扫一扫
分享文章到微信
扫一扫
关注官方公众号
至顶头条
在本页阅读全文(共2页)
金融灾备建设滞后
今年2月4日,中国人民银行发布了《银行业信息系统灾难恢复管理规范》。但从我国银行业现状看,目前大多数已建有灾难备份系统的银行,尚未达到央行对灾难策略和管理的要求;大多数区域性银行和金融机构仍未建立灾难备份系统。此外,我国银行业抗灾和灾后恢复能力依然较差,难以应对各种自然和人为造成的灾难。据悉,一些银行和金融机构不愿在这方面投入资金,存在侥幸心理,这就为金融和金融服务外包埋下了隐患。
此前,媒体曾从中国银监会召开的相关会议获悉,自去年3月以来我国银行业发生的5起较大信息科技风险事件暴露的问题看,这些银行的IT技术和风险管理控制水平在国内都算得上一流,但仍出了问题,从而暴露出我国银行业信息系统的脆弱性。银监会有关人士认为,对此应引起高度关注和认真反思。
据记者了解,去年3月以来我国银行业发生的这5起较大信息科技风险事件分别为:去年3月21日,某银行因主机监控软件缺陷导致业务交易阻塞,系统瘫痪近4小时,所有营业网点无法正常开展业务;去年8月15日,某银行对计算机系统进行升级,由于没有避开业务高峰期,导致个人业务系统运行不畅,业务办理速度缓慢,部分代理证券业务受阻,在持续5个半小时后,系统才逐步恢复正常;去年10月18日,党的十七大召开期间,某银行股民保证金第三方存管系统出现故障,与券商的交易无法正常进行,事故持续了2小时,在证券交易收盘后才恢复正常;去年12月21日,某银行因运行中心核心网络设备故障,造成业务无法正常进行,虽然启动了应急预案,仍然中断营业近1小时;今年1月7日,元旦刚过,某银行就因主干线的入户接入设备发生故障,造成在京的117家支行所属网点柜台交易缓慢,业务无法正常进行,故障持续1个多小时后才得以解决。
有业内专家认为,就我国目前金融业灾备建设现状来看,大多数已建有灾备系统的银行未达到中国人民银行《关于进一步加强银行业金融机构信息安全保障工作的指导意见》和《银行业信息系统灾难恢复管理规范》两文件对灾难策略和管理的要求;大多数区域性银行金融机构尚未建立灾难备份系统;我国银行业抗灾、容灾及灾难恢复能力仍然较差,难于应对各种自然的或人为的灾难。
倡导外包服务模式
2005年4月,重庆市农村信用联社的数据中心直接面临大火的威胁,好在数辆消防车对位于大厦六层的数据中心进行了重点补救,最后在下面几层楼房几乎被烧毁的情况下,数据中心得以幸存。在数据中心幸免被毁之后,重庆市农村信用联社开始思考火灾引出的风险问题,这种思考直接导致了后来《重庆农村信用社信息系统风险管理方案》的制定与出台。
对于我国众多中小金融机构来说,建立灾难备份与恢复系统是十分必要的,但庞大的费用支出也在某种程度上让这些中小金融机构显得力不从心。据记者了解,建设灾备中心需要以下费用:机房建设费用、机房巨大的能耗和空调支出费用、庞大的IT运营维护团队的开支。在这种情况下,将灾备体系建设运营外包给独立的第三方,就成为许多中小金融机构较好的选择。
据介绍,在数据灾备中心的建设与运营方面,国外发达国家主要以第三方建设与运营的方式,提供社会化、市场化的服务,以集约经营模式降低运营成本。一项来自权威机构的调查表明:在欧美已经建立数据灾备中心的企业中,有高于70%的企业采用第三方服务模式。
此外,从社会发展的大趋势上来看,基础设施资源和专业技术人才的社会化共享,不仅是发达国家的普遍惯例和成功经验,也是我国在落实科学发展观、创建节约型社会的进程中,各级政府和行业主管部门积极倡导的现代服务产业模式。
在本次论坛上,IBM公司、中金数据系统有限公司等第三方灾备建设运营机构都介绍了他们在这方面的成功经验。据IBM业务连续和灾难恢复产品线大中华区经理赵庆介绍,目前IBM有遍布全世界55个国家和地区的154个灾备中心,具备支持多家、同时发生灾害的能力,有13万专业人员分布于全球164个国家或地区,为客户提供这方面的专业化服务。IBM灾备中心实际上本身是一个数据中心,数据中心拥有权是IBM的,客户把自己的服务器或业务系统托管给IBM的灾备中心,由IBM进行运行维护。目前IBM在北京、天津、上海和深圳建有灾备中心。
我国本土专业的灾备运营机构———中金数据系统有限公司则介绍了数据中心基础设施建设的重要性。据该公司副总裁陈天晴介绍,数据中心基础设施作为高度依赖信息系统的组织的运作基础,是风险管理的重点,必须高度重视数据中心基础设施建设。生产数据中心是业务运作之基础,必须保证其高可用性,确保业务持续运行。对于一个业务组织来说,灾备中心只是保证业务持续运作的“最后一道防线”,生产数据中心才是业务持续运作之本。必须优先考虑生产数据中心的建设,保证其高可用性,满足业务要求。从数据中心自身的等级而言,从国际上看,数据中心一般分为4级,第一是基本数据中心,第二是冗余设计数据中心,第三是可并行维护数据中心,第四是容错数据中心。
据记者了解,中金数据系统有限公司已经在北京、烟台,并将陆续在华东、华南和西部地区建设核心中心节点,并在重点城市建设二级节点,形成国内最大的专业数据中心服务网络。
陈天晴表示,借助社会化服务提供商来建设运营灾备和恢复业务,这对于中小金融机构来说是一种性价比较高的解决方案:通过外包,金融机构可获得更高等级的数据中心运行环境、更专业的技术支持、运营管理服务以及灾难恢复解决方案;可获得现成的数据中心基础设施和灾难恢复能力;可通过资源共享模式,节省投资,减轻财务压力,优化资产结构;可更关注自身核心业务的发展,提升核心竞争力。
确保业务连续运作
对于金融机构来说,有了灾难备份与恢复体系并不意味着万事大吉了。更重要的是,在灾难发生时,能确保业务连续运行。在本次论坛上,交银施罗德基金管理有限公司副总经理兼运营总监许珊燕,向大家介绍了基金行业“业务延续计划(BCP)”的相关内容。
如何在灾难发生时保证业务的持续性运作呢?概括地讲,就是基于DRP(灾难恢复计划:DisasterRecoveryPlanning,简称DRP)构筑企业的“业务持续计划(BusinessContinuityPlan,简称BCP)。其目的在于保证企业在灾难事件发生时,仍可以持续地开展业务。业务的连续性运作并不只是IT系统的恢复,还应综合考虑办公场地、办公设备、紧急流程、指挥架构、人员调度等多方面、各部门的因素。因此,BCP不仅包括DRP,还应包括“业务恢复计划”、“危机通信计划”、“事件响应计划”以及“场所紧急计划”等内容。
据了解,金融行业的BCP需要从灾难恢复的各个阶段,系统地阐述灾难恢复的整个流程,主要应该包括灾难预警阶段、灾难启动阶段、灾难恢复阶段、灾难解除阶段和回切生产中心阶段。
为全面落实BCP,金融机构应该建立全行的灾难备份与恢复组织,主要包括灾备领导小组、灾备领导小组办公室以及各个恢复小组。其中,灾备领导小组是银行灾难备份与恢复的决策机构,主要职责是制定灾难备份与恢复目标、处理灾难事件预警、决策灾难发生、组织协调全行资源进行灾难恢复等。灾备领导小组办公室主要负责灾难备份与恢复的日常管理工作,并在灾难发生后转化为银行的灾难恢复指挥中心,全面负责全行的灾难恢复组织工作,是银行灾难恢复的枢纽。各个恢复小组依据职责不同,可以分为信息系统恢复小组(负责信息系统的全面恢复)、业务恢复小组(负责组织业务应急处理及后续的查账、补账等工作)、行政恢复小组(负责灾难恢复的后勤保障,协调安排人员饮食、住宿、交通、通讯等工作)。
此外,为了确保灾难发生时,金融机构能够有条不紊地实施灾难恢复,保证业务的连续性运行,还必须加强灾难备份与恢复的培训,其中最有效的手段就是进行灾难恢复演练。据记者了解,深圳发展银行尽管之前已经花巨资建立了灾备体系,但它每年还会在灾备上投入上千万元,以进行灾备演练等工作。
如果您非常迫切的想了解IT领域最新产品与技术信息,那么订阅至顶网技术邮件将是您的最佳途径之一。