般不会选择私有云 部署模型 ，更倾向选择行业云。 中小银行是现代化金融发展历程中重要的一类金融机构，其具有相同或类似业务需求和政策特性，本白皮书将着重聚焦中小银行上云，重点分析中小银行上云需求和上云路径，解析中小银行上云过程中应该考虑的关键点并给出推荐建议。 2. 中小银行选择云计算的意义 2.1 中小银行范畴 这里的 中小银行 2指的是 依法设立的股份制商业银行、城市商业银行、农村商业银行、农村合作银行、村镇银行等，其中股份制商业银行不包括国有大型股份制商业银行。 2.2 中小银行信息科技发展瓶颈 2.2.1 业务要求高 业务压力大，信息化建设能力不足。 中小银行是一个严格意义上的银行，拥有全牌照，有权进行全业务拓展，经过监管机构审批后，可以开展银行卡业务、网上银行业务和国际业务等。中小银行为提升自身市场竞争能力，需持续进行新业务系统的研发和建设，这对中小银行信息化建设能力带来较大的挑战。 2 引用中小银行信息系统托管维护服务规范 GB/T 0140-2017 中关于中小银行的定义 10 2.2.2 人力财力短板 “缺钱少人”是中小银行发展信息科技的最主要瓶颈。 与经济实力雄厚的国有四大银行以及各大股份制银行相比，缺钱少人的中小银行在信息化建设上常常感到力不从心。由于资金短缺和人才匮乏，这就使得很多中小银行在业务的拓展和创新上受到严重制约。 图 5 大型银行与中小银行科技投入对比 （数据来源：麦肯锡） 2.2.3 运维管理难度大 系统运维和信息管理工作相对复杂，难以应对。 即使中小银行的信息化建设能够跟的上业务发展的需求，随着业务的创新和拓展，金融服务能力要求会越来越高，信息系统数量会越来越多，复杂程度也越来越高，管理 和整合的难度自然也就也越来越大。随着风险管理的全面展开及深入，加上信息化建设自身在发展过程中所凸显的风险，以及信息安全等诸多因素的影响，势必造成管理难度越来越大，风险暴露越来越明显。 11 2.3 行业云有效助力中小银行转型 2.3.1 运营成本考虑 首先，正如前文所述， 中小银行由于其“缺钱少人”的主要瓶颈，出于运营成本的考虑，一般不建议像大型银行那样投入较大人力物力来全面建设私有云 。采用按需采购云服务 的模式，发展信息科技面临的财力、人力压力可以得到极大减轻。从投资方面来看，中小银行只需以相对低廉的“月租服务费”方式投资，不用一次性投资大笔资金，不占用过多的营运资金，缓解了中小银行资金不足的压力。同时，中小银行无需再配备 IT 方面的专业运维人员，从最大程度上减轻了中小银行在财力、人力上的压力，从而使其可以集中投入发展核心业务。 2.3.2 监管合规考虑 中小银行面对较为严格的监管合规要求，在云服务 部署模型 选择上必须慎重考虑。 行业云可以满足监管的要求，普通公有云往往难以满足监管要求。部分银行业监管要求规范如下： JR/T 0011 2004 银行集中式数据中心规范 JR/T 0044 2008 银行业信息系统灾难恢复管理规范 JR/T 0140 2017 中小银行信息系统托管维护服务规范 银监会中国银行业信息科技“十三五”发展规划监管指导意见（征求意见稿） 中国人民银行计算机系统信息安全管理规定（银发 2010 276 号） 商业银行信息科技风险管理指引（银监发 2009 19 号文印发） 12 商业银行数据中心监管指引 （银监发 2010 114 号文印发） 商业银行业务连续性监管指引（银监发 2011 104 号文印发） 银行业金融机构信息科技外包风险管理指引（银监发 2013 5 号文印发） 2.3.3 业务赋能考虑 不同云计算 部署模型 对于业务本身的提升效果也存在区别，行业云优势较为明显 。一方面，面向金融行业的行业云业务产品更加有针对性，能够有为金融业务定制资源配比、针对市场需求优化金融类产品和服务。另一方面，业务部署周期缩短，中小银行不再需要漫长的开发周期来完善其 IT 系统，只要从云计算服务商那就可以获得最先进的应用技术和服务支持，加快了业务部署和迭代的步伐 。 图 6 中小银行选择云服务 部署模型 雷达图 (来源 : 中国信息通信研究院 ) 如上图所示，综合上述考虑，行业云在在运营成本、监管合规和业务赋能三方面均表现较好，在本白皮书中，我们推荐“金融行业云”作为普通中小银行的上云 13 首选 部署模型 ，后文中关于中小银行的上云分析均默认为行业云 部署模型 。 3.中小银行上云决策框架 在传统的信息化建设模式下，中小银行直接投资构建 IT 设施、服务器以及网络，拥有信息化资源的所有权； 现在，需要转换思维，把 IT 看作服务，看作是商品化的计算资源和服务 。这种全新的思维方式对整个 IT 服务的生命周期都产生了重大影响。 本白皮书提出了中小银行上云的决策框架，从上云前准备、上云实施到上云后管理三个流程提出决策建议 。供计划实施的有关单位参考。 表 1 中小银行上云决策框架 上云前准备 上云实施 上云后管理 确定上云优先级和可行性方案 选择合适的云服务商 服务合同制定和签署 服务方案设计和测试 服务交付 服务质量监督管理 风险管理 变更和退出 14 4.中小银行上云前准备 4.1 确定上云优先级及可行性方案 4.1.1 优先级确定原则 确定上云优先级是中小银行上云的第一步工作，也是最重要的工作。 中小银行在上云之前 应全面审视自己的业务系统，认真评估其 IT资产，仔细设计路线图，将适合云化部署且准备比较充分的服务置于首选地位，以使上云带来的收益最大化、成本最小化。 中小银行因资产规模区别，业务系统种类和数量一般也存在较大差异，资产规模较大的股份制商业银行和城市商业银行业务系统通常比较丰富，而中小银行中资产规模最小的村镇银行因盈利能力较弱 ， 系统较少 。总体来说，银行业信息系统一般包含渠道服务、客户服务、产品服务、风险管理、管理信息、核心银行、内部支持和基础平台等八个主要的业务系统领域。各业务系统领域中的典型应用如下图所示： 图 7 银行业信息系统 最高优先级次高优先级 中优先级 低优先级 15 成本收益比、安全保护要求、监管机构管理要求、应用系统上云难度是确定业务系统上云优先级的主要考量因素。 通常来说，确定上云优先级有几个参考原则。 一是 对于需新部署的业务系统，且云服务商已有与之相对应的比较成熟的业务，从价值收益的角度建议不分业务类型，都首选云服务； 二是 已有信息化系统，上云后价值效益明显的，也建议尽快上云，尤其像访问流量有突发变化特征或对数据融合处理有较高要求的系统，上云后能够带来明显的效益提升 ; 三是 对于已有信息化系统，按照非核心系统和核心系统的区分确定优先级，先上非核心系统，后上核心系统。 4.1.2 优先级建议及可行性方案 如前文所述，对于新开业的中小银行或中小银行需要新开发部署业务系统，建议直接采用云计算部署架构，根据业务需求逐步部署业务系统。下文重点分析中小银行已有信息化系统迁移上云应如何确定优先级。 综合成本收益比、安全保护要求、监管机构管理要求、应用系统上云难度等多方面考虑，本白皮书给出中小银行业务系统迁移上云的优先级推荐建议，图 7中绿色、黄色、橙色、红色代表各类系统上云优先级从高至低，分别为： 最高优先级（绿色）、次高优先级（黄色）、中优先级（橙色）、低优先级（红色） 。当然，需要强调的是本白皮书仅针对普遍情形给出推荐建议，中小银行可根据自身特点有所调整策略。 16 （ 1）最高优先级 银行业使用信息系统中，图 7 中标注为绿色的信息系统可以考虑优先上云。具体包括：手机银行、微信银行、网上银行、电子支付、电话银行、第三方支付、呼叫中心、积分系统、办公系统、员工培训学习系统、网点管理系统、人力资源系统、机房运维管理系统、邮件系统、数据级灾备系统、 ITSM 工具以及短信平台等。 可行性方案：这些系统中，云化的 部署模型 基本上不会改变现有应用系统的架构，直接进行迁移即可。数据级灾备系统所使用的行业云服务与其他应用系统略有不同；其他系统多使用行业云服务中的“云主机”服务，而数据级灾备使用类似于“云备份”的 服务模式。 （ 2）次优先级 图 7 中黄色系统为其次，具体包括：客户关系管理系统、营销系统、财富管理平台、直销银行、互联网金融类系统、票据系统、监管报送类系统、司法查控、电信反欺诈、经营分析、综合报表、定价系统、资产负债管理以及绩效考核类系统等。 可行性方案