針對余立委所提公股銀行系統30年未更新之報導
針對余立委所提公股銀行系統30年未更新之報導:
<以下摘自Inside硬塞報導> ---------------
…
相信大家都對遠東銀行遭駭的事件還心有餘悸,為了防止下個遠銀事件再度發生,立委余宛如今天揭露公股銀行核心系統超過 30 年未更新的重大問題。
首先她向大家介紹公股銀行核心系統始於 1982 年財政部推動銀行電腦連線作業之計畫,當時主要以
COBOL 撰寫,並採用 IBM、Unisys 等非開放性主機架構;當然在 30 年前用這種封閉式架構很合理,但到了現在全互聯網時代老早不堪使用,只能在原有系統上疊床架屋嫁接不同程式。這讓公股銀行整體系統更難進行即時性的重大更新,而且進一步疊加了營運成本。據了解,每年公股銀行光要維護這些舊核心系統專屬主機,就要花上數億元的費用,而且另一方面懂
COBOL 與舊核心系統的人才越來越少,讓公股銀行資安成為淺而易見的未爆彈。
…
<結束> ------------------------------------
<結束> ------------------------------------
在文中具名點出IBM與Unisys兩大銀行主機系統供應商,恰好本人在IBM有15年工作經驗,在Unisys也有超過3年經驗,有幾點筆者想具體回應:
1.
首先標題「…余宛如揭露公股銀行系統 30 年未更新」顯然有些誤解,所有系統包含大型主機都是與時俱進,不管軟硬體或程式,都是不斷更新的。
2.
立委所言非開放性主機指的是IBM z/OS大型主機與Unisys
CPF-MCP大型主機的架構,這兩種系統的確是歷史悠久的硬體與作業系統,也是所謂封閉式的環境,上面所執行的銀行核心系統也多是COBOL等傳統程式語言所撰寫,其實從安全角度來看這些是優勢,不能說是缺點,尤其是對銀行業而言,封閉某種程度代表穩定與安全,不需要經常性的維護、停機、上版、修復漏洞、排除錯誤、更新防毒軟體等等,這些特性對於銀行而言極端重要,一個永不間斷的金融體系就是基於這些特性而來的。
3.
封閉式架構到了互聯網時代老早不堪使用?這可能是一個過於簡化的推論,互聯網時代約莫從2000年開展,陸陸續續有很多互聯網創新應用,甚至最近這幾年互聯網金融已經是金融業的大敵,但這些跟後台核心系統有架構沒有直接的關聯,成敗的重點在於業務模式創新與用戶體驗。比較標準現代化的作法是「雙速度的基礎架構」–Two
Speed Infrastructure. 意思是後台要穩定,前台要靈活。就是說前台架構要靈活快速的因應市場變化而推出新產品,同時後台架構又要能在巨量的交易與變化情況下保持安全與性能穩定,這是滿足互聯網時代具備挑戰性的技術能力,所謂的不堪使用,應該要檢視的是前台與中台的系統架構夠不夠靈活與彈性,當然後台也需要配合,但絕對不能說這是後台大型主機老舊的問題。
4.
系統疊床架屋嫁接不同程式?這跟COBOL或大型主機系統也沒有直接關連,所有的軟體開發週期都是需要經由需求、分析、設計、測試與驗證等過程而來,一個好的應用可以隨著時代的演進不斷更版,不管是IBM與Unisys或其他家的軟體系統都是如此,只有品質差的軟體工程或無法改動的軟硬體系統才會造成疊床架屋,這些軟硬體廠商都是世界大廠,都有開發團隊不斷進行產品的研發與改造,只是因為產品的對象是企業不是消費者,大眾都知道像微軟與蘋果又出了什麼作業系統與手機,通常不會知道IBM又出了什麼大型主機技術。
5.
難進行即時性的重大更新,而且進一步疊加了營運成本?這個問題在大型主機的世界裡其實是最不需要擔心的事情之一,通常大型主機的容錯性極佳,並且在不同的架構層皆具備高可用性的設計,當需要進行系統更新時,通常會進行切換程序,切換程序可以是計劃性切換或緊急切換,服務並不會因為單一節點進行更新而中斷,得以保持7x24不中斷的金融服務,這些大型主機的高度容錯設計是一般開放式環境無法對比的,在軟硬體初期採購成本上的確高於開放式主機,但是談到營運成本,很難說整體是孰高孰低。
6. 懂 COBOL 與舊核心系統的人才越來越少,讓公股銀行資安成為淺而易見的未爆彈?這話可能只對了一半,的確目前COBOL與大型主機核心系統的人才不容易找,這是個隱憂,是資訊業界與銀行本身共同面臨的問題,需要有計劃培養人才與善用人才,但是是跟銀行資安成為未暴彈是兩件主題,彼此並沒有直接因果關係,基本上大型主機的資安是遠遠勝於開放系統的資安,這是銀行之所以要用封閉式主機其中一個很重要的因素,資安的 風險來源往往來自於外圍系統的弱點、網路層的入侵、使用者的不當行為等等,這些都與COBOL人才變少完全沒有關係。
6. 懂 COBOL 與舊核心系統的人才越來越少,讓公股銀行資安成為淺而易見的未爆彈?這話可能只對了一半,的確目前COBOL與大型主機核心系統的人才不容易找,這是個隱憂,是資訊業界與銀行本身共同面臨的問題,需要有計劃培養人才與善用人才,但是是跟銀行資安成為未暴彈是兩件主題,彼此並沒有直接因果關係,基本上大型主機的資安是遠遠勝於開放系統的資安,這是銀行之所以要用封閉式主機其中一個很重要的因素,資安的 風險來源往往來自於外圍系統的弱點、網路層的入侵、使用者的不當行為等等,這些都與COBOL人才變少完全沒有關係。
以上回應是以資訊人的立場來談這些問題,期望專業意見也能被聽見,但基於IBM與Unisys都是我的老東家,說什麼都不具中立性與客觀性,但求勿聞風起舞與牽強附會,片面之詞足以領導視聽,唯希望專業回歸專業,願聞各方先進之批評指教。
文/老林
文/老林
關於作者:
目前擔任美商優利系統副總經理、企業應用服務事業群總監
曾任Dell亞太區技術支援中心資深協理、IBM大中華區協理、IBM台灣經理
目前擔任美商優利系統副總經理、企業應用服務事業群總監
曾任Dell亞太區技術支援中心資深協理、IBM大中華區協理、IBM台灣經理
長期從事企業數位轉型服務、網路金融、全渠道服務、客戶關係、與智能化科技
留言
張貼留言