银联数据的业务连续性保障措施

4.4.3　银联数据的业务连续性保障措施

以银联数据发卡系统异地灾备项目为例。

1）业务连续性方针

银联数据异地灾备项目的目标是保证发卡系统的安全，在灾难情况下最大限度地保护公司和客户的资产，减少各方面的损失，保证发卡系统的业务连续性。

为满足发卡系统业务在各种情况下的灾备要求，从最大限度地保证系统的可用性、可靠性出发，灾备项目建设总体目标如下：

（1）针对目前系统潜在的中断风险（灾难），提供预防机制，消除灾难隐患，提高系统连续运行能力。

（2）对无法抗拒的严重灾难，提供系统恢复机制，将引发的业务损失降低到可接受的程度。

（3）保障发卡系统的数据安全。

（4）将异地中心接管业务的时间控制在可以接受的范围内。

（5）实现异地中心的软硬件设备和数据的复用。

（6）尽量减小对网络带宽使用的需求，节约运维成本。

根据以上总体目标，落实到发卡系统灾备建设的实际情况，各项总体指标如下：

（1）日常运行，保证发卡系统数据不丢失，上海、北京之间通过数据库异步数据复制技术保持一致。

（2）计划内停机，保证数据不丢失，业务可适当中断，即RPO=0，RTO尽可能小。

（3）计划外停机，保证数据丢失量在15分钟以内，业务中断控制在4小时以内，即RPO<15分钟，RTO<4小时。

（4）灾备项目实施后，对发卡系统应用性能影响不超过10%。

业务连续性对各系统的要求不同，发生灾难后各有关系统的恢复优先级也不同。发卡系统承担核心业务在线处理，在灾难发生后，要尽快保证恢复运行；银联前置关系到发卡系统所有银联跨行交易的转接，需一并考虑；文件传输系统和交易监控系统也是核心业务连续处理和运营监控所必须具备的，因此也需一并考虑。

2）业务连续性策略

业务连续性策略是保证能够在RTO要求的时间内将在生产中心运行的发卡业务处理转移到灾备中心进行。主要包括以下内容：

（1）生产中心负责每天的正常业务处理，灾备中心准备随时接管业务。

（2）生产中心作为主业务数据中心，具有更高的业务支撑能力，灾备中心作为备用数据中心，具备相对较低的业务支撑能力。两个中心系统的配置都应该能完全承担应用级灾备系统独立运行业务的压力。

（3）发卡系统通过基于数据库复制软件的实时复制方式，将数据从生产中心复制到灾备中心。

（4）当生产中心发生灾难事件时，由灾难恢复管理组进行灾难评估，如确认事件开始到系统恢复所需要的时间超过RTO的要求，则向灾难恢复领导组汇报提出决策建议，由灾难恢复领导组决定宣布灾难发生，并将发卡系统切换到灾备中心运行。

（5）一旦进行灾备系统切换，所有相关的IT设备和环境由灾难恢复管理组指派相应灾难恢复小组（网络恢复小组/系统恢复小组）进行验证；所有发卡系统数据将由数据恢复小组进行数据补全和账户冻结；所有指定的应用程序将由应用恢复小组进行验证，确保在发卡系统启动之前尽量发现并修复所有错误。当发生灾难事故的原生产中心修复或重建以后，将切换至灾备中心运行的发卡系统回切至原生产中心。

3）灾备架构

采用两地两中心模式和数据库异步复制技术，建立异地灾备系统。如上海浦东生产中心发卡系统数据库数据，通过数据库复制技术，实时异步复制到北京灾备中心，达到第一类5级灾难备份恢复标准（JR/T 0044—2008《银行业信息系统灾难恢复管理规范》），满足银监会对重要业务系统业务连续性监管要求（银监发［2011］104号商业银行业务连续性监管指引）。

其物理架构和逻辑架构分别如图4.2和图4.3所示。

   

图4.2　银联数据灾备系统物理架构图

图4.3　银联数据灾备系统逻辑架构图

4）灾难恢复组织及其职责

发卡系统灾难恢复组织在灾难恢复领导组指导下工作，按照其职能以及灾难恢复和日常管理的流程需求划分，分别建立灾难恢复管理组、银行协调组、网络恢复组、系统恢复组、应用恢复组、数据恢复组和后勤保障组等常设机构。其隶属关系如图4.4所示。

   

图4.4　银联数据灾难恢复组织架构图

灾难恢复组织机构分三个层次：灾难恢复领导组为灾难恢复的决策层；由灾难恢复管理组以及各恢复组组长构成灾难恢复管理层；灾难恢复执行层由各灾难恢复组构成。

（1）灾难恢复领导组。灾难恢复领导组的主要职责如下：

批准启动灾难切换。

批准启动回切计划。

（2）灾难恢复管理组。灾难恢复管理组的主要职责如下：

向公司总裁和灾难恢复领导组报告灾难发生情况。

领导灾难恢复各组组长，根据事先定义的危险级别，进行灾难评估。

向灾难恢复领导组报告灾难评估结果，并对灾难事件的处理提出决策建议。

负责现场指挥灾难恢复执行团队，并协调公司其他内外部资源进行灾难恢复工作。

向灾难恢复领导组报告灾难处理的进展和结果。

在公司授权下，对外界（媒体、客户等）发布重要信息。

灾难恢复管理组由以下几个执行小组具体执行相关职责。

（a）银行协调组。银行协调组的主要职责如下：

负责处理灾难恢复过程中与银行的联络，解答银行的疑问，听取银行的需求并反馈到相关的恢复小组。

配合应用恢复小组和数据恢复小组，与银行确认恢复后发卡系统的数据和功能的正确性。

系统在灾备中心恢复运行后，负责灾备系统客户银行的问题响应和处理。

协助对外发布灾难事件报告。

参加灾难恢复相关的培训、演练和改进。

（b）网络恢复组。网络恢复组设有组长、网络管理员等角色。

组长的主要职责如下：

参与灾难恢复管理组组长组织的灾难评估。

指挥本组成员完成灾难恢复中的网络切换等工作。

组织本组成员参加灾难恢复相关的培训、演练和改进。

组员的主要职责如下：（设主、备各一人）

负责通信线路、网络系统等相关的灾难恢复工作。

负责开发通信线路、网络系统等相关的灾难恢复技术流程。

参加灾难恢复相关的培训、演练和改进。

（c）系统恢复组。系统恢复组设有组长、系统管理员和数据库管理员等多个角色。

组长的主要职责如下：

参与灾难恢复管理组组长组织的灾难评估。

指挥本组成员完成灾难恢复中的系统、数据库切换等工作。

组织本组成员参加灾难恢复相关的培训、演练和改进。

组员的主要职责如下：（每个角色设主、备各一人）

负责发卡系统的主机、存储和数据库等相关的灾难恢复工作。

负责开发发卡系统的主机、存储和数据库等灾难恢复技术流程。

参加灾难恢复相关的培训、演练和改进。

（d）应用恢复组。应用恢复组设有组长、运行管理员、应用系统负责人等多个角色。

组长的主要职责如下：

参与灾难恢复管理组组长组织的灾难评估。

指挥本组成员完成灾难恢复中相关应用系统的恢复工作。

组织本组成员参加灾难恢复相关的培训、演练和改进。

组员的主要职责如下：（每个角色设主、备各一人）

负责应用环境的灾难恢复工作。

负责开发应用环境的灾难恢复技术流程。

参加灾难恢复相关的培训、演练和改进。

（e）数据恢复组。数据恢复组设有组长、组员等多个角色。

组长的主要职责如下：

参与灾难恢复管理组组长组织的灾难评估。

指挥本组成员完成灾难恢复中数据补全和账户冻结等工作。

组织本组成员参加灾难恢复相关的培训、演练和改进。

组员的主要职责如下：（设主、备各一人）

负责核对发卡系统数据库数据是否丢失以及丢失后的补账和账户冻结工作。

负责开发发卡系统数据补全和账户冻结方案。

参加灾难恢复相关的培训、演练和改进。

（f）后勤保障组。后勤保障组的主要职责如下：

协调各供应商的支持。

提供灾难恢复所需要的资源和后勤支持。

收集评估灾难破坏的证据，用于将来进行保险索赔。

参加灾难恢复相关的培训、演练和改进。

5）灾难恢复组织工作关系与信息发布机制

（1）灾难恢复组织工作关系。在灾难恢复执行层面，恢复工作由各个恢复组具体执行。在这种工作模式下，灾难恢复组的工作关系可总结为：在恢复组内，组长负责进行本组内的资源统一调配和支持；在恢复组之间，由各个组长进行跨系统、跨组的资源调配以及交接配合。

（2）灾难恢复组织信息发布机制。各恢复组长将本组的系统恢复状态及时汇报给灾难恢复管理组组长，经灾难恢复管理组组长汇总确认后，下发到银行协调组，由银行协调组统一对外部用户进行信息发布。