该标准提供了金融数据中心容灾建设中组织保障、需求分析、体系规划、建设要求、运维管理5个方面的指引。
其中,在组织保障方面,金融机构应根据自身的发展战略、业务特点及信息系统运行平台特点,明确金融数据中心容灾组织机构的职能定位。组织机构可划分为决策层、管理层及执行层。
需求分析:分析生产系统风险、基础设施风险、业务影响等,确定容灾建设需求
金融机构应根据长期可持续发展的战略目标,对金融数据中心多方面进行综合分析,确定容灾建设需求。需求分析包括但不限于以下内容:
一是生产系统风险分析。识别生产系统的资产价值、潜在的威胁和脆弱性并进行等级评估,确立生产系统风险级别。根据不同的风险级别制定可行的风险管控措施,并分析实施风险管控措施后的残余风险,提出灾难备份系统建设的必要性。
二是基础设施风险分析。识别生产中心基础设施资产的威胁和脆弱性,按照脆弱性被威胁利用时对生产中心所造成的影响范围和影响程度划分风险级别,并针对不同级别的风险制定相应的风险管控措施,以及分析实施风险管控措施后的残余风险。基础设施风险分析的范围应至少涵盖生产中心可能面临的供电中断、地质灾害、气象灾害、交通和通信中断以及生产中心基础设施本身的缺陷和弱点。
三是业务影响分析。分析各业务系统中断后所造成的直接和间接影响,确立业务系统的灾难恢复指标。通过对各项业务功能之间的关联关系分析、业务系统和信息系统关联关系分析,确定支持各业务功能相应的信息系统资源及其他资源需求。
《指引》对此提出了相关方法:
在资产识别上,应对具有价值的信息或资源进行识别。资产是金融机构风险分析所要保护的对象,可分为有形资产和无形资产,主要包括基础设施、硬件、软件、数据、文档、服务、声誉等。金融机构应根据资产的重要程度对资产进行分类,确定重要资产的范围,并且应根据资产对业务正常运行的影响程度对资产进行标识,确定资产的等级。
在威胁识别上,应对资产构成潜在破坏的可能性因素进行识别。对威胁的分类方法主要包括:环境因素和人为因素、在控制能力之内和在控制能力之外、可先期预警和不可先期预警。
在脆弱性识别上,对可能被威胁利用的资产的弱点进行识别,脆弱性识别可依据国际或国家的安全标准,或者行业规范、应用流程的安全要求。对应用在不同环境中的相同弱点,其脆弱性严重程度是不同的。脆弱性识别所采用的方法主要有问卷调查、工具检测、人工核查、文档查阅、渗透性测试等。脆弱性识别主要从技术和管理2个方面进行,技术脆弱性涉及物理层、网络层、系统层、应用层等各个层面的安全问题;管理脆弱性可分为技术管理脆弱性和组织管理脆弱性,技术管理脆弱性与具体技术活动相关,组织管理脆弱性与管理环境相关。
在风险计算上,应采用适当的方法与工具,确定威胁利用脆弱性导致灾难发生的可能性,内容主要包括:根据威胁出现的频率及脆弱性状况,计算威胁利用脆弱性导致灾难发生的可能性;根据资产重要程度及脆弱性,计算灾难发生后的损失;根据计算出的灾难发生的可能性以及灾难的损失,计算风险值,并进行风险等级划分。
体系规划:依据成本风险平衡原则和业务需求,选择容灾体系
容灾体系分为同城容灾、异地容灾和极端容灾3个层次。金融机构可依据成本风险平衡原则选择建设满足业务需求的容灾体系,为不同业务连续性需求提供差异化容灾保障能力。容灾体系的选择策略主要包括:
一是满足条件“在遭遇城市小规模灾难时具备对外提供接续服务、恢复时间较短、数据丢失量接近零的能力;业务开展范围主要集中在单个城市”,宜选择同城容灾体系。
二是满足条件“在遭遇大规模区域性灾难时具备对外提供接续服务的能力;业务开展范围覆盖全国或较大区域范围”,宜选择异地容灾体系。
三是满足条件“在遭遇城市小规模灾难时具备对外提供接续服务、恢复时间较短、数据丢失量接近零的能力;在遭遇大规模区域性灾难时具备对外提供接续服务的能力;业务开展范围覆盖全国或较大区域范围”,宜同时选择同城容灾体系和异地容灾体系。
四是服务的中断或数据的丢失会对国家金融稳定、金融秩序产生严重影响,宜选择极端容灾体系。
五是同城容灾体系中,满足条件“分布式架构;业务恢复时间要求很高;有同时对外提供服务需求”,宜采用同城双活模式,通过数据复制、负载均衡等技术同时对外提供服务,保证更可靠的持续服务能力和更低的数据丢失率。
六是异地容灾体系或同时具有同城和异地的容灾体系中,满足条件“分布式架构;业务恢复时间要求较高;逻辑简单且一致性要求不高或可分模块独立处理业务;有同时对外提供服务需求”,宜采用异地多活模式,通过数据复制、负载均衡等技术同时对外提供服务,满足并发量高、业务逻辑简单、一致性要求不高的应用系统的高性能和高可靠性的服务需求。
建设要求:选址布局、场地基础环境、网络建设均需满足多项要求
容灾中心建设要求包括选址布局、场地基础环境、网络建设3部分。
其中,选址布局应符合JR/T 0265的要求,同时满足:
一是金融机构应根据成本风险平衡原则选择布局模式。
二是同城容灾中心与生产中心应在不同园区、动力应来自不同变电站,避免同一城市内的小范围停电、建筑物火灾、基础设施设备故障、通信线路设备故障、软硬件故障以及其他突发事件可能造成的局部交通封锁或中断等小范围灾难的同类风险,且直线距离宜大于10公里,同时还应符合JR/T 0071.2对应安全等级保护级别的相关安全要求。
三是异地容灾中心与生产中心不在同一江河流域、地震带、台风等自然灾害隐患区,避免大范围停电、地震、洪水、海啸、滑坡、泥石流、较大范围的公共卫生事件等较大规模的区域性灾难的同类风险,且直线距离宜大于300公里,同时还应符合JR/T 0071.2对应安全等级保护级别的相关安全要求。
四是在选择或建设容灾中心时,应对备选场址进行相关的场地风险评估,充分考虑场址周边环境、地质地理条件、市政配套条件、电力供应条件以及通信服务商所能提供的服务能力等诸多因素,全面判断是否符合容灾中心的建设要求。
场地基础环境的规划、设计、建设和验收,应符合JR/T 0265、GB/T 22239、JR/T 0071.2等相应的要求,同时满足:
一是容灾中心设计时宜与生产中心等级相同。
二是在容灾中心场地基础环境建设中,应组织成立建设管理团队,并根据国家政策制度和行业标准的相关要求选择具有项目对应工程能力证明和数据中心建设经验的相关单位完成建设。
三是应组织专家或第三方机构对容灾中心建设和验收的过程及重要节点给予专业监督,确保容灾中心的建设满足设计和运行要求。
四是在建设的各个阶段,应严格按照施工安全标准和项目管理标准组织实施,并且在实施过程中对质量、安全和进度进行持续的监控和审查,确保施工内容与设计目标的一致性。
五是容灾中心的场地基础环境建设应尽可能规避施工的风险,坚持成本风险平衡原则,最大限度地提高资源利用率,并综合考虑技术可行性、技术先进性、可扩展性、可管理性、可持续性,以及环保、节能和社会效益等多个方面。
六是柴油发电机、变配电设施、冷源设施等机电设施不宜布置在地下室的最底层,当布置在地下室的最底层时,应采取措施,防范洪水、管道泄漏、消防排水等水患风险,并应符合防火、防震等相关要求。
七是应进行综合分析和经济比较,有条件时与当地电力部门或其他机构签署含有优先供电的供电协议或灾难情况下的应急供电协议。
网络建设应符合JR/T 0265和JR/T 0071.2相应的要求,同时满足:
一是容灾中心网络应根据容灾中心需求和技术发展状况进行规划、设计和建设。
二是容灾中心与生产中心间互联网络宜提供充足的备份数据传输带宽,满足业务连续性要求高的业务数据备份峰值所需的带宽需求。
三是主备架构模式中,容灾中心的出口网络带宽应至少满足重要业务系统基本对外服务能力的带宽需求,宜满足重要业务系统全部对外服务能力的带宽需求;同城双活或异地多活模式中,容灾中心的出口网络带宽宜与生产中心相同。
四是容灾中心网络建设应考虑金融数据中心之间互联的时延需求。
五是容灾中心网络应处于就绪状态,宜处于运行状态。
六是容灾中心网络应至少支持自动或集中切换,宜支持实时无缝切换。
七是容灾中心网络宜支持生产中心和容灾中心的负载均衡。
最后,《指引》提出了运维管理方面的多项原则、工作内容等,并在附录部分展示了两地三中心和多地多中心架构实例。
来源:移动支付网