和讯科技消息 11月29日,2011中国移动支付产业年会在北京举行。在年会中,多位嘉宾作出了精彩的演讲。国家应用软件产品质量监督中心副主任周悦在演讲中表示,国产软件质量有待提高,标准和法律的缺失对移动支付有不利影响。
国家应用软件产品质量监督中心副主任周悦
以下为演讲实录:
大家好,很感谢我们中国通讯协会给我们这个机会来参加2011恩中国移动支付产业年会,今年的年会主题是汇聚产业力量,促移动支付启航。今天上午和下午的演讲,把我们协会层面的,银行,各大运营商,包括各大解决方案的厂商都在这边,把大家最新的一个想法,关于移动支付的最新想法做了一个讲解。
我这边,其实带过来的是一个思考,一个思考。因为我们是国家应用软件产品质量监督检验中心,其实我们是做第三方测试的,我们的关注点,就是关于整个移动支付的质量的保障。所以我们更关注的是共促移动支付的启航,希望我们今天带来的探讨,能够对移动支付的质量进行保驾护航。
今天探讨是三个,抓紧点时间,刚才王主任也说明,我尽量加快一点速度。包括我们如何进行良性的移动支付的生态环境,到底是什么样子。其实今天上午很多领导,还有很多专家都进行了讲解,我这边带过来的,生态系统的一个环境倒不一定是良性的,也有专家讲到这一点了,最主要的一点是如何保证这个环境良性的发展。
我们先说移动支付的生态系统。今天张司长已经说过了,关于我们移动银行这部分,还有包括我们移动运营商,我们各个商业机构,以及我们支付的平台运营商,组成了我们整个移动支付的生态系统。
我这边规划了一下,一个良性的移动支付系统应该是什么样子的。比如我们今天上午很多人都在讲,很多领导,很多的专家都在讲我们的移动支付的未来发展方向,它的一个理念。更快捷、更方便,我们拿出了很多的解决方案,只要想到的,我们一卡在手,基本上可以全球通行,随时随地进行支付。
对于我们现在的发展机遇,其实今天上午已经讲过了,我们十二五规划,接受了一些发展,我们市场的接受程度,都对我们移动支付提供了一个很好的发展。
所以,第三个技术实现的方式,各个专家都在这部分拿出了他们成熟的解决方案。包括今天我听到的银联的解决方案,基础的设施环境。还有移动的卡的技术。最终就是移动应用的领域。有很多人都在探讨这部分。
这是一个良性的,但是确实要说这个环境不一定都是良性的,也有可能有乌云飘过。其实我们的王立建主任也说了,标准到目前为止,没有一个国家标准和行业标准出来,标准确实就有可能对我们整个环境造成一定的影响。同样,就是法律。我们一些法律法规、数据的隐私、保护、服务的协议,都会对我们整个环境的发展带来一定的影响。对于我们这种用户,其实我是作为一个用户,我们的环境到底关注什么,安不安全,靠不靠谱,高效吗、能用吗、可靠吗,其实包括我们各种各样的统计数据,在移动支付领域的统计数据,大家都在关注。就是我们整个的环境要良性发展,我必须保证我整个移动支付系统的高效、可靠、高可用性等等。
我今天带来的一个思考,一个探讨,就是关于移动保障体系的一个思考。其实今天整个,我觉得整个一个探讨的主题,就是关于我们整个移动支付的生态环境,整个产业链如何快速的发展,大家都提出了自己的发展,各有各自的特色,我们作为第三方机构,我们带来的一个思考就是质量保障体系,如何来保障移动支付的质量。
主要的困惑就是说,你如何来验证和保障移动支付系统的安全可靠性。而你作为一个权威的机构,你的报告如何给你相应的用户带来相应的信息。基本上,我这边总结了四类,大家比较通用的,大家前面都报告了。第一个行业口碑。大家带来很多的解决方案,都来说我有很多成功案例,在中国的,在亚洲的,在美洲的等等一些成功案例,这是一个行业口碑,我来说明我的移动支付的现状。
第二类,厂商的承诺。厂商通过自行的检测,等等一些方式,我来说明它相应的质量是怎么样的,这个系统可不可靠。
第三类就是用户自测。我记得今天上午住建部,可能是一个大型的用户,用不起,他们就组织自己相应的一个检测。这是一个大型的用户,他们来做的用户自测的保障工作。
第四类就是第三方测试。由第三方测试,来说明整个系统的安全性和可靠性。
对于这四类来说,前三类,行业口碑,厂商的承诺和用户自测。基本上代表比较高。最后一类,第三方测试,大家都觉得第三方可能是比较公正的选择方式。
基于上面的思考,我介绍一下我们中心。我们其实一直没有做广告。简单地广告一下,我们有两块牌子,一个是北京中心,04年的时候,国家质检委授予我们一个国家的牌子。
我们基本上的业务分为三大块,第一块是软件测试和登记确认。可能大家也看了我们后面的展台,移动支付里面也包括人民银行授予我们关于移动支付第三方的检测。
第二个就是软件的质量保障方案,包括你的故障的一些定位,一些管理体系的咨询、测试方案和培训等等。
第三类是一些北京渲染平台。这个是怎么来的?北京市正在申请世界之都,整个国家都在宣传我们社会文化的建设,这是我们07年的时候,受刘淇书记的一个指示,我们建立了一个针对北京的一个文化创意产业的一个平台。
所以,我们主营业务是三大块。我们基本上做很多事,也不细说了,因为时间有限。包括06年的时候,国家质检总局的考察,科委的考核。第一,08年我们高分通过了国家A类中心的评审,这个包括国家的食品、汽车这些方面的质量,其实都在国家的A类中心。软件目前来说的国家中心,只有我们一家。而在四百个国家中心里面,我们08年,国家质检总局做了400家A类中心的评比,其中选出八家A级中心,其中我们就属于一个,北京有两家。09年的时候,我们组织了全国效能比对。2010年成为人民银行指定的移动支付的测试机构之一。
这里面是我们的一个探索,就是如何进行质量保障体系的一个建设。我们最成功的一个案例,就是来自于奥运。我们是04年的时候,向北京奥运会提供质量服务。到07年,竞标成为北京奥组委的测试项目的提供商。借用国际奥组委罗格的一句话,北京奥组委引入第三方测试,是对国际奥组委的一个宝贵的遗产。所以通过这个质量保障,其实我们经过四年,甚至五年的一个保障活动,我们创造了一个历史,就是说我们北京的奥运会是历届奥运会当中,首次信息系统的零故障,我们第三方测试里面,在里面起到一个作用,通过第三方测试的保障,对信息系统的质量保障是有一定作用的。
同时,我们还进行了一些北京的软件和国家一些相应的软件的测试,包括社保卡、医保卡等等的一些系统。我们还关注国产软件,包括我们所有的从02年开始,就对所有的国产软件的测试,这是一个例子,一个简单的介绍。
同时,我们的思考,还有一个,就是关于手机应用,我们做了很多的帮助软件企业来推广品牌、推广质量的活动,这是我们办了三届的手机应用的评选。
同时,我们还有一些关于国家机构软件产品的质量数据统计。其实很多记者,还有媒体朋友都会问到我,因为我们是国家中心,首先第一个愿意问到我的一个问题,你们作为一个国家中心,如何来评定一个好坏的好和坏。基本上我会这么去回答他,一个软件的好和坏,从国际标准来说,没有。没有任何一个国际标准告诉我怎么来评价好和坏,那么国家我也告诉你没有。国家也没有任何一个标准告诉我一个软件好和坏。我们中心做什么?我们中心04年开始,就在实行一套软件的企业标准,而这个不是告诉你软件好还是坏的,我们是来评价这个软件能不能用的,它的可用性,这是我们历年这套企业标准使用的可行性。就是根据这套标准,这个企业的标准来说,按照这套规范,历年的软件检测一次通过率。
一次通过率,基本上给我们来测试都是企业厂商,各个厂商认为这个软件已经能够交付给用户使用的,基本上厂商认为质量是可以的,拿给我们来测试。那么它的一次通过率,其实是从05年的10%,一直到2010年的28%这么一个概率的增长。所以,关于这个软件好不好,以及我们现在这个软件质量到底是什么样一个情况,其实通过这个数据,我们就可以看出来,我们虽然在十一五期间,我们软件的一个质量的增幅是有一个17%的增幅。但是从每年的增幅质量保障来说,是并不高的。
那么从这张数据上面我们得出一个结论。其实美国的一个质量安全的大师,就是戴尔说过的,软件的质量不是测出来的。同理也可以看出,软件系统的质量把控,并不是通过第三方系统,第三方机构,或者一个简单的检测工作,我们把质量保证出来的。
我们刚才前面那个PPT里面,我们提到了一个我们一直在做国产软件,我不知道大家还有没有印象。我们从02年开始就做国产软件的一个探索,我们做国产软件的检测工作,一直在测。我们不停地在做每个版本的测试。但是后来发现,质量并没有太大的一个提高,我们就要开始探索它的一个原因,为什么,质量不提升的原因。
后来我们发现,我们原则的基础软件,大部分来自于开源软件。所以我们从06年就把质量检测的思想改变了,我们开始针对开源软件的测试,而不仅仅针对国内软件的一个测试。这是在开源社区,对它的产品质量的测试,反响非常大。通过这个活动之后,我们得出一个结论,如果进行质量保障,质量的问题是一定要抓住根本的。因为从06年我们放弃国产软件,对开源软件进行测试,之后我们的国产软件质量开始提升了。已经有陆陆续续的人在不同的场合和领导推广国产软件,要求使用国产软件。
第三个,我们问题根源,质量问题要从根本。我们说一下,我们通过十年的质量保证,中国的软件企业,中国的质量,它的一个根本,应该从什么地方入手,我们的第三个探索,就是回答我们前面那个问题,质量应该从哪儿来,我说质量来自好的管理,这是我们近两年的成果里面看到的。就是我们和中国体彩合作的,最开始介入并没有往这个方向发展,最开始是作为一个过程测试。因为我们有一个企业标准,所以他们来问我,关于体彩的,你的一个产品出来之后,它的BASELINE在什么地方,什么时候能够做基础测试,又有一个问题,这个出来了,运行不下去,我们再对产品,对开发,对它的测试部门的流程进行规范、整合、设计、技术提升,这是从技术方案进行管理方案,我们经过两年半的时间,最终帮他们做了一个质量管理体系。
结果是什么样呢?我们在两年半之前,体彩一天开一次开票,这种情况下,一年要宕机好多次。而每一次宕机的损失上百万。但是两年半以后,这个体系建立起来了,我们并不能说通过两年半没有宕机了,这个我不能保证,但是宕机次数屈指可数,一年的次数。
同样,还有一个成果,它不是一年开一次,它的整个技术提升到10分钟开一次彩票,在这么高的运维情况下,就算宕机了,它可以在很短的时间恢复。损失可能从百万降为十万,等等等等。还有石油方面的问题。我们质量方面的保障,其实来自于好的管理。
下面这个就不说了,因为这个是论证了。因为我们还研究了一些国外的检测机构是如何进行相应的附录,发现印证了我们的一些质量,他们做了很多的认证之后,还做了质量的咨询。因为我们不停参加一些国际上的世界质量大会,他们都在谈一些这种的问题。
同样,我们要进行第三方的质量的现状。因为目前为止,没有任何的数据,所以只能拿我自己测试的机构。虽然拿到了牌照,牌照代表你能入门了,并不代表其他的方向,只是一个安全标准的符合性的测试。非金融电子支付分五大块,就是文档、性能、风控、功能、安全。其实大部分问题都在安全性,印证我前面第三张PPT,安不安全。大部分问题都在这儿。
还有一个,安全都分布在什么地方?这是另外一张分布图。50%的问题在主机和应用上。
同样的,我也跟很多国内的支付机构,一些厂商进行探讨的时候,他们质量都再说什么?他们也在说这个,跟国外说的一模一样,但是他们有很多问题。其中这个问题总结一下,国外的质量拿过来,照搬过来,都有一个问题,就是水土不服的问题。那么得出一个结论就是,中国的质量体系还是要适应中国的国情。中国的一个文化的情况,中国的一个特色的情况,对质量来讲,其实也是息息相关的。
所以,我们这边提出来一套,整个的质量管理体系的一个概念。现在很多,包括我在翻的时候,我们很多厂商,不论是国内的、国外的,还是我们现在的银行、运营商,其实都面临这样的问题。大家在宣传的时候都在说,我依据ISO的,我依据的是什么什么标准,比如说国内是安全的,国外是什么样的。我依据SMM等等,都是依据相应的标准来看它的质量。但是我们细致交流的时候,运维有运维的,安全有安全的,质量开发有质量开发的,质量有质量的,现在再加上一个绩效,我全部一股脑加上一个中心上,可能运维是由运维部门来做的,安全是由安全部门来做的。它们独立运行可能没有问题。但是整合到一个中心,这个体系可能就出了问题。所以我们看这个体系,我们能帮大家做的是这套体系的一个融合。它的融合点在什么地方。
第二个就是说,我们的银行,移动,包括其他的非金融电子厂商,他们的组织机构什么的都是不一样的。我们要吃透这些标准,对你的质量进行把控。
第三个就是体系。你的体系,你的质量能不能起到一个关键作用,对你的企业能不能起到保驾护航的作用,就是能不能度量的问题。
另外一个,这边跟大家探讨的。就是如何帮助大家,质量体系是很漫长的一件事,我们用了两年半的时间,帮助体彩,才把这套质量体系建立起来。对于大家来说,用快速的方法提到我某一个产品的质量,其实就是缺陷的预防技术。不管你是第三方的,行业的自测,还是其他方面的,每一次自测的时候,将缺陷进行划分分类,成为一个缺陷库。就像我刚才这张图,我不同的,你所有安全的一个细分,尤其在非金融机构里面,你的安全问题,关注点在什么地方,哪些是你常犯的点,你的内容分布,来解决你近期,尤其是你自己企业来说,它的技术的提升。
最后就是我们的一个质量服务。因为最后一点时间,今年主要年底了,也不停参加各种年会,发现一个比较有趣的问题,就是关于我们移动相关的年会。基本上,上台讲的,关于解决方案的,关于产品的前沿技术研究,都是男士。今天翻了一下,大部分演讲也是男士为主,除了我们易观的张小姐跟我一样,是一个女士之外。大部分的厂商都是一些男士。其实也比较符合一些特性在里面的。男性习惯一些创新工作,开发研发新的东西。那么女士,其实我们中心大部分是以女士为主,女士可能比较细心一点,更能坐得住,来做一些质量研究,一些质量的把关和一些相应的检测工作。所以说,我们中心BSTQC,是我们中心的缩写。其实STQC就是现在比较流行的,关于项目的一个范围,质量成本、时间等等。我们希望通过这个年会,虽然男士在前面冲锋陷阵,在不停地将我们移动支付进行拓展和创新。同样也有我们这样的机构,我们这样的女士,来在后方进行质量的一个保驾护航的工作。
时间有限,就这么多,谢谢大家!