为什么大型机在银行数字时代仍然重要——与詹妮弗·尼尔森的访谈

Jennifer Nelson 是 izzi Software 的首席执行官。

发现顶级金融科技新闻与活动！

订阅 FinTech Weekly 的新闻通讯

JP Morgan、Coinbase、Blackrock、Klarna 等高管都在阅读

在一个痴迷于最新技术浪潮的行业里，人们很容易忘记：金融基础设施中有些最坚固的支柱已经屹立了数十年之久。尽管 金融科技 创新常常被包装成奔向未来的竞赛，但全球银行体系的“骨架”却悄然依然扎根于许多人错误地视为陈旧的系统：主机（mainframe）。

这不只是怀旧情绪或企业惰性的结果。主机仍在处理全球大部分金融交易，其可靠性与规模远超许多更新的平台。它们能够在不牺牲安全性的前提下，实时处理海量数据，使其成为一个同时依赖速度与信任的金融体系中不可或缺的部分。

然而，尽管它们扮演着至关重要的角色，主机却经常被误解。在当下“云优先（cloud-first）”成为默认口号的环境里，为更老的技术辩护似乎并不直观。但把主机称为“遗留系统”过于简单化了一个更复杂的事实。要弄清楚原因，我们需要审视“传统系统”与“向混合基础设施现代化转型”的之间的平衡。

谨慎推进的现代化：理由何在

金融机构正承受着持续不断的现代化压力。投资者、客户与监管机构期待无缝的数字化服务、强化的安全保障，以及越来越快的性能。对许多领导者而言，强力推动变革的诱惑很大——把旧系统抛弃掉，整体迁移到云端。

但现代化并不仅仅是技术层面的项目。它是一项战略性举措，若仓促推进会带来风险。那些在主机环境中安全运行了数十年的数据，一旦被转移到其他地方，就会立刻暴露在风险之中。为主机优化的应用在迁移后可能会“卡住”，导致代价高昂的延迟问题。这些风险绝非假设——它们威胁到日常运营、监管合规，甚至威胁到消费者信任。

经验教训很清晰：真正的现代化并不是为了“用新取代旧”而把旧的全部拆掉。而是要整合各自的优势、谨慎分阶段推进更新，并确保下一步不会破坏已有的有效运行。

技能缺口带来的真实后果

技术进化的速度要快于维护它所需的专业能力。在主机领域，这一点尤其明显。多年来，银行与金融机构依赖一批在 IBM Z 及相关平台上拥有深厚机构知识的工程师。随着不少专家退休，下一代工程师尚未完全接替其技能体系。

这带来一个严峻挑战。专业知识储备不足会增加代价高昂的错误风险，即便已经有保护措施。主机的韧性无法完全抵消“人的因素”。在新的工程师完成培训并获得指导之前，银行将面临脆弱性——这并非源于技术本身，而是源于懂得如何安全使用该技术的专业人士数量正在缩小。

安全仍然与“人”有关

当讨论网络安全时，人们往往把重点放在工具与防御上。但一次又一次地事实证明，真正的薄弱环节往往来自人的行为。在主机领域，这常常归结为权限如何被授予、如何被管理，以及如何被撤销。

那些没有充分理解“提升权限”影响的开发者，可能会无意间把门留开——并非出于恶意，而是因为培训不充分或出于便利。若公司在员工转换角色时没有及时更新访问权限，就可能不必要地暴露敏感数据。即便有了复杂的技术，安全卫生的基础仍然至关重要——但却经常被忽视。

介绍 Jennifer Nelson

为了把这些挑战与机遇放在具体语境中，我们联系了 izzi Software 的 CEO Jennifer Nelson。Nelson 的职业生涯围绕主机系统展开：她曾在 Rocket Software 工作 15 年，在 BMC 工作 5 年，然后通过 IBM Z 生态之外的高级工程岗位拓宽视野。2024 年，她创立了 izzi Software，这是一家致力于收购并发展基于 IBM Z 与 IBM Power 平台的业务的公司。

她的视角横跨传统主机工程与现代软件领导力，使她成为当下关于金融服务领域技术战略对话中少见的声音。

欢迎收看本次访谈！

1. 随着金融科技向“云原生一切”加速推进，你曾表示主机仍对全球银行体系的稳定至关重要。你认为如今多数创新者对旧系统的角色有哪些理解偏差？

他们首先搞错的，是把主机称为遗留系统；因为它们在 60 多年前推出，就仿佛因此注定过时。把这一点想象成：把 Windows 操作系统称为遗留平台。那根本不符合现实。与主机最初被发明出来时相比，今天的主机更具相关性。

每个人都想要数据以光速般的速度获取。他们希望自己一按下按钮，数据就立刻回到手里，无论该数据存放在哪里。这个诉求是合理的，因为最终消费者并不需要、也不应该必须了解他们请求背后的复杂性，例如数据究竟存在哪里。但只有主机才能在混合环境中为你提供所需的性能与安全性。

主机能够从数据所在的任何地方接入数据、进行分析，并把结果（包含建议）更快、更好地反馈给你——比任何其他平台都更出色。再给我找一个系统：它能从遍布全球的网络中接入数据、实时分析、识别异常，然后把结果直接发回给调用方。

最懂自己数据的人赢，因为数据的珍贵程度如同现金资本一样。当创新者把主机当作遗留系统时，他们实际上是在否认主机的速度与能力，以及在需要实时进行风险检测时处理海量数据的能力。

人们认为云是“颠覆性的”、现代的，而主机则相对“过时”。云计算在网络上的概念确实对许多人而言是现代且具有颠覆性的。但如果你熟悉主机技术，你就会发现它具有许多与云类似的特征。比如，当你登录主机时，你登录的是 TSO，也就是 “time sharing option”（时间共享选项）。你会拥有自己的 TSO 会话，或者说一个类似 Microsoft Teams 的“实例”。

你们都在使用主机上的同一套处理器。但当你没有运行程序或批处理作业时，容量会分配给真正需要它的人。你还会登录到 LPAR（逻辑分区），其中配备了专用存储、安全与隐私。不同 LPAR 上的用户无法访问其他 LPAR 的数据，除非经过专门配置。这就是云的核心：当你没有在使用资源时进行共享，并把与你的实例相关的数据进行安全隔离。只是主机早就多年来在使用这些概念了。

2. 混合基础设施——把主机与更新的云层结合——正在成为常态。根据你的经验，组织在试图过快或表面化地推进现代化时，真正会引入哪些风险因素？

在多个风险因素中，我可以把它归结为两个。

第一个风险是数据消耗（data consumption）。主机上的数据是全球范围内最安全的数据之一。当你把数据从主机中移走，或让他人可以摄取/处理这些数据时，就会存在数据隐私与监管合规风险。谁在查看这些数据？数据一旦离开主机，它会去哪里？

第二个风险是在混合环境中对应用进行优化。为主机优化的应用，可能最终在另一台服务器上以不理想的方式运行。延迟与性能问题可能会伤害生产力。

3. 你曾对主机专业知识的技能缺口发出警报。当越来越少的工程师知道如何运行并保障金融机构仍在依赖的系统时，这种制度性风险有多严重？

风险很严重。更新一代的开发者——不只是年轻人，也包括刚进入行业的人——会学习并成长他们的专业能力。但在下一代赶上之前，当机构知识并不像需要的那样深入时，金融机构在一段时间内仍会暴露于风险之中。

经验深度或知识深度不足的人，可能会无意间做出导致数据风险或操作系统风险的事情。这些系统具备韧性，并有多层保护来防范人为错误，但在技能达到应有水平之前，风险仍然相当可观。银行已经在今天与这一技能缺口作斗争。

4. 安全方面的讨论常常聚焦工具，但你指出“人”依然是第一线。你在管理主机环境时，最常看到哪些运营盲点出现？

管理相关环境通常围绕“提升权限”展开。当软件工程师编写代码时，有时需要在操作系统层面提升权限，才能让程序执行更敏感的操作。如果工程师在编写软件时误解了开发者的最佳实践，就不会知道何时进入、何时退出这种被授权的提升状态。因为这种状态本身带来更多风险，所以工程师也不会待在其中足够久，从而无法充分理解在该系统上开发时的最佳实践。

此外，在任何 IT 网络中都应遵循一些基本的安全最佳实践。当你在某个角色上给某个人授予特殊授权时，你需要建立清晰的流程：一旦对方更换角色，就要能够移除该授权，以确保访问被撤销。大多数情况下如果他们仍然是公司的员工，或者并非恶意行为者，就不会出现问题。但当敏感数据仍被过多地留给那些不再需要它的人时，风险就始终存在。

另外，主机系统级的数据集允许用户对系统执行基础操作。你只希望某些特定用户能够访问这些功能。例如，某些安全控制只能在操作系统更深层级中进行切换。你会惊讶于公司有多频繁地把基本安全原则置之不理、没有核查。工程师当然可以在不具备访问这些“根级”资源的情况下完成工作，但因为访问这些权限会更省事，所以公司更容易把后门留得不该留；这比它们应该的做得要多。

大多数员工都可以被信任，但一些金融机构仍然会把这些基础原则敞开，并且事后忘记去处理。

5. 恶意软件（勒索软件）攻击不仅瞄准终端，还瞄准核心基础设施。是什么让遗留系统在某些方面既特别容易受到攻击——又在某些情况下比更新的平台更具韧性？

主机内置了许多大多数服务器都缺乏的安全层。仅仅是你能登录主机，并不意味着你就能访问被恶意软件（勒索软件）通常会锁定的、关键的业务数据。你还必须知道数据在哪里，以及如何访问这些数据。并且数据可能被分区隔离：入侵者可能只能访问数据的一部分，而不是成功实施勒索软件攻击所需要的全部。如果你无法访问存储设备，就无法看到该设备上的数据。

6. 根据你的经验，对于负担不起“撕裂式替换”的金融机构来说，真正有效的现代化应该是什么样子，才能做到面向未来？

现代化在不同公司意味着不同的内容，因为它们所处的应用阶段不同。无论是 B2B 还是 B2C，公司都在持续实现现代化，升级服务器与笔记本。

针对关键业务应用也是如此。企业可能会定期更新这些应用，但由于传统主机应用是在更早的年代开发出来的，所以公司能做的最好方式，是从端到端层面完整评估每个应用的功能。这样他们才能把现代化分阶段、以可控的规模推进。

公司可以把一个应用进行分割，把不同的功能与特性拆开，让不同部分在资源可承受的情况下，随着时间慢慢升级与重写。如果把现代化当作一个持续过程，那么“改进与迭代”的冲动就会变成常态。

领导者始终应该具备主动的心态。需要问的问题是：“我们现在能做什么？”“今年能封装/控制哪些范围？”“未来两年能封装/控制哪些范围？”与其思考“我们要怎么把整个系统重写”，这种方法会更好。

你必须在时间中对系统进行迭代，并逐步把它们构建出来。先重写关键业务应用的一个功能模块，然后在此基础上逐步把其他功能补上。改动要一点点推进。

“撕裂替换”是一种选择。它听起来粗暴、也很残酷，但它真正意味着的只有一件事：停止使用一个系统，改用另一个系统。但领导层需要有能力承受“一次性大改”的压力，并且必须批准预算。事实是，它更像是“替换”，因为完成整个流程可能需要数年。

7. 对于从云优先理念出发的技术领导者，你会建议他们在与任务关键型主机系统打交道时，最重要的思维转变是什么？

先弄清楚主机到底在做什么。“希波克拉底誓言”说要“首先不伤害”，因此你需要先弄清楚主机负责哪些事务，才能避免造成有害的错误。等到采用云优先思维的人理解了流入主机的交易总量、这些交易的性质，以及公司收入有多大程度依赖这些交易之后，他们就会明白如何避免损害公司绩效与盈利能力。

关于 Jennifer Nelson

Jennifer Nelson 大部分职业生涯都在主机领域，包括在 Rocket Software 工作 15 年、在 BMC 工作 5 年。2019 年，她转入了 Z Systems 生态之外的全球科技公司的高级工程岗位，拓宽了视野并提升了技能。2024 年初，Nelson 开始为 izzi Software 打下基础——这是一家专注于收购和发展基于 IBM Z 与 IBM Power 平台软件业务的公司。