近日,金融信息化研究所发布了《金融业数据库供应链安全发展报告(2022)》,同时公布了22个典型案例集。基于在金融机构核心系统的出色应用表现,武汉达梦数据库股份有限公司(简称“达梦数据”)在梅州客商银行新核心业务系统应用实践、中国人寿企业年金核心系统应用实践入选案例集。
随着金融业务线上、移动化、场景化发展,数据规模迅速增长,数据库技术创新发展成为金融机构关注的焦点。《金融业数据库供应链安全发展报告(2022)》(以下简称“报告”)是金融行业数据库创新领域的技术指南,通过政策、金融行业、全球、技术、历史五个维度的综合分析,报告能够有效推动解决金融数据库技术应用的难点,对金融领域数据库技术发展现状和问题并提出切实的发展建议。
报告显示,随着金融业不断加大国产软硬件试点力度,以达梦为代表的国产数据库已经在部分金融机构实现了核心系统的应用突破,为解决金融业数据库供应链安全问题树立标杆、积累经验。
达梦数据,致力于成为国际顶尖的全栈数据产品及解决方案提供商
国产数据库三条技术路线
目前,金融系统的数据库根据使用场景划分,可以分为核心系统、办公系统和一般系统。根据报告调研,金融业核心系统用到的我国数据库产品主要集中在几大互联网云厂商和以达梦数据为代表的国产数据库。部分银行基于开源内核自研数据库产品,在核心系统实现了应用。
按照技术路线划分,这些数据库通常分为自研闭源数据库、基于开源软件二次开发数据库和基于国外技术的数据库。
闭源自研须有确定的开发主体和服务提供者,软件的迭代升级能就地实现,数据库开发者完全主导和决策产品的研发方向,甚至可以对特定行业和特定客户提供定制版本,闭源自研最能体现厂商的能力和技术水平。
不过,目前国内还没有出现市场能力和技术能力达到某国外数据库巨头水平的厂商,且国内能够做到不依赖开源代码,闭源自研的厂商微乎其微。
达梦数据库是闭源自研路线的典型代表。
DB-Engines所统计的数据库产品中开源数据库数量占比为52%,开源数据库的流行度和数量都超过商业数据库,正成为技术与市场变革的新引擎。由于基于开源软件二次开发可以站在巨人肩膀上,快速拿出达到市场主流水平的数据库产品,导致开源数据库也已经成为我国数据库实现突围的主要途径,几大互联网数据库厂商都选择了这条路线。但总体而言,我国开源数据库还没有形成足够多的开发者社区和服务者群体,生态圈尚显稚嫩。
基于国外技术的数据库可获得较高的起点,可继承外商的技术和生态优势,但也增加了不少风险。如果只继承了外商的源代码,却没有形成自己的技术和能力,那么,在技术演进和技术迭代方面会比较麻烦。
金融业集中式数据库是主流
诚然,无论是传统集中式数据库,还是以分布式数据库为代表的新型数据库,在解决金融业数据库供应链安全问题中都发挥重要作用,特别是部分金融机构实现了核心系统的应用突破,为解决金融业数据库供应链安全问题树立标杆、积累经验。
但从实际情况看,目前集中式数据库更适宜金融行业,报告中也证明了这一点。
我国集中式数据库具有自然的技术继承性。金融业长期使用的国外数据库均为集中式架构,平移到同类型的其他集中式数据库相对难度小、成本低、风险可控,从而成为很多用户的自然选择。而且我国以达梦数据为代表的集中式数据库对国外主流成熟数据库进行了大量兼容,这样可确保应用过程中对应用侵入性小,同时无论是开发人员还是运维人员,其原有的技术、技能均可沿用,为我国数据库产品应用规避知识和技能壁垒。
我国集中式数据库技术相对成熟。我国集中式关系型数据库经历近30年的研发、优化、应用和成长,已经在政企等不同领域得到较为充分的应用和打磨,初步具备支持金融应用能力,基本满足金融行业对可靠性、可用性、高性能、高安全性的需求。同时,集中式数据库由于其更短的数据流程和决策机制,更容易保障其数据一致性和交易响应时间。
集中式数据库更适合业务量适中的交易类业务场景。集中式数据库在严格遵守事务ACID特性、数据强一致性的同时,保证高性能和高可靠性,天然契合交易复杂度高、数据强一致性、响应时间和吞吐量高的金融业OLTP业务场景。如银行的存取款等核心业务对数据的强实时一致性要求;证券业的实时交易对响应时间要求极其苛刻;保险行业核保交易需要核实和校验大量的信息,交易涉及的规则非常多而且多变。
我国集中式数据库初步构建应用生态体系。我国集中式数据库厂商经过多年的经营,初步形成可用、部分易用的生态体系,适应金融行业现有IT环境。
正是因此,集中式数据库成为金融行业绝对主流,占比高达89%。这主要是因为传统集中式数据库具有高效的数据存储效率和优异的系统稳定性,有力支持数据共享集中处理系统建设,在数据大集中时期形成绝对的主导地位。在金融业很多应用实践中,以达梦数据为代表的我国优秀的集中式数据库产品顺利实现对国外商用数据库的替换,既是发展规律和技术特点共同作用的结果,也是市场的自然选择。
图:达梦数据库管理系统(DM8)
开源软件风险不可小觑
近年来,本土互联网产业和软件产业蓬勃发展,虽然取得了不少成绩,但在基础软件方面往往习惯于依赖开源。实际上,开源软件风险不可小觑,其存在的知识产权风险和安全风险,必须予以重视。
比如开源许可协议约束风险,当用户不当使用这些许可协议的开源技术或者产品时,就存在侵权的风险。而且,开源许可协议是脆弱的,协议本身可以通过协商、修订、补充等方式进行修改,使得使用规则存在不确定性。开源许可协议还可能带来法律风险以及兼容性风险,一旦涉及这些问题,都有可能给国内企业带来相关困扰。
开源软件的安全性也值得关注。据美国网络安全公司Snyk发布的《2019年开源安全现状调查报告》显示,78%的漏洞存在于间接依赖关系中;37%的开源开发者在持续集成期间没有实施任何类型的安全测试,54%的开发者没有对Docker镜像进行任何安全测试;两年内应用程序的漏洞数量增长了88%。
另外,开源软件公开的源代码,如果包含对企业数据库的访问代码,则可能导致整个数据库面临数据泄露的危险,也可能导致企业内部文件与用户信息的泄露。
目前,金融IT基础设施安全创新已经是金融系统的共识,也做了不少的试点工作,特别是国有大行,其国产数据库比例非常高,办公系统和核心系统的国产数据库使用比例达到83%,一般系统的占比达到100%。
达梦数据坚持自主创新40余年,掌握数据底层核心技术
此次,达梦数据在梅州客商银行新核心业务系统的应用实践、中国人寿企业年金核心系统的应用实践成功入选报告。梅州客商银行将核心业务系统由原来的国外数据库迁移至达梦数据共享存储集群(DMDSC)+达梦数据守护集群(DMDataWatch)+ 达梦数据实时同步软件(DMHS)上,不仅提升了数据库整体处理能力,还实现了两地双中心高可用容灾架构。
中国人寿则将企业年金系统(受托管理达千亿规模)迁移到达梦数据上,该项目于2020年12月正式上线,基于达梦数据库的年金系统,年终结算批作业、精算等业务上,处理时间大幅缩短50%以上,综合性能超客户预期30%以上。
诚然,国产数据库尚存在一些不足,金融机构也面临数据库选型难、应用不充分、实施难度大、管理与运维复杂、人才队伍短缺等困难。希望相关各方还需针对性地弥补短板、改进不足、统筹推进,全面提升金融业数据库供应链安全水平。