金融安全的“终极防线”

申请免费试用、咨询电话：400-8352-114

在金融行业尤其是银行业，不切灾备是不成文的行业惯例。

灾备系统建设技术复杂、周期长，且投资大，各金融机构的灾难备份中心在投入大量资金建设完成后，却很难发挥应有的作用，导致这种“有备无换”、“有备不换”的现象背后的原因到底在哪？

灾备是摆设？

银行业追求的是对数据的批量处理能力，证券业追求的是峰值处理能力，对处理的速度要求毫秒级，但不管是哪种技术要求方式，一旦出现系统性问题，影响都非常恶劣。

去年元旦，日本乐天的证券交易系统就曾发生过系统性故障。同样，日本新干线的调度系统在去年新年假期运输高峰期也瘫痪将近1天，导致逾13万人的行程受到延误。

在国内，近两年来曾发生多起银行系统故障性事件，在银行用户中产生了很不好的负面影响。2010年新年期间，又发生了一起同样的事件。民生银行因主机监控软件存在缺陷，导致业务交易阻塞，出现长达4小时的系统故障，期间全国范围内柜台业务、网上银行、电话银行各项业务均不能办理。

据内部人士透露，民生银行这起事故源于IT部门某应用系统数据库问题，一个应该在夜间处理的长任务，运行到银行开门也未结束，该系统正常时的CPU使用率就已经到达70%～80%，长任务从夜里一直跑到上午无法停止，把本来就不堪重负的业务系统拖慢到不能忍受，要重启相关系统，结果造成业务停止。

当前，我国金融、电信和政府行业是数据中心建设发展较快的行业，通过数据大集中，银行、电信等行业已经实现了业务的集中管理，能够在全国的范围内提供同等水平的业务服务，提高了客户的满意度。

然而，业务数据的集中存储与管理，同时也带来了风险集中的问题，这对系统稳定性提出了更高的要求：一旦总行数据中心灾难发生，受到影响的将是全国范围的全部分支机构和几乎所有业务，此时，业务连续性被提高到了一个新的高度。

如何做好大集中后的系统安全工作？怎样才能有效保护好银行视若生命的金融数据？灾难备份可以为“鸡蛋”提供另一个“篮子”数据集中和应用整合，改变了银行原有的多分区、多中心、数据分散存储和处理的方式。

虽然多数银行都建有自己的灾备中心，但是，一到关键时候，这些设置却如聋哑人脑袋上的耳朵，纯粹成为了一种摆设，而没有实质性的用途。

原因复杂

金融企业花费巨额的投资建设一个容灾系统，就是希望能在关键时刻能够用上。然而，在过去的几起银行系统故障发生时，却没有一家敢把系统切换到容灾系统。为什么这些声称要建立7×24小时服务体系的银行，宁可发生几个小时的事故，也不启用巨额投资的系统？

某银行的技术人员告诉记者，实际当银行IT系统出故障导致业务不能正常运营时，信息中心负责人多半会向银行主管行长请示是否启用容灾中心。可是，基本上来自上面的指示都还是决定在本地进行系统修复，尽管这样对恢复时间没有把握。

导致银行不敢启用灾备中心的原因，主要是由于设计问题和技术问题造成备份系统切换运行的风险极大，切换需要的时间远远超过两小时，甚至需要数天时间，不仅很难保证零数据丢失，甚至有造成数据全部损毁的风险。

《重要信息系统灾难恢复指南》起草人之一、GDS万国数据服务有限公司首席灾备专家汪琪从一个更高的高度总结了其中的种种复杂问题。在他看来，容灾组织建设不健全，日常数据审查不到位，监控和预警流程缺乏，没有容灾演习和测试等等，这些原因都使得银行不敢轻易切入灾备系统。其中，监控和预警机制的建立和完善尤为关键。

在灾难来临时，各个部门的人如果乱做一团，不知道该做什么，容灾系统难以起到应有的作用。监控工具是保障系统能持续改进的基石。光有监控而报警机制跟不上，不能及时把紧急情况下的信息传递给运维技术人员，监控也形同虚设。

预警流程可以分为七个主要步骤：风险上报、风险评估、风险决策、风险告知、风险警备、发起系统切换、预警总结。风险上报主要包括风险信息获知、收集、上报。IT部门根据上报资料做出全面评估，评估内容包括造成灾难的几率、影响程度、发展趋势等。领导组根据评估报告决定后续的处理，包括提前启动切换，进入风险警备状态，保持正常状态，继续关注风险。

金融机构应该建立全行的灾难备份与恢复组织，主要包括灾备领导小组、执行组以及各个恢复小组，而一套完善的预警流程可以保证让各责任工作组相互协调，按既定流程恢复业务运行。

分级灾备

随着数据中心的发展，它已经不单单是一个简单的服务器统一托管、维护的场所，而衍变成为了一个集大数据量运算，存储为一体的高性能计算机的集中地，怎样才能让容灾系统在关键时刻发挥作用？

到目前为止，设备的管理人员和设计师们面临的尴尬是，大多数数据中心都是多种技术环境混合在一起。拥有不同的关键性和针对不同业务重点的系统和程序，都安置在这些技术环境中，这一切都增加了系统切换时的风险系数。

Gartner副总裁兼首席研究专家表示：“单一的设计方法抬高了数据中心的建设和运营成本，而多层次设计方法因其选用最为合理、实用的设施规模而有效控制了投资成本和运营开销。”

据了解，国际数据中心标准组织确立了一套识别不同数据中心的基础设施设计拓扑结构的四层系统。第一层级的可用性最低，只有99.671%。第四层级的可用性最高，可以达到99.995%。例如，银行的自动取款机必须全天候运转，因此就需要一个第四层级的技术环境。相反，共用同一个设备的应用程序，如支票处理或资金转移，即使突然停工也不会造成很大影响。因此，这样的程序使用较低层级的冗余运行水平就可以。

多层级混合设计是由惠普提供的一项服务，该公司表示，实现多层级混合设计，意味一个数据中心可提供多个操作环境。通过这种方法，可以使数据中心包含多个性能不同的层级，以满足特定的技术和业务要求。

同时，基于不同级别技术环境进行分层备份，比如，对于低可用性的业务系统只需在内部备份，而对于高可用性的系统则实施异地备份，不仅可以大幅度节约资本和运行成本，而且能极大地提升企业数据中心灾备能力和抗风险能力。

多层级数据中心还有更好的适应性和扩展性，如果数据中心的较小区域里存在系统和设备停止运转的情况，可以减少业务中断的风险。

对于金融机构来说，更重要地是，如何在灾难发生时保证业务的持续性运作？在灾难发生时，建立风险防控责任体系、加强生产运行灾备建设、建设多层次安全灾备能让金融机构有条不紊地实施灾难恢复，实现快速、完整、全面的灾难恢复和业务连续管理，提升灾难恢复能力。另外，还有一个最有效的手段，就是必须加强灾难备份与恢复的培训，进行灾难恢复演练。只有从管理体制和技术体制上全面建设和完善灾备体系，才能最终构筑一道金融机构的终极防线。