大家周五好。

昨天北京地铁惊现西瓜哥，众多网友纷纷微信向西瓜哥求证，都以为是西瓜哥搞的行为艺术，用来宣传我们的“高端存储知识”。

经过西瓜哥向自己的内心求证，此西瓜哥非彼西瓜哥。这个是地铁西瓜哥，俺是存储西瓜哥。其实我特别想冒充，但我现在在成都上吐下泻，哪里精力去北京冒充啊。因此，大家百度西瓜哥的时候，希望加上一个定语，这样才会得到你需要的结果。不过，下一次哪位再搞这样的行为艺术，记得拿上一个我们“高端存储知识”微信公众号的二维码，谢谢了。

昨天西瓜哥给大家曝光了银监会部署的2015年去IOE的一些思路，虽然是口口相传，不一定完全准确，但基本的意思都没有错。今天，西瓜哥继续和大家曝光所有厂商都非常关注的问题，自主可控的定义是啥，今年新增IT设备采购自主可控的比例是多少?

大家知道，银监发【2014】39号文其实是4个部委联合发的，包括中国银监会、国家发展改革委、科技部、工业和信息化部。为了落实39号文的内容，中国银监会办公厅和工业和信息化部办公厅在去年年底联合刊发了一个317号文，就是我们昨天说的2015年度银行业应用安全可控信息技术推进指南。

从317号文看，银监会非常重视实施架构转型，因为只有架构开放，才能谈得上自主可控。

“银行业金融机构应加强架构规划和设计能力，以开放、弹性为重点目标实施架构转型，为应用安全可控信息技术留出空间，2015年应至少完成一个开放弹性架构原型，并完成至少一个信息系统的迁移;完善信息系统灾备架构，数据级灾备方案原则上必须使用安全可控的信息技术构建，应用级灾备逐步向安全可控信息技术过渡，2015年应至少实现一种基于安全可控信息技术的数据级(或应用级)灾备方案。”

由于IBM大型机是封闭的架构，因此银监会才建议新建最好不用大机，已经用的要研究迁移方案。这个谁都可以想得到，只是有些内容是口头传达，不一定在发文中体现。这些信息的传播，我想以我这种自媒体才最适合传播，正式媒体反而不宜大肆宣传。昨天还有IBM粉丝骂我散布谣言，其实，我已经说过是据灵通人士透露，信不信由你。还是另外一个IBM的朋友说得好，“什么时候银监会建议使用大型机了?”，因此，不建议新增大型机其实没有啥实质内容的，各大行必须用还得买，架构的迁移不是一蹴而就的。

也有人说这是保护落后。这个有一定的道理，西瓜哥特别反对盲目的科技闭关锁国。但大家想一想，没有对Google的封锁，哪来的百度，没有对Facebook的封锁，哪来的腾讯?其实我最恨这种封锁了，但却造就了中国的互联网巨头，使得微信得以生存发展壮大，现在也开始走向世界了。因此，我对银监会的这些措施表示理解，只要不盲目闭关锁国，从政治和经济上，可能对中国好处比坏处多。

其实，从317号文，我们看到银监会的努力，他们把IT设备分类看待，每类都对中国的IT厂商现状进行了详细的调研，每类的自主可控的要求都是不同的，新建设备的自主可控比例也是不同的。今天，西瓜哥就给大家透露一些重要的IT分类的自主可控要求。

如果做到真正的自主可控，最好就是产品拥有自主知识产权，这个是区别OEM和外资控股企业产品的一个重要标志。317号文，对这个是有非常清晰的定义的：

自主知识产权，是指我国的公民、企业法人或非法人机构具有独立支配权或相对控制权的知识产权，即依法拥有、可以独立行使知识产权各项权能的知识产权,或虽然不拥有所有权，但在一个较长的时期内可以独立行使知识产权各项权能，并能不受他人制约地进行集成创新和引进消化吸收再创新的知识产权。专利在专利检索与服务系统(http://www.pss-system.gov.cn)查询;软著在中国版权保护中心的中国版权登记门户网站(http://www.ccopyright.com.cn)查询。

好，国产IT厂商激动已久的时刻到来了，银行业2015年新增IT产品自主可控率之高，令人印象深刻。举几个栗子

大型计算机

安全可控要求：

1.整机技术风险、供应链风险可控;

2.加密模块符合国家密码管理部门相关要求，通过国家相关部门的密码检测;

3.随机固件、操作系统、数据库、中间件等系统软件源代码提交银监会信科部备案。

研究任务：

适用于目前采用大型计算机的银行业金融机构：

1.研究替代解决方案，制定替代规划;

2.研究备份系统的异构替代方案，至少实现一个基于大型机的应用在异构备份系统的迁移。

评价方法：

从大型计算机迁移的信息系统数/截至2014年底在大型计算机上运行的应用系统数

小型计算机

安全可控要求：

1.通过国家相关部门的检测和认证(须获兼容性互认);

2.含有的可信计算模块(TPM/TCM)，应取得商用密码产品型号证书;

3.整机技术风险、供应链风险可控;

4.技术提供方在中国境内拥有技术研发与服务中心，提供产品的持续升级与技术支持服务;

5.随机软件及BIOS固件源代码需交银监会信科部备案;

6.开放监控管理接口，并通过银监会信科部或其委托相关机构的风险评估。

应用任务：

新增此类设备符合安全可控要求的比例不低于50%

评价方法：

1.新增此类设备符合安全可控要求的数量/新增此类设备总数;

2.此类设备中符合安全可控要求的数量/当前此类设备总数。

PC服务器

安全可控要求：

1.通过国家相关部门的检测和认证(须获3C认证、兼容性互认);

2.含有的可信计算模块(TPM/TCM)，应取得商用密码产品型号证书;

3.整机技术风险、供应链风险可控;

4.技术提供方在中国境内拥有技术研发与服务中心，提供产品的持续升级与技术支持服务;

5.随机软件及BIOS固件源代码需交银监会信科部备案;

6.开放监控管理接口，并通过银监会信科部或其委托相关机构的风险评估。

应用任务：

新增此类设备符合安全可控要求的比例不低于100%

评价方法：

1.新增此类设备符合安全可控要求的数量/新增此类设备总数;

2.此类设备中符合安全可控要求的数量/当前此类设备总数。

大家可以看到，银监会并没有说安全可控一定是国产，而且不同类型的服务器安全可控标准也不同，新增设备合规的比例也不同，比如PC SERVER高达100%，肯定是国内PC服务器厂商是重大利好。

对于网络设备，我就不仔细展开了，告诉大家一个关键的比例，骨干网路由器和核心交换机新增设备自主可控比例都是75%。

对于西瓜哥特别关心的存储，我们要特别展开说一下了。

磁盘阵列

安全可控要求：

1.含有的加密模块，应通过国家相关部门的密码检测;

2.整机技术风险、供应链风险可控;

3.技术提供方在中国境内拥有技术研发与服务中心，提供产品的持续升级与技术支持服务;

4.随机软件拥有自主知识产权;

5.固件、随机软件、管理软件源代码报银监会信科部备案;

6.开放监控管理接口，并通过银监会信科部或其委托相关机构的风险评估。

应用任务：

新增此类设备符合安全可控要求的比例不低于75%

评价方法：

1.新增此类设备符合安全可控要求的数量/新增此类设备总数;

2.此类设备中符合安全可控要求的数量/当前此类设备总数。

看来银监会对数据的安全非常重视，磁盘阵列特别有一条随机软件拥有自主知识产权，也就是严格来说只有国产控股的公司生产的自研磁盘阵列才符合安全可控标准。NAS和磁盘阵列类似，只是新增设备的自主可控比例更高，达80%。

至于安全设备，如防火墙，自主可控要求都是100%。而虚拟化软件和操作系统，自主可控要求只有10%。数据库就没有要求，看来国产数据库还不争气啊。还有，就是技术服务要求安全可控的比例是40%(金额)。

大家可以看到，银监会还是充分考虑了IT产品国产化的现状，没有盲目一刀切。

不过，对于国产的IT厂商来说，2015真的是一个金融的元年。关键是金融的去IOE化，对其他很多行业有非常大的示范意义。只是，国产厂商，你们准备好了吗?

西瓜哥对国产厂商有几个建议：

1、不用盲目乐观，自主可控不一定是国产，而且这个比例不是金额，而是台数。也就是说，如果边缘你都做不好，核心就别指望了。

2、加强质量，怎么强调都不过分。如果要在金融行业脱颖而出，产品的质量比杀低价更有杀伤力。

3、加强服务。新增自主可控的服务指标是40%金额，是很大的一笔投资。而且，产品的质量还不是很好的时候，良好的售后服务是必须的。