为什么大型机在银行数字时代仍然重要——与詹妮弗·尼尔森的访谈

Jennifer Nelson 是 izzi 软件的首席执行官。

发现顶级金融科技新闻和活动！

订阅《FinTech Weekly》新闻通讯

JP Morgan、Coinbase、Blackrock、Klarna 等高管正在阅读

在一个痴迷于最新技术浪潮的行业中，很容易忘记：金融基础设施中一些最坚固的支柱已经屹立了数十年。尽管金融科技创新常被包装成奔向未来的竞赛，但全球银行业的骨干却静悄悄地依然扎根于许多人错误地视为“旧物”的系统：大型机（mainframe）。

这不仅仅是怀旧情绪或企业惯性。大型机仍在处理全球大多数金融交易，其可靠性与规模远超许多更新的平台。它们能在不牺牲安全性的前提下，实时处理海量数据，因此在一个同时依赖速度与信任的金融体系中，大型机变得不可或缺。

然而，尽管它们在关键环节中扮演着核心角色，大型机却经常被误解。在当下“云优先”（cloud-first）成为默认口号的环境里，为较旧的技术辩护可能会让人觉得不合直觉。但把大型机称作遗留系统（legacy system），过于简化了一个更复杂的真相。要理解其中原因，我们需要审视传统系统与现代混合基础设施（hybrid infrastructures）推动之间的平衡。

谨慎推进现代化的理由

金融机构正承受着持续不断的现代化压力。投资者、客户与监管机构期待无缝的数字化服务、强化的安全能力以及更快的性能。对许多领导者而言，激进追求改变的诱惑很大——抛弃旧系统，并整体迁移到云端。

但现代化并非只是技术层面的项目。这是一项战略性工作，如果仓促推进会带来风险。那些长期安全运行在大型机环境中的数据，一旦被转移到其他地方，就会暴露出来。为大型机优化的应用在迁移后可能会表现不佳，进而导致昂贵的延迟（latency）问题。这些风险绝非假设：它们会威胁日常运营、监管合规，甚至影响消费者信任。

教训很明确：真正的现代化并不是为了用新东西而把旧东西硬拆掉。而是要整合各自的优势，谨慎分阶段推进更新，确保下一步不会让已经运转良好的部分失去稳定。

技能缺口带来的真实后果

技术演进的速度总是快于维护它所需的专业能力。在大型机领域，这一点尤其明显。多年来，银行与金融机构依赖一批掌握扎实机构知识的工程师，了解 IBM Z 系统及相关平台。随着不少专家退休，下一代尚未完全补齐这些技能。

这会带来一个严峻的挑战。专业知识储备不足会增加代价高昂的错误风险，即便已有防护措施。大型机的韧性无法完全抵消人的因素。除非新工程师接受培训并获得指导，否则银行将面临脆弱性——并不是源于技术本身，而是因为了解如何安全使用这套技术的专业人士数量正在缩小。

安全依然关乎人

当谈到网络安全时，很多重点都放在工具和防御上。然而，一次次的现实都表明：真正的薄弱环节往往源自人的行为。在大型机领域，这通常体现在权限是如何被授予、管理以及撤销的。

那些未充分理解高权限影响的开发者，可能会无意间敞开“后门”，并非出于恶意，而是由于培训不完整或出于便利。公司如果在员工转换岗位时没有及时更新访问权限，就可能不必要地暴露敏感数据。即便技术足够先进，安全卫生（security hygiene）的基础原则依然必不可少——但往往被忽视。

介绍 Jennifer Nelson

为了把这些挑战与机遇置于具体语境中，我们邀请了 Izzi Software 的 CEO Jennifer Nelson。Nelson 的职业生涯围绕大型机系统展开：她在 Rocket Software 工作了 15 年，在 BMC 工作了 5 年，随后通过担任 IBM Z 生态系统之外的高级工程岗位，进一步拓宽了视野。2024 年，她创立了 Izzi Software——一家公司专注于收购并发展基于 IBM Z 和 IBM Power 平台构建的业务。

她的视角横跨传统大型机工程与现代软件领导，这使她成为当今围绕金融服务领域技术战略讨论中，少有的有力声音。

尽情享受访谈！

1. 随着金融科技加速迈向云原生一切，你曾表示大型机对全球银行业的稳定仍然至关重要。你认为今天大多数创新者对旧系统的角色有哪些误解？

他们首先就把大型机称为遗留系统（legacy system），认为既然它们是在 60 多年前推出的，所以某种程度上就已经过时了。这就像说 Windows 操作系统是遗留平台一样——不符合现实。如今的大型机比它们刚被发明时更具相关性。

每个人都想要以光速获取数据。他们希望在按下按钮后立刻就能拿到数据，不管这些数据存放在哪里。这一点当然合理，因为终端用户并不需要、也不应该必须知道他们的请求所涉及的复杂性，比如数据到底存放在哪里。但只有大型机才能在混合环境中为你提供所需的性能与安全性。

大型机可以在数据位于任意位置时摄取数据、分析数据，并把结果（附带建议）回传——无论是性能还是速度，都比其他任何平台更出色。告诉我还有哪个系统能从遍布全球的网络各处摄取数据、实时分析、识别异常，并将结果直接发回给调用方。

最懂自己数据的人赢，因为数据和现金一样珍贵。当创新者把大型机视作遗留系统时，他们等于否认了大型机的速度与能力，以及其在满足实时风险检测所需的速度条件下处理海量数据的能力。

人们认为云带来了颠覆性的改变，而大型机相比之下就显得过时了。云计算这个概念确实对很多人来说是现代且颠覆性的。但如果你熟悉大型机技术，你会发现它具备许多与云相同的特征。比如，当你登录大型机时，你登录的是 TSO，缩写自 “time sharing option”。你会有自己的 TSO session，或者 Microsoft Teams 的 “instance”。

你们都在使用同一个大型机上的处理器。但当你没有运行程序或批处理任务时，系统会把容量分配给确实需要它的人。你也在登录一个 LPAR，即 logical partition（逻辑分区），其中配备了专用存储、安全与隐私。同一个 LPAR 上的用户不能访问另一个 LPAR 的数据，除非被明确配置为可以访问。这就是云的核心：在你没有使用资源时进行共享，同时确保与你的实例专属的数据得到保护。而大型机多年来一直在使用这些概念。

2. 混合基础设施——把大型机与更新的云层结合——正在成为常态。基于你的经验，当组织试图过快或过于表面地推进现代化时，会引入哪些真正的风险因素？

在多个风险因素中，我可以归纳为两个。

第一个风险是数据消耗（data consumption）。大型机上的数据是全世界范围内最安全的数据之一。当你把它从大型机移走，或让其他人能够摄取这些数据时，就存在数据隐私与监管合规方面的风险。谁在查看？当数据离开大型机之后，它会被送往哪里？

第二个风险是为混合环境优化应用（optimizing applications to run in a hybrid environment）。为大型机优化的应用，迁移到另一台服务器后可能会以次优方式运行。延迟与性能问题会损害生产力。

3. 你曾就大型机专业技能缺口发出警报。当懂得操作并保障金融机构仍依赖的系统的人变少时，这种机构层面的风险有多严重？

风险非常严重。新的开发者——不仅是更年轻的开发者，也包括那些刚进入行业的人——会学习并成长其专业能力。但在下一代真正追上之前，金融机构在一段时间内仍会暴露在这样的风险之中：机构知识不如所需的那样深厚。

经验或知识较浅的人，可能会在不经意间做出引发数据风险或操作系统风险的事情。这些系统具备韧性，并有多层保护机制来抵御人为错误，但技能尚未达到需要的水平之前，仍存在相当的风险。银行如今正在直接与这个技能缺口作斗争。

4. 安全方面的讨论常常聚焦在工具上，但你指出人仍然站在第一线。你在管理大型机环境时，最常见地看到了哪些运行层面的盲点？

管理相关环境通常围绕“权限提升（elevated permissions）”展开。当软件工程师编写代码时，有时为了在操作系统上执行某些特定操作，他们需要提升权限，以便让程序能够做更敏感的事情。如果工程师在编写软件时没有正确理解开发者的最佳实践（best practices），他们就不会知道应该在何时进入、又在何时退出这种被授权的提升状态（elevated authorized state）。这种状态会带来更多风险，因此工程师不会待在其中足够久的时间，以完全理解为该系统开发时需要遵循的最佳实践。

在任何 IT 网络中，还有一些基本的安全最佳实践需要遵循。当你在某个角色上给予某人特殊授权时，你需要建立清晰的流程：确保当他们转换角色时撤销该授权，从而保证访问权限会被移除。多数时候这并不成问题——如果他们仍然是公司的员工，或并非恶意行为者。但如果让过多敏感数据继续对那些不再需要的人开放，就总会存在风险。

此外，大型机的系统级数据集允许用户对系统执行一些基础操作。你只希望特定用户拥有对这些功能的访问权限。比如，某些安全控制只能在操作系统的更深层级别进行切换。你可能会惊讶于有多少公司会把基本安全原则放任不管。工程师确实可以在不访问这些根级（root-level）资源的情况下完成工作，但由于在访问这些权限层级时更省事，公司却往往会把“后门”打开得比不应该的程度更多。

大多数员工都值得信任，但有些金融机构会把这些基本原则敞开并忘记去关闭。

5. 勒索软件攻击不仅针对终端，也针对核心基础设施。是什么让遗留系统在某些方面既具有独特的脆弱性——有时甚至比新平台更具韧性？

大型机内置了多层安全防护，而大多数服务器是缺少这些防护的。仅仅因为你能登录大型机，并不意味着你现在就能访问勒索软件通常会锁定的关键业务数据。然后你就必须知道数据在哪里，以及如何访问这些数据。而且数据可能被进行分段隔离（compartmented），这样入侵者只拥有数据的一部分访问权限，而并非能获取完成一次成功勒索软件攻击所需要的全部数据。如果你无法访问存储设备（storage device），你也就看不到该设备上的数据。

6. 以你的经验来看，对于负担不起“撕裂重建（rip and replace）”的金融机构而言，有效的现代化真正应该是什么样子，才能做到面向未来？

现代化在不同公司意味着不同的事情，因为它们所处的应用阶段不同。无论是 B2B 还是 B2C，公司都在持续推进现代化，不断升级服务器和笔记本电脑。

商业关键应用也是一样。企业可能会周期性更新这些应用，但由于传统的大型机应用往往是在更早的年代开发出来的，因此公司能做的最好的事情，是从端到端层面完整评估每个应用到底在做什么。这样他们就可以把现代化以可控的方式分成一块块来逐步推进。

公司可以把一个应用进行分段（compartmentalize），把它拆成多个部分，从而让不同的功能与特性可以在时间允许的范围内缓慢地升级与重写。如果你把现代化视为一个持续进行的过程，那么改进与迭代的冲动就会变成长期而持续的惯性。

领导者应该始终保持前瞻的心态。问题应该是：“我们现在能做什么？今年我们能控制并包住哪些风险？接下来两年我们能控制并包住哪些风险？”这样的做法比“我们如何把这整套东西全部重写”要更好。

你必须随着时间对系统进行迭代，并把它逐步构建出来。先重写一个商业关键应用的功能，然后再在此基础上逐步补齐其他功能。改变要一点点分阶段推进，而不是一次性大动作。

“撕裂重建”是一种选择。它听起来粗暴而残酷，但它真正意味着的只是停止使用某一套系统，改用另一套系统。然而领导层需要有承受一次性大变革的勇气，并且必须批准预算。事实是，这更像是“替换（replace）”，因为完成这一流程可能需要数年时间。

7. 对于从“云优先”思维出发的技术领导者，当与任务关键的大型机系统打交道时，你认为最重要的思维转变是什么？

先弄清楚大型机到底在做什么。希波克拉底誓言说“首先不伤害”，所以要了解大型机负责的事务，避免犯下有害的错误。当具备云优先思维的人理解了进入大型机的交易的全貌、这些交易的性质，以及公司收入有多大程度依赖这些交易之后，他们就会懂得如何避免损害公司在绩效与盈利能力方面的表现。

关于 Jennifer Nelson

Jennifer Nelson 的大部分职业生涯都在大型机领域发展，其中包括在 Rocket Software 工作 15 年，在 BMC 工作 5 年。2019 年，她转向在 Z 系统生态系统之外的全球科技公司担任高级工程岗位，从而拓宽了视野并提升了技能。2024 年初，Nelson 开始为未来将成形的 Izzi Software 打下基础——这是一家专注于收购并发展基于 IBM Z 和 IBM Power 平台构建的软件公司。