银行灾备中心解决方案复习进程

兴业银行数据中心灾备体系建设、管理与思考作者：詹志辉来源：《中国金融电脑》 2016年第1期商业银行数据中心灾备体系建设与管理是复杂的持续性系统工程，建设周期长、实施难度大，不仅技术要求高，而且考验管理水平，涉及科技战略、IT 治理、运维管理等诸多内容。

在过去的十多年里，国内商业银行的灾备建设取得了丰硕的成果。

兴业银行也围绕有关监管要求与业务连续性目标，不断优化数据中心灾备体系架构，并基于ISO20000、ISO27001 等国际标准体系提升包括业务连续性管理在内的运维管理水平，为实现“百年兴业”的战略目标奠定坚实基础。

一、灾备体系建设历程兴业银行数据中心灾备体系建设总体经历了数据大集中、主备中心、两地三中心、多活中心等阶段。

第一个阶段是数据大集中阶段。

2000 年兴业银行实现了全行数据与业务处理的整合集中，降低了基础架构的复杂度，加强了生产中心的统一管理，但与此同时也在一定程度上带来了系统集中的风险。

由数据大集中引发的风险轻则降低银行的服务水平、阻碍业务的正常运营；重则导致大范围、长时间停业，使银行面临信用危机以及不良社会影响。

因此，在完成数据大集中后，兴业银行立即开始思考灾备中心建设，并最终选择上海作为异地灾备投产地点。

第二个阶段是主备中心阶段。

2002 年兴业银行开始进行核心业务系统灾备体系建设，2003 年8 月完成核心业务系统异地灾备系统在上海运行中心的上线运行。

与之相对应的网络架构也由以福州机房为核心的单点星型网络提升为以福州、上海机房两地为核心的双星型网络。

这一阶段上海运行中心作为异地灾备中心主要承担核心业务系统异地灾备环境的日常运维管理。

第三个阶段是两地三中心阶段。

由于单纯的异地灾备系统在主生产站点发生灾难时仍存在一定的数据丢失的可能性，2006 年兴业银行基于同城同步、远程异步的存储多跳容灾数据复制技术，实现了以福州中山机房为生产中心、元洪机房为同城灾备中心、上海江宁路机房为异地灾备中心的核心业务系统两地三中心灾备体系架构，确保在单一站点发生灾难的场景下实现数据零丢失。

银行系统灾备解决方案篇一：银行灾备方案云存储项目大数据平台解决方案1 / 43南京云创存储科技有限公司 20XX-08-21目录1 概述 ................................................ ................................................... ................................................... .. (3)建设背景 ................................................ ................................................... . (3)设计范围 ................................................ ................................................... . (3)总体设计原则 ................................................ ................................................... .. (3)2 云存储系统平台设计 ................................................ ................................................... .. (5)项目需求 ................................................ ................................................... . (6)设计思想 ................................................ ................................................... . (7)云存储系统方案 ................................................ ................................................... . (8)系统优势和特点 ................................................ ................................................... (8)3 系统架构 ................................................ ................................................... .. (11)系统基本组成 ................................................ ................................................... (11)系统功能描述 ................................................ ................................................... (12)4 系统安全性设计 ................................................ ................................................... .. (19)安全保障体系框架 ................................................ ................................................... . (19)云计算平台的多级信任保护 ................................................ ................................................... (21)基于多级信任保护的访问控制................................................. ................................................... .. 25云平台安全审计 ................................................ ................................................... .. (28)5 工作机制 ................................................ ................................................... .. (31)数据写入机制 ................................................ ................................................... (31)数据读出机制 ................................................ ................................................... (32)6 关键技术 ................................................ ................................................... .. (32)负载自动均衡技术 ................................................ ................................................... . (32)高速并发访问技术 ................................................ ................................................... . (33)高可靠性保证技术 ................................................ ................................................... . (33)高可用技术 ................................................ ................................................... . (34)低功耗存储技术 ................................................ ................................................... .. (34)分布式、分级、动态存储技术................................................. ................................................... .. 347 接口描述 ................................................ ................................................... .. (36)POSIX通用文件系统接口访问 ................................................ ................................................... .. 36应用程序API接口调用 ................................................ ................................................... .. (37)8 本地容错与诊断技术 ................................................ ................................................... (37)cStor高可靠性 ................................................ ................................................... (37)cStor数据完整性 ................................................ ................................................... .. (37)cStor快照技术 ................................................ ................................................... (38)9 异地容灾与恢复技术 ................................................ ................................................... (38)cStor数据备份与恢复系统功能 ................................................ ....................................................38cStor异地文件恢复 ................................................ ................................................... (39)cStor数据迁移归档 ................................................ ................................................... (39)2 / 43南京云创存储科技有限公司 20XX-08-211 概述建设背景随着银行数据集中处理的实施，银行业务运作、经营管理将越来越依赖于计算机网络系统的可靠运行。

银行业务连续性与灾难恢复管理实践某大型商业银行（以下简称F行）非常重视灾难恢复管理体系建设，将其作为全行信息化建设的重点工程。

在灾备体系建设过程中充分遵循《银行业信息系统灾难恢复管理规范》的相关规定，结合该行实际情况，规划、设计了完善的灾备体系框架，分设多个灾备项目，合理安排工作任务和工作次序，稳步推进灾备体系建设并取得了丰富成果，有效地提高了风险管控能力，提高了股东、客户和合作伙伴的信心。

1.成立备援测试中心，明确灾备管理工作定位灾备体系庞大而复杂，需要多个部门协同工作，是一项长期工程，因此，灾备体系建设工作宜由某个全职部门牵头开展。

为有效推进灾备体系建设工作，F 行于2008年成立了备援测试中心，下设灾备管理部，全面负责全行灾备体系建设规划和管理。

F行经过分析和研究，明确了灾备管理、应急管理、生产日常管理、信息技术连续性管理和业务连续性管理等概念之间的关系。

其中特别需要指出的是，灾备管理应对的是物理性灾难，对于逻辑性灾难，灾备管理无能为力，逻辑性灾难是应急管理的工作范畴。

2.规划灾备体系建设，明确工作思路F行根据全行信息系统架构及部署情况，全方位地规划了灾备体系建设工程，计划按照“3个层次、5个项目”的工作思路，全面建设灾备体系。

“3个层次”即总行、一级分行、二级分行等3层信息系统部署架构。

“5个项目”即总行数据中心异地灾备项目一期和二期、总行数据中心同城灾备项目、一级分行灾备项目和二级分行灾备项目，其中总行数据中心异地灾备项目一期和二期分别基于现有资源和正在建设当中的某数据中心的资源。

F行计划通过这些项目完成灾备体系初步建设，然后进入持续维护管理阶段，不断演练，不断完善灾备体系。

3.设计灾备体系框架，建设灾备体系《银行业信息系统灾难恢复管理规范》将灾难恢复预案定义为信息系统灾难恢复所需组织、流程、资源等预先制定的行动方案，用于指导相关人员在预定的灾难恢复目标内恢复信息系统支持的关键业务功能。

2024年银行自然灾害防洪防汛应急预案____年银行自然灾害防洪防汛应急预案第一章：灾害概述和背景1.1 灾害概述____年，全球气候变化导致的极端天气事件频发，各地银行面临着越来越多的自然灾害风险。

其中，洪水是一种常见的自然灾害，对银行的运营和资产安全带来了巨大的威胁。

因此，银行需要建立一套完善的防洪防汛应急预案，以减轻自然灾害对金融机构的影响。

1.2 预案背景银行是金融系统的重要组成部分，负责存储和管理大量资金和客户信息。

然而，银行机构普遍位于市中心或重要交通要道旁边，容易受到洪水的影响。

一旦发生洪灾，银行可能面临的风险包括：金融资产丢失、系统瘫痪、设备损坏、客户数据泄露等。

因此，建立一套完善的防洪防汛应急预案对于银行的可持续发展至关重要。

第二章：预案目标和原则2.1 预案目标本预案的目标是确保银行在洪水发生时能够快速、有序地应对，并最大限度地减少损失和对金融系统的影响。

具体目标包括：- 保障员工和客户的人身安全；- 保护金融资产和设备的完整性；- 尽快恢复业务运营和系统功能；- 保护客户隐私和数据安全。

2.2 预案原则本预案的制定遵循以下原则：- 安全第一：员工和客户的人身安全是最重要的。

- 效率优先：在保障安全的前提下，尽可能快速地恢复业务运营和系统功能。

- 防范为主：通过提前的防洪措施和预警系统，最大限度地降低洪水带来的损失。

- 综合应对：预案要涵盖各个环节和部门，实现协同应对和资源共享。

第三章：组织架构和应急响应体系3.1 预案组织架构为了实现灾情应对的快速和高效，建立一个科学合理的组织架构是必要的。

预案组织架构主要包括指挥部、应急小组和后勤保障组。

- 指挥部：由高层管理人员组成，负责决策和指导应急工作。

- 应急小组：由具备相关专业知识和技能的人员组成，负责具体的应急工作，包括灾情分析、救援行动、业务恢复等。

- 后勤保障组：负责提供应急物资和保障应急工作的物质条件。

3.2 应急响应体系应急响应体系是指在灾害发生时，按照一定的程序和步骤进行应对和处理的体系。

行灾备中心管理制度第一章总则第一条为加强对银行灾备中心的管理，保证灾备系统正常、安全、稳定地运行，根据《商业银行数据中心监管指引》、银行业重要信息系统突发事件应急管理规范(试行)》、《商业银行信息科技风险管理指引》、《信息安全技术信息系统灾难恢复规范》等有关法律、法规，制定本制度。

第二章内部管理岗位设置第二条作为日常灾备运营中心，灾备中心配备专职人员负责日常运行管理。

具体职责是：（一）系统管理员岗位职责：开展计算机系统平台建设、运维，监控运行情况，分析和解决运行问题；开展计算机系统平台性能分析和风险评估；发起和实施计算机系统平台变更；参与和配合灾备系统建设和上线、灾难恢复预案制定、灾难恢复演练。

（二）设备管理员岗位职责：组织灾备中心计算机硬件设备及其系统软件配置管理；实施灾备中心硬件设备（主机及外围设备、服务器）、网络交换设备等验收、安装、管理和日常维护；管理和维护灾备中心前台生产系统及第三方连接系统；参与和配合灾备系统建设和上线、灾难恢复演练。

（三）应用管理员岗位职责：制定并实施应用运行监控策略，通过对监控数据的合理分析明确风险临界点，通过预防性措施提高系统可靠性；负责应用系统安装、应用日常运维管理；处理应用系统日常运行事件，建立并充实事件处理知识库；参与和配合灾备系统建设和上线、灾难恢复预案制定、灾难恢复演练。

（四）网络管理员岗位职责：组织实施灾备中心网络建设；负责网络通信系统管理、运行和维护，编写网络管理文档，制定和实施运维计划，解决网络故障，设计和实施网络变更方案，完善知识库；开展网络运行监控，合理设置监控点和监控阈值，并采取预防措施控制风险；制定和实施网络安全策略，保障网络安全；参与和配合灾备系统建设和上线、灾难恢复预案制定、灾难恢复演练。

第三章灾备中心安全管理第三条银行灾备中心采用设备托管方式，日常运维管理由托管方提供服务。

托管方主要提供以下服务（一）提供每天24小时，一年365日全天候网管重启服务。

附件1：2019年度XX银行核心业务系统灾备演练总体方案一、演练时间： 2019年4月20日0:00至6:00二、演练场景：⏹本次演练模拟场景：XX银行合作服务中心的托管生产机房出现重大灾难事件，启用同城的外高桥灾备机房进行生产，演练完成后再回切至XX生产机房。

三、工作目标⏹检验本行核心业务系统灾难备份体系的可用性，验证灾难切换的及时性和有效性；⏹提升银行合作服务中心及XX银行相关员工的安全防范意识，提高灾难恢复团队的技术水平和熟练程度；⏹检验核心业务系统可在切换后进行正常恢复；⏹检验参与演练网点可成功恢复核心系统的业务操作；⏹检验灾难恢复的时间是否在约定的时间目标之内；⏹检验业务连续性计划中的切换规程和操作手册的有效性；⏹促使银行合作服务中心及XX银行的灾难恢复团队熟悉演练的过程以及业务连续性计划的内容；⏹检验XX银行核心业务系统在升级改造后灾备系统的可行性。

四、演练组织架构由兴业银行合作服务中心的运行维护处、应用质量服务团队、技术服务处、产品处、业务支持处、综合小组组成。

由XX银行行领导、办公室、……、信息科技部等部门领导及骨干组成演练领导小组、现场指挥小组及应急管理、公共关系、业务支持、演练实施、安防工作、后勤保障等六个专业小组。

组织架构如下图所示：（一）领导小组:负责本次演练工作的统一部署和安排，整体把握演练进度；负责突发事件的应急指挥、组织协调及过程控制；接受各专业小组的相关情况报告，并指导其工作。

组长：成员:（二）现场指挥小组:负责现场组织实施演练，整体把握演练实施进度，及时响应突发事件。

组长：副组长：成员：为确保演练准备工作以及演练切换工作的有序开展，设立六个专业小组，并根据分工负责各项具体工作。

1、应急管理小组：负责向银监会报备演练事宜；负责演练及业务验证阶段突发事件的具体应急处置工作；根据《兴业银行重大突发事件处置办法》对信息系统突发事件所产生的业务影响情况进行分析和评估；向领导小组报告突发事件应急处置进展情况和事态发展情况；根据监管部门有关突发事件应急管理制度的要求，向监管部门及其派驻机构报告突发事件的处置过程。

工商银行上海数据中心灾备系统运维实践一、“两地三中心”建设历程工商银行于1999 年开启了数据中心集约化建设的先河，在北京、上海分别建设两大数据中心后，于2002年1 月在国内同业率先启动了主机灾难备份工程。

经过多年的建设和持续投入，已经实现了高等级的核心系统灾备体系建设，完成了全行应用分等级灾备体系建设。

为进一步提升信息系统灾难恢复能力，工商银行启动了“两地三中心”工程建设。

根据规划，2014 年将在上海嘉定建立同城数据中心，与上海外高桥数据中心构成同城双中心，同城双中心整体与北京异地灾备中心组成异地灾备模式(如图1 所示)。

“两地三中心”模式可以满足不同灾难场景下的恢复要求，实现更灵活的风险应对。

在架构布局上，上海同城双中心具备基本相同的业务处理能力并通过高速链路进行实时数据同步，两个中心之间距离约55 千米，日常情况下可按主/ 备或双活模式运行。

在发生区域级灾难某个中心失效时，可在基本不丢失数据的情况下进行双中心间的应急切换，保持业务连续运行。

北京异地灾备中心用于同城双中心的灾难恢复，当出现因大范围自然灾害等原因导致同城双中心同时失效时，异地灾备中心可以用灾备系统接管全行核心业务。

二、“两地三中心”技术手段和实施策略工商银行通过技术攻关，完成了“两地三中心”模式下的信息系统业务连续性架构设计和方案研究，提出了可以提供多层级业务连续性保障水平的解决方案。

信息系统可以给银行业务应用提供A/A、A/Q 和A/S 等多种部署模式，最终以业务影响分析结果作为应用部署模式选型的决策依据。

在具体实施中，工商银行坚持“全面覆盖基本保障能力、重点针对关键核心应用部署高等级灾备保障技术”原则，做好资源分等级和差异化配置。

如ATM、POS、柜面业务、资本市场等核心业务系统是银行的关键应用，与其相关的应用系统就具有较高的业务连续性等级。

自2010 年工程启动以来，项目进展情况良好，完成方案规划设计和验证评审，在数据库复制技术全面推广、智能网管改造、55 千米磁盘同步镜像等关键技术领域取得了突破;完成了核心主机并行系统投产，即双园区模拟同城双活的试运行，目前主机并行系统主要运行可分离查询交易，分流了部分核心生产系统的负载压力;完成13 个开放平台应用服务器双活改造，预计今年将完成近50 个开放平台应用的双活改造。

XX市商业银行灾难备份系统切换演练总体方案XX市商业银行2016年 1月目录一、本次演练目的和原则 (1)1.演练目的 (1)2.演练要求 (1)二、演练时间及参演部门 (3)三、演练组织架构及名单 (4)四、演练方案 (7)1.演练内容 (7)2.演练总体安排 (7)3.本次演练涉及的主要服务器 (8)4.演练步骤 (8)五、演练风险控制 (10)六、演练后的总结及修订情况 (11)一、本次演练目的和原则1.演练目的为保障 XX 市商业银行信息系统安全、可靠、稳定运行，提高应对各类信息系统突发事件对能力，有效防范重要信息系统风险，根据中国银监会关于《银行业重要信息系统突发事件应急管理规范》对通知，结合我行自身情况，特制定本次灾备切换演练计划。

本次灾备切换演练主要目的：论证我行重要信息系统突发事件应急预案对可行性；验证核心系统切换到灾备中心后，灾备核心系统接管生产的可用性；验证灾备中心 DELL SharePlex 数据库同步的可用性；检验系统切换手册和文档的可用性，并在演练过程中发现信息系统应急管理体系存在的问题和不足，以便演练后进行改进和完善；验证网点接入灾备中心网络能力；使参演人员熟悉应急管理和灾难恢复 / 切换的流程；提高参演人员的应急处理能力和系统的风险防控能力。

2.演练要求1.切换演练实施前按照监管单位要求，向上级报备；2.切换演练中要做好回退方案，防范切换演练过程中对风险；3.演练后不影响生产系统数据和对外服务；4.演练后不影响全行生产环境其它各系统的正常运行；5.演练后不影响灾备中心数据复制的正常运行；6.演练后不影响灾备中心接管生产系统能力；7.演练后向上级单位汇报演练情况。

二、演练时间及参演部门演练时间： 2016 年 1 月 27 日 00:00 －27 日 1:30 。

演练地点：灾备中心、总行营业部、。

演练组织：信息科技部。

参演部门：风险管理部、审计部、结算管理部、综合管理部、人力资源部、零售业务部、总行营业部。

银行双活容灾建设方案技术手册——分析篇目录1、双活数据中心的驱动力 (3)2、定义符合自己的双活模式 (4)3、实现双活需要考虑的关键因素 (14)随着全球IT产业的飞速发展，金融行业的IT建设逐步成为主导金融企业业务发展的核心驱动力，基于金融行业IT系统建设的各种行业标准以及监管标准也相应提高。

IT系统架构的扩展性、灵活性以及容灾能力就成为衡量企业IT建设很重要的标准。

本手册以某银行同城双数据中心建设过程为背景，详细从系统架构集成、资源云化、存储整合以及数据容灾等多个关键方面阐述其规划思路以及建设过程，旨在为同业在此类项目规划和建设过程中提供一些启示和帮助。

1、双活数据中心的驱动力近年来，随着互联网金融的快速发展，金融企业数据中心建设面临着新的挑战。

那就是对RTO和RPO的极限追求。

从而也就诞生了近年来的热点话题——双活数据中心建设。

那么我们为什么要建设双活数据中心，它能给我们带来什么样的价值？什么样的数据中心架构叫做双活数据中心？如何认识适合自己业务模式的双活模式？建设阶段我们应该以什么样的原则来指导我们的建设工作？具体的建设思路以及具体的建设方案应该如何把握？基于这些问题，本文将进行深入研究并展开探讨。

从科技工作层面来讲，其实双活数据中心并不是一个行业标准或者规范。

行业的标准是对RTO和RPO约束，银监局和中国人民银行对商业银行业最严格的要求标准是5级容灾标准，RPO=15分钟，RTO=30分钟。

而根据国际标准share78，六级容灾标准是RPO=0，RTO=分钟级；七级容灾标准是RPO=0，RTO近似为0。

双活的概念也就由此而来，为了达到国际最高标准。

那么决策是否建设双活数据中心的依据也就在于此，首先确定自己企业合适的目标，是不是要必须追求7级标准？是不是所有业务都必须追求这个目标？如果不是，那么首先要对企业业务进行细分并详细规划每一个业务的容灾目标。

这将决定要不要建设双活数据中心以及建设什么样的双活数据中心。

（一）网络2、网络技术方案2.1建设背景随着社会的发展和科技的进步，金融行业越来越依赖于数据处理来进行业务运营，对IT系统的依赖性也随之增加。

然而，灾难就像灰尘一样伏击在企业周围，您的业务可能正在一个充满风险和威胁的世界里运行：无法预知的IT 硬件设备的损坏、断电、火灾、自然灾害、恐怖袭击等，造成数据丢失或业务的突然中断；系统人员误操作造成意外宕机或关键数据丢失，无法避免；手段频多的黑客攻击、病毒入侵、垃圾邮件、网络与系统的漏洞，造成网络瘫痪、系统崩溃。

如果不能对风险采取有效治理，一旦数据由于上述某种原因丢失，就有可能造成整个银行在运营上的重大不便和经济损失，银行的信誉也将受到影响。

如果核心数据丢失，严重时完全有可能造成整个银行的瘫痪。

由此可见，保证银行的业务连续运营及数据处理的高可靠性和高可用性，已经成为所有IT人员在建设IT基础架构中首先要考虑的问题。

与此同时，我们需要考虑建立和加强银行的业务恢复能力，缩短业务恢复的时间，以便在发生系统灾难后能够从容应对风险。

故此，银行对IT系统提出了以下要求：1）网络系统的高可用性，保证数据7X24 小时的连续访问；??2）将现有的网络技术集成，建设高效、可靠、可自恢复并且安全的骨干网络，为未来发展奠定良好的基础。

? 3）需要能够支撑对银行现有的数据以及各种应用系统进行集中化、自动化的基于策略的保护；??4）需要一套成熟度高，业内应用广泛的网络整体解决方案，一旦发生灾难(洪水、地震、火灾等)，或者人为灾难(用户失误、磁盘失效等)导致数据丢失或者业务中断时，能够快速、及时地恢复数据，保证业务的连续运行。

为进一步推进某银行信息化建设，以信息化推动某银行业务工作的改革与发展，需要在抚顺本地建设某银行的同城灾备中心，建设新一代绿色高效能数据中心网络。

同时主中心需进行适当的扩容以配合此次同城灾备的实施。

此次建设的重点是数据中心，数据中心（英文拼写Data Center，简写DC）是数据大集中而形成的集成IT应用环境，它是各种IT应用服务的提供中心，是数据计算、网络、存储的中心。

XXX市商业银行灾备切换演练总体方案XXX在2016年1月进行了灾难备份系统切换演练，以下是演练方案的详细内容。

一、本次演练目的和原则1.演练目的本次演练的目的是检验银行灾难备份系统的可靠性和有效性，确保在遭遇灾难时，银行系统能够快速恢复运行，保障客户资产安全。

2.演练要求演练要求参演部门必须全程参与，保证演练的真实性和有效性。

同时，演练过程中要注意安全和保密，确保不会对银行的正常运营造成影响。

二、演练时间及参演部门本次演练的时间为2016年1月，参演部门包括银行系统运维部门、信息技术部门、安全保障部门等。

三、演练组织架构及名单演练组织架构包括指挥部、技术支持组、演练评估组等。

具体名单如下：指挥部：总经理、副总经理、运维部门负责人、信息技术部门负责人、安全保障部门负责人。

技术支持组：系统管理员、数据库管理员、网络管理员等。

演练评估组：外部专家、内部评估人员等。

四、演练方案1.演练内容本次演练的内容包括：灾难备份系统的切换、数据恢复、系统测试等。

2.演练总体安排演练总体安排分为四个阶段：准备阶段、演练阶段、评估阶段、总结阶段。

在每个阶段，参演人员都需要按照指定的任务和时间节点完成相应的工作。

3.本次演练涉及的主要服务器本次演练涉及的主要服务器包括：核心业务系统服务器、数据库服务器、网络服务器等。

在演练过程中，要确保这些服务器的正常运行和数据安全。

本次演练由信息科技部组织，各部门和公司参演人员名单如下：1.信息科技部2.风险管理部3.审计部4.结算管理部5.综合管理部6.XXX7.零售业务部8.总行营业部XXXXXX四、演练步骤1.演练前准备1）制定演练计划和演练方案；2）组织召开演练前会议，明确演练目的、流程、职责和要求；3）准备演练所需设备和材料；4）演练前进行系统备份和数据同步。

2.演练过程1）演练开始，按照演练方案执行；2）模拟核心系统故障，启动应急预案，切换至灾备中心；3）验证灾备中心核心系统接管生产的可用性；4）验证灾备中心XXX SharePlex数据库同步的可用性；5）检验系统切换手册和文档的可用性；6）检验网点接入灾备中心网络能力。