城商行异地灾备方案建议书

城商行异地灾备方案建议书目录1 项目概述41.1 项目背景41.2 规范要求41.3 建设现状61.4 紧迫性62 需求分析与建设目标72.1 不足和挑战72.2 灾备需求82.3 规划阶段113 设计方法与思路133.1 理论依据133.2 方法论143.3 技术路线164 技术方案174.1 系统设计174.2 总体架构184.3 异地灾备主机方案244.4 灾备网络方案265 异地灾备细则275.1 数据级灾备建设275.2 应用级灾备建设291 项目概述1.1 项目背景某行金融电子化工作经过多年的发展，信息技术已得到广泛的应用，主要业务系统如核心业务、现代化支付、中间业务及卡前置等都实现信息电子化，综合性多功能的金融信息化服务体系已初步形成。某行业务对信息化依赖程度越来越高，信息系统安全问题对业务的影响突出。数据集中的同时也意味着风险相对集中，在地震、火灾、水灾、疫情、计算机病毒、黑客攻击等灾难事件不断集中爆发，为确保某行信息系统安全和业务持续运行已成为一项重要而艰巨的任务。某行的业务经营体系不断发展，业务领域不断拓展，业务覆盖区域不断扩大。在这种情况下，某行目前的核心业务系统已经实现了数据的本地自动备份，未进行完整的灾难备份体系建设。一旦因为机房、建筑物损坏等较大规模的灾难引起数据丢失或者信息系统长时间宕机，将造成某行全省范围内的业务停顿，相关单位和个人无法从事有关金融业务，不仅造成严重不良的社会影响，更影响金融行业的稳定。某行信息系统灾难备份体系建设以及业务连续体系建设的重要开端，异地灾备系统工程建设的建设实施，为某行后续的业务连续体系建设打下坚实的基础。1.2 规范要求国家历来对加强信息安全保障工作高度重视，先后出台有关灾难备份的保障措施。其有关灾备规范要求要点文件： 2002年8月， 中国人民银行出台并下发了中国人民银行关于加强银行数据集中安全工作的指导意见(银发2002260号文件)。 2003年9月,中共中央办公厅、国务院办公厅下发了国家信息化领导小组关于加强信息安全保障工作的意见(中办发200327号)。 2004年1月9日，全国信息安全保障工作会议下发了关于做好国家重要信息系统容灾备份工作的通知。 国信办于2004年9月份下发了关于加强国家重要信息系统灾难备份工作的意见(信安通200411号)。 2006年4月，中国人民银行出台并下发了关于进一步加强银行业金融机构信息安全保障工作的指导意见(银发2006123号文件)。 2006年8月，银监会下发的银行业金融机构信息系统风险管理指引(银发200663号)文件中。 2007年11月1日，国家正式下发了信息安全技术信息系统灾难恢复规范(GB/T 20988-2007) 。 2008年2月，中国人民银行下发了中国人民银行关于发布银行业信息系统灾难恢复管理规范行业标准的通知(银发200848号 )。 2008年2月4日，JR/T0044-2008 银行业信息系统灾难恢复管理规范标准正式发布和实施。1.3 建设现状目前IT服务外包特别是灾难备份外包已成企业提高服务质量与管理效率，提高企业核心竞争力，降低IT投资压力，提高企业应变处置应急能力的普遍选择。原则上除政府内网和军事机构没有外包案例外，银行、保险、证券、制造企业、商业企业等进行相关灾备系统建设的案例。如国内银行案例：1.4 紧迫性某行在保持业务持续运行方面正面临压力因素：n 没有完善的业务信息系统建设规划。为适应高速发展的业务需要，系统建设过程中存在着“边集中、边生产、边规划”的矛盾。n 没有进行各部门的风险分析和业务影响分析；n 没有总行及分支行的业务连续性计划和业务恢复计划。n 没有建设完善的灾难备份体系，并制订其运营管理制度，关系着金融稳定的关键业务信息系统仅有单点、地点的低等级数据备份。n 业务依赖于信息电子化程度日益提高。建立安全可靠的灾难备体系，实现某行的信息系统运行保障场地、重要信息和处理系统的灾难备份，提高其信息系统的风险抵御能力，避免或减少灾难打击和重大事故造成损失程度，确保核心数据安全和业务经营的连续性，避免引起重要服务功能和渠道严重中断。2 需求分析与建设目标2.1 不足和挑战目前，某行已初步建立一个安全的生产系统架构和灾备体系架构，为建立相对完善的业务连续性体系及配合未来某行全国-分行开展，其建议：1. 网络安全性问题：q 当前某行在本地已初步建立一个数据备份中心，但备份中心没有与支行连接的线路，所有支行的上连线路均连接到生产中心，一旦生产中心的传输设备发生故障，将导致所有支行与总行的连接中断。q 各支行与总行连接的线路均采用网通的线路，没租用其他运营商的线路，一旦网通的局端网络出现问题，也将导致连接中断。q 生产中心只有一台路由器与ATM终端连接，无备份机制，一旦该路由器发生故障，将导致银行卡交易中断。2. 业务连续性问题：q 同城备份中心已经配置业务主机处理系统并建立应用级灾备，但是同城备份中心的主机并没有同支行和外联单位连接，所以一旦生产中心发生灾难，只保证数据不丢失，但业务无法恢复。q 同城灾备中心仅仅备份核心存储的数据，其他业务系统的数据没有备份，一旦生产中心发生灾难，这些业务系统的数据也将丢失。q 建立同城灾备中心，但没有建立有效、规范的业务连续性管理体系，无法保证灾难发生时业务的连续性。3. 灾难抵御能力问题：q 目前只建立同城灾备中心，没有异地灾备中心，因此无法抵御区域性灾难。q 尽管生产数据建立定期的本地磁带备份机制，但备份的介质没有做到异地存放，发生区域性灾难后，异地没有数据副本。2.2 灾备需求2.2.1 建设内容按照建立异地应用级灾备系统总体要求，其建设将涵盖以下内容：q 通过整体外包方式，在异地建立应用级灾备体系；q 建立生产数据的异地备份体系，保证异地的数据与生产中心的一致性；q 建立完善异地应用级灾备体系，保证异地灾备中心运行的独立性；q 开发完善的灾难恢复应急响应预案，建立有效的应急响应组织体系和流程，保证灾难发生时系统切换有序性；q 建立定期的应急切换演练机制，保证异地灾备中心的可用性；q 在原有同城应用级灾备体系的基础上，建立“生产+同城+异地”的灾备体系架构；q 建立异地灾备的运维管理体系，保证异地灾备中心系统可靠运行。2.2.2 职能定位1.异地灾备中心的灾难防范策略以下事件发生，需要切换到异地灾备中心 区域性的自然灾害，影响到呼市两个数据中心的正常运行； 区域性的人为灾难，例如：战争、区域性停电、区域性疫病等，影响到呼市两个数据中心的正常运行； 涉及生产中心的大规模改造或迁移事件；2.异地灾备中心与同城灾备中心的职能差异3.异地灾备中心的资源利用方式异地灾备中心启用的场景属于小概率事件，为保证这种小概率事件未发生时能充分异地灾备中心的资源，必考虑异地灾备中心的资源利用方式，从而做到对异地灾备中心资源的投资保护。 数据资源利用：通过异步数据复制手段保证了异地灾备中心与生产中心及同城灾备中心数据的一致性，因此在平时可将这些数据用于测试、开发及培训等； 处理能力利用：异地灾备中心的数据处理系统可测试机和开发机使用，运行数据仓库和数据挖掘应用系； 网络资源利用：异地灾备中心与各分行的广域网连接线路可承载一些非关键性业务即分支行的这非关键业务可以通过分支行与异地灾备中心的连接线路运行，避免这非关键业务占用生产中心与分支行的网络资源，使资源更多地用于生产业务。2.2.3 分析建议目前某行已建同城灾备中心，实现综合业务系统、现代化支付系统、中间业务前置、银行卡前置的同城数据级灾备。当生产中心发生灾难时，尽管这些业务系统的数据不会丢失，但业务系统不能在同城灾备中心运行，不能实现业务连续性。建立异地灾备中心的目的不仅在异地建立与生产中心和同城灾备中心相同的数据副本，而且保证当生产中心发生灾难时，其业务系统能在异地灾备中心运行，需及早建立异地灾应用级灾备系统。根据JR/T0044-2008 银行业信息系统灾难恢复管理规范中第一类信息系统恢复最低要求：同城灾难恢复RTO<4小时，RPO<15-30分钟；某公司初步建议某行核心系统异地灾难恢复指标要求，如下表：2.3 规划阶段2.3.1 总体目标为抵御生产中心灾难及区域性灾难的风险，需建立完善的异地灾备系统，异地灾备系统的建设不仅要保证生产数据的异地备份，需保证区域性灾难发生时业务连续性。利用第三方基础设施建设某行异地灾备中心，利用第三方运营团队提供日常运营服务，确保异地灾备系统稳定可靠运行。2.3.2 规划建议按照“统筹规划、分步实施”的原则，分阶段实施：第一阶段：建立核心业务、关键支付、关键渠道和关键管理系统的异地应用级灾备包括综合业务系统、现代化支付系统、中间业务前置系统和银行卡前置系统；实施内容如下： 建立某行异地灾备中心运营管理队伍； 核心主机、核心存储、核心网络设备到货、进场； 按照异地灾备系统方案，进行系统建设资源支持服务，包括网络通信线路的安装、坐席、应急通讯和机房场地、基础设施的准备等； 异地灾备系统安装、联调、测试等技术实施工作； 异地灾备系统演练与恢复预案开发。第二阶段：其他系统的异地应用级灾备除以上四个系统之外的其他系统；实施内容如下： 相关业务系统的IT设备到货、进场； 网络系统的扩容； 进行系统建设资源支持服务，包括网络通信线路升级、坐席扩充、应急通讯和机房场地、基础设施的完善等； 系统安装、联调、测试等技术实施工作； 灾难恢复预案和演练相关的修改和完善。第三阶段：建立全行业务连续性管理体系实施内容如下： 根据BCM方法论和某行业务连续运行的要求，定义、设计和开发某行BCP计划需求模型，确保所选择的方法论适合恢复需求和恢复目标的要求。 按照业务连续性开发的理论体系和方法论，开发符合某行业务特点，具有可操作性的BCP计划，支持关键业务功能在灾难环境下的持续运作。 业务连续运行计划研讨会和培训，建立某行关键业务部门的项目组，开展业务连续性项目培训，使每个项目成员掌握业务连续运行的重要性，掌握成功实施业务连续运行计划需要担当的角色和业务流程。本方案第一阶段灾备建设：建立核心业务-关键支付-关键渠道和关键管理系统的异地应用级灾备。3 设计方法与思路3.1 理论依据本系统设计需要参考的规范和标准，包括国外灾备系统和业务连续性管理规范，客户所属行业针对信息系统灾难恢复建设的相关规定和要求。3.2 方法论3.2.1 总体方法总体系统设计流程是“通过问卷了解需求、通过访谈确认需求、通过分析制定策略、通过策略细化方案”。3.2.2 需求分析系统需求分析是编制灾难备份系统技术方案的依据,也是建立业务连续性管理体系的基础。系统需求分析主要包括应用系统调研、IT系统调研、应用影响分析、系统差异性分析等方面，其中业务系统调研和业务影响分析的目的是为了确定灾备范围和灾备策略，IT系统调研和系统差异性分析的目的是为了制定灾备中心IT资源规划和确定灾备中心相关IT资源配置，系统分析方法如下：1. 系统调研问卷： 应用系统调研问卷包括应用系统的名称、功能介绍、交易量统计、交易情况、与其他应用系统的关联关系、数据流向等。 IT系统调研问卷包括应用系统运行的主机平台、数据库和中间件平台、数据