关于财务公司容灾体系建设的研究

武沛哲

【摘 要】财务公司有着自身行业的特殊性，探索出一条适合财务公司实际情况的容災体系发展道路是我们关注的重点。通过外包的方式，充分利用IDC的资源建立“两地、三中心”的灾备体系。关键岗位和操作由财务公司人员来承担，通过引入灾备相关服务商，弥补了财务公司自身信息科技能力的短板，信息科技人员专注于外包风险管理和常规技术问题处理上，有效提高工作效率。

【Abstract】Finance company has its own industry particularity， it is the focus of our attention to explore a development road of disaster recovery system suitable for the actual situation of financial company. Through the way of outsourcing， and making full use of IDC resources， a disaster recovery system of "Two Places and Three Centers"is established. In this system， the key positions and the operation are borne by the finance company staff， the introduction of service providers of disaster recovery made up for the short board of finance companies' information technology ability. It enables information technology personnel to focus on outsourcing risk management and conventional technical problems， to effectively improve the efficiency of work.

【关键词】财务公司；核心业务系统；容灾；风险管理

【Keywords】finance company； core business system； disaster recovery； risk management

【中图分类号】V244 【文献标志码】A 【文章编号】1673-1069（2018）02-0073-04

1 引言

随着运营商企业信息化进程的不断深化，管理信息系统已经成为支撑企业业务运行的重要平台，同时业务的发展也对管理信息系统的业务支撑能力和可靠运行的要求越来越高。随着IT系统大集中建设模式的广泛应用，也带来故障点集中的风险问题，如自然灾害、电网停电等不可控风险。因此，适时、合理的规划和开展容灾建设，成为确保信息化系统高可用的重要手段。

2 容灾体系建设的背景

容灾体系的建设是内部数据安全以及外部监管的双重需要，随着财务公司不断发展，业务日益扩大，对系统的依赖性也越来越强，为了防范地震、火灾、水灾等自然灾害、电力中断以及人为破坏而导致系统遭到严重损坏、失效的异常情况，将财务公司数据损失降至最低，必须建立容灾备份体系；此外监管机构（银监会、银监局）也一直在强调异地容灾的重要性，对于财务公司行业虽不是强制执行，但也是历次工作检查与工作评价的重点，而且监管机构对异地容灾工作的关注度也在逐年增长，由此可见异地容灾备份体系是财务公司信息化安全的重要组成部分，也是保障财务公司在突发灾难性事故时保持业务连续性的重要基石。

3 容灾领域发展现状

随着国内各行业信息系统的快速发展，特别是银行、证券、保险和政府等行业业务大集中速度的加快，也造成了风险的相对集中。一旦发生灾难，将导致分支机构、营业网点陷入瘫痪状态，或造成企业以及客户数据的丢失。

如何防范技术风险，确保数据安全和业务连续性，已成为企业急需面对的课题。国家相关部门借鉴国外的容灾备份理念，对加强信息安全保障工作十分重视，先后出台了多项有关信息安全保障措施。2005年4月，国信办下发了《信息系统灾难恢复指南》；2007年7月30日，《信息安全技术信息系统灾难恢复规范》发布，并于2007年11 月1日实施，成为国标。由此可见，信息系统安全和灾难备份受到国家、社会、企业的高度重视，容灾体系建设不仅仅是企业自身保持业务连续运作的需要，同时也是社会群体和政策法规的要求。国外备份行业的知名企业如 Veritas、CA、Falconstor（飞康）、Bakbone、Commvault很快占据了国内容灾备份市场的半壁江山，而传统IT服务公司也通过并购、技术吸收等方式进行业务扩张。如IBM的TSM（Tivoli Storage Manager）系列；HP的DP（Data Protector）系列；EMC收购Legato以后推出的Network系列；Oracle自身推出的DataGuard、GoldenGate。面对众多国外厂商的来势汹汹，火星仓、CDR等一大批国产软件在自主可控的国产化道路上披荆斩棘，终得市场一席之地。

随着财务公司行业的逐年发展，异地容灾越来越受到监管机构和财务公司的重视，财务公司协会每年也会针对各财务公司异地容灾做专项的调研，并有意在财务公司行业内部建立统一的容灾中心，但由于涉及公司较多，项目复杂度过大，一直未能成形。银监局工作人员驻场检查时多次提到数据场外存放并要求自行管理，所以财务公司成立自己的容灾备份中心已是大势所趋，相信不久的将来监管机构一定会补充完善关于财务公司容灾备份的相关规定。

目前大部分财务公司都采取的是本地备份的方式，并无异地或同城灾备中心，少数有灾备中心的财务公司也仅仅是做到了异地数据存放，极少数财务公司实现真正意义上的应用级灾备，做到“零感知切换”。endprint

4 容灾体系建设内容及主要技术实现方式

4.1 容灾体系建设内容

通常一提及容灾备份，企业大多只关注灾备系统，单纯地依靠信息系统的灾备来实现容灾，而一套完备的容灾备份体系不仅仅是一个灾备系统，它需要相应的软、硬件设施，配套的管理制度，完善的应急预案，熟练的人才队伍等等多方面要素，而且容灾体系不仅仅包括信息系统层面，更多的是业务部门，业务部门要考虑在系统遭受灾难性破坏后如何快速响应，如何保证业务的连续性，要探索出在信息系统无法运行时保证业务正常开展的工作方式，降低在极端情况下对系统的依赖性。通常的容灾体系包括如下内容：

4.1.1 同城或异地灾备中心

机房内需具备完整的网络系统，与主数据中心进行专线互联，保证备份数据传输，同时具备一条银行专线链路和互联网访问链路，具备独立承担核心业务系统运行的能力。

4.1.2 容灾备份及恢复系统

容灾备份及恢复系统在平时进行异地数据备份，在需要启用灾备系统时，提供数据恢复和应急应用等服务。该系统包括备份服务器、容灾备份恢复软件、存储设备、磁带库以及相关网络设备（交换机、路由器等）。

4.1.3 应急组织架构

2008年2月发布的JR/T0044-2008《银行业信息系统灾难恢复管理规范》对灾难恢复组织架构提出框架性要求，依据规范定义，财务公司系统灾难恢复组织架构建议分三层：

①决策层

决策层由财务公司最高管理层组成，负责在信息系统应急及灾难恢复过程中的重大决策和危机管理事宜。

②管理层

管理层由财务公司各部门负责人组成，负责在信息系统应急及灾难恢复过程中具体组织、沟通和协调工作，并监督各项工作的开展情况，及时向决策层汇报。

③执行层

执行层由财务公司各部门业务骨干组成，可分为技术恢复组、业务恢复组、后勤保障组，具体负责信息系统应急及灾难恢复各项任务的实施和落实。

建议公司对关键人员或业务骨干进行梳理，并建立重要工作岗位的人员备份的机制。

4.1.4 系统恢复/重建策略及流程

结合公司灾备系统的实际情況，灾备系统的应急策略可分为以下3种，本地紧急恢复、本地双机切换、异地切换。

①本地紧急恢复。本地紧急恢复适用于：应用系统软件发生逻辑处理错误，或人为误操作或破坏造成系统异常停机；其他使备用数据与生产数据均产生错误的情况。

②本地双机切换。本地双机切换适用于：由应用系统服务器及配套设备发生硬件故障而造成系统中断的事件。

③异地切换。异地切换适用于：区域性的自然灾害，影响到北京主数据中心的正常运行；区域性的人为灾难，例如：战争、区域性停电、区域性疫病等，影响到北京主数据中心的正常运行；涉及主数据中心的大规模改造或迁移事件。

信息化部门从技术层面保障各类资源（如灾备服务商、备用网络线路、设备）到位，各业务线条所属部门需要制定数据追补方案，以配合灾备的技术切换工作，形成完整的信息系统灾难恢复流程。

4.1.5 稳定的灾备运维团队

异地灾备中心需相应的维护人员，每日对系统进行巡检，对异地备份进行监控，定期对备份数据进行有效性测试，配合主数据中心进行容灾演练，在真正需要启用异地容灾中心时，及时相应并承担数据恢复和系统重建工作。

4.1.6 完整的规章制度

需对灾备中心整体制定相应的管理制度，如机房安全管理制度、人员岗位管理制度等等。

4.1.7 完备的容灾演练计划

需制定容灾演练计划，按照预计方案进行容灾演练。

4.2 主要技术实现方式

灾难数据备份的具体实现，主要是通过数据复制技术来实现重要信息的多份、多地保存，目前主流的数据复制技术包括数据库复制技术和存储复制技术。

①数据库复制技术

由数据库厂商或者第三方开发，基于数据库日志或者数据流实现复制的技术。Oracle DataGuard是典型代表。

②存储复制技术

以同步复制技术为基础，通过磁盘阵列实现数据同步复制，从而保证产中心阵列与容灾中心阵列的在线数据完全同步。其整体方案中也包含了同步快速恢复、快照等辅助技术，从而实现整个容灾体系的要求。

在同城的容灾方案中，基于磁盘阵列的同步复制方案，也是较为流行的一种。飞康CDP、Symantec的NetBackUp（Veritas）系列是该项技术的代表。

5 财务公司行业特点分析

5.1 需借助于银行进行清算

财务公司属于非银行金融机构，是企业的内部银行，但又不同于商业银行。由于无法加入人民银行的支付清算系统，财务公司的所有结算业务必须依托于银行，实体资金都是依靠各个开户行之间进行清算，财务公司的核心系统仅仅起到一个“账簿”的作用，只有在与银行互联的前提下，财务公司才能实现支付结算和资金归集业务。

在这种情况下，若想要灾备中心在接管生产中心后还能正常运营，则灾备中心也必须和开户银行进行互联，考虑到自然灾害的范围性特征，和财务公司灾备中心互联的最好

也是银行的灾备中心，这样才能保证发生地域性灾害后银行切换灾备中心，财务公司也切换至灾备中心，完全实现业务接管。目前大部分银行的灾备中心并不提供外部接入服务，而做到灾备中心与银行生产中心互联已是当前最可行的方案。

5.2 客户群体受限，资金规模有限

在《企业集团财务公司管理办法》中明确规定“财务公司为企业集团成员单位（以下简称成员单位）提供财务管理服务的非银行金融机构”。

按照上述规定，财务公司是企业集团的内部银行，吸收成员单位的对公存款，客户范围仅限定于集团内部，因此吸收存款的规模极其有限，系统的重要性以及对社会的影响性同商业银行相比还是有一定距离的。endprint

5.3 人才队伍紧缺

目前，财务公司规模都不大，多则百人左右，少则二三十人，而且大部分财务公司无独立的信息科技部门，基本都是挂靠在综合管理部的信息主管，有的甚至连专门的信息主管都没有，人员配置大多数在1-3人，他们除了负责财务公司的信息化规划建设外，还要承担系统日常运维、机房日常运维、固定资产管理等等工作，还有甚者需兼职行政、安防等岗位。日常的基础信息化运维工作已经忙得焦头烂额，还得疲于面对各种自查、总结、报告，上报各类统计数据，还要承担综合管理的部分职责，很难再有精力再去进行管理工作。

5.4 信息系统架构具备特殊性

财务公司对外提供服务，大致由三部分构成，外部接入网络，核心业务系统，银企互联网络。

①外部接入网络有专线和互联网，实现外部用户访问系统。

②核心业务系统负责处理各类业务。

③银企互联网络负责财务公司和银行交互，完成各种支付、查询指令，接入方式也分为专线和互联网。

灾备中心如果想和生产中心一样能够接管所有业务，就必须对上述三部分做灾备，而上述①，③部分的灾备线路使用费，即便在没有使用时也要计费，所以经济性较差，目前大部分财务公司所谓的应用级灾备只是对第二部分进行灾备，毕竟财务公司是要依靠银行来进行结算的，仅对核心业务系统进行灾备无法开展归集、支付业务，最理想的情况是财务公司的灾备系统能和银行的灾备系统进行对接，而实际中大部分银行的灾备系统不提供外部接入服务。

6 灾备中心建设方式的选择

灾备中心是整个容灾体系中最核心的一个环节，目前行业内比较推崇的是“两地三中心”的建设模式，“两地”指本地和异地，“三中心”指生产中心、同城灾备中心和异地灾备中心。

灾备中心在建设过程中有两种常见的建设方式，一种是自建灾备中心，另一种是外包式托管灾备中心。

6.1 自建灾备中心

自建灾备中心指企业拥有灾备中心的产权，灾备中心的能源、安防、空调、环境监控、软硬件设施和人员等等都是自行管理。该方式的优势在于灾备中心的所有资源都在自己掌控范围之内，大大降低外部入侵风险，特别是人员风险，而且在项目部署时有很大的自主性和灵活性，但是该建设方式投资较大，特别是两地三中心的模式下，需建立三个数据中心，涉及大量的工程建设工作，而且需要一支专业化较强的运维队伍来支撑整个灾备体系运转，各企业需根据自身实际情况量力而行。

6.2 外包式托管灾备中心

外包式托管灾备中心，指企业通过租赁的方式获得数据中心的长期使用权，对于数据中心基础设施的运维工作全部由产权所有者承担。目前，国内各大IDC服务商有着大量的数据中心资源，而且各數据中心之间均有专线相连，我们可以充分利用这些公共服务资源，来实现“两地三中心”的建设模式，这样不仅减少了数据中心的建设和维护成本，而且大大简化了实施难度和建设周期。

面对财务公司信息科技人员不足、技术力量薄弱的现实情况，采用外包式托管灾备中心的建设方式，是更加符合财务公司现实情况的一种选择。

7 外包方式下的信息科技风险管理

任何事物都需要辩证地去看待，通过外包托管的方式确实可以快速、便捷地实现我们的灾备需求，但这把双刃剑同时也带来了一系列风险隐患。

7.1 外包托管方式下面临的风险

在外包托管方式下我们的工作重点从技术层面转向外包风险管理层面，如下风险点需重点防范：

①科技能力丧失：过度依赖外部资源导致失去科技控制及创新能力，影响业务创新与发展；

②业务中断：支持业务运营的外包服务无法持续提供导致业务中断；

③信息泄露：包含客户信息、内部商业秘密在内的非公开数据被服务提供商非法获得或泄露；

④服务水平下降：由于外包服务质量问题或内外部协作效率低下，使得银行业金融机构信息科技服务水平下降。

7.2 外包方式下必须坚守的原则

我们在采用外包服务时必须坚守如下原则：以不妨碍核心能力建设、积极掌握关键技术为导向；保持外包风险、成本和效益的平衡；强调外包风险的事前控制，保持管控力度；根据外包管理及技术发展趋势，持续改进外包策略和措施。

7.3 符合财务公司实际的风险管理措施

银监会下发的《商业银行数据中心监管指引》、《商业银行信息科技风险管理指引》和《信息科技外包风险监管指引》中都提到了对外包行为进行风险管控，相关条款很全面也很细致，但是对于仅有一两名信息科技人员的财务公司而言，实际操作性不强，而且信息科技风险的监管也没有专门的人员，信息工作人员往往都是自己监管自己，说出来很可笑，但这确实是目前行业的现状。

在日常管理中我们可以采取一系列有效、可操作的措施：

①设置专职的信息科技风险管理岗位，独立于日常的信息科技工作，全面把控信息科技风险。

②在选择外包供应商时，需做好全面的尽职调查，从行业口碑、同行走访、对方企业现场考察等多方面综合研判，确保外包服务质量。

③按照“必须知道”和“最小授权”原则，严格控制外包服务商信息访问的权限，要求外包服务商不得对外泄露所接触的信息。

④严禁外包服务商登陆核心业务系统的生产环境，对生产环境的所有操作必须由财务公司在职的信息科技人员完成，同时要求外包服务商保留操作痕迹、记录完整的日志，相关内容和保存期限应满足事件分析、安全取证、独立审计和监督检查需要。

⑤ 要求外包服务商每年至少开展一次信息安全风险评估并提交评估报告。

⑥ 要求外包服务商聘请外部机构定期对其进行安全审计并提交审计报告，督促其及时整改发现的问题。

⑦禁止外包服务商转包并严格控制分包，保证外包服务水平。

⑧制定数据中心外包服务应急计划，制订供应商替换方案，以应对外包服务商破产、不可抗力或其他潜在问题导致服务中断或服务水平下降的情形，支持数据中心连续、可靠运行。

⑨ 在外包服务协议条款中明确商业银行和监管机构有权对协议范围内的服务活动进行监督检查，包括外包商的服务职能、责任、系统和设施等内容。

容灾[1]体系建设是一个系统的、长期的、阶段性的工作，根据不同的灾备级别，所需的投资不同，回报也不同，建设进度必须符合财务公司信息化发展的程度，一定要做到从实际出发，为实际服务，有实际效果。在建设过程中可大致分为三个阶段，第一阶段实现重要数据异地备份，必要时可临时租用相关设备及线路恢复应用，可在7天内实现数据恢复，数据丢失小于等于7天；第二阶段实现异地部署必要的主机、网络设备以及银行和互联网链路，在3天内恢复数据同时恢复应用，数据丢失小于等于3天；第三阶段实现生产系统、异地容灾系统同步，10分钟内恢复数据，实现数据极小丢失。

财务公司行业容灾体系建设一定要从自身情况出发，切记一哄而上、一步到位、重建设轻管理，到最后投入产出相距甚远。容灾体系需要与时俱进，不断完善，不可能一步到位，需要广大信息科技工作者在实际工作中逐步完善，追求卓越。

【参考文献】

【1】杨先连，刘乾忠.国土资源信息灾备中心建设的可行性探讨[J].山东国土资源，2013（02）：50-52.endprint