金融資料中心容災,你做對了嗎?

近日,中國人民銀行釋出《金融資料中心容災建設指引》(JR/T 0264—2024),並已正式實施。金融行業是關係到國計民生的基礎行業,金融資料中心的業務連續性必須得到切實有效的保障。

金融行業在業務連續性方面的表現如何?金融資料中心容災建設還存在哪些問題?又該如何依法合規保障金融資料中心的不間斷執行呢?
風險從未遠離
2024年10月2日,美國銀行(Bank of America)賬戶出現故障,導致有些儲戶無法登入網上銀行,有些儲戶的賬戶餘額顯示為零,還有些人雖然可以登入,但無法點選賬戶進行存款、取款等操作。
2024年9月12日,德國各地陸續出現銀行卡支付故障,原因是一家IT服務商及其相關供應商出現問題。
2024年7月,由於銀行基礎設施內的證書過期失效,英格蘭銀行一個關鍵的支付系統崩潰,導致CHAPS和零售結算系統中斷。
2023年,新加坡星展銀行曾多次出現服務中斷問題,包括當年3月數碼服務10個小時的故障,5月因登入流量太大導致服務中斷。
2022年11月,我國一家知名銀行在美國的全資子公司遭受勒索軟體攻擊,導致部分業務系統中斷。
技術故障、網路攻擊、運維風險、自然災害……可能造成銀行業務中斷的因素多種多樣,對銀行的運營和客戶的資金安全構成巨大威脅。
有章可循
近年來,中國人民銀行等相關監管機構釋出了一系列標準和指引,以規範和指導金融資料中心的容災建設。我國金融資料中心容災建設在政策和標準層面得到了高度重視和規範。
下面,我們按照時間線,對相關機構釋出的有關金融資料中心容災建設的規範、標準進行了梳理。
中國人民銀行主管的標準《雲計算技術金融應用規範 容災》(JR/T 0168-2018),適用於金融領域的雲服務提供者、雲服務使用者、雲服務合作者等,旨在規範雲計算技術在金融領域的容災應用。
中國人民銀行釋出的《銀行業資訊系統災難恢復管理規範》(JR/T 0044-2008),包括組織機構、災難恢復需求、災難恢復策略、災備系統、災備中心運維等方面的規定。
中國銀監會2010年釋出的《商業銀行資料中心監管指引》,對資料中心的風險管理和災難恢復管理提出了明確要求,如商業銀行應設立生產中心和災備中心等。
《雲計算技術金融應用規範 容災》(JR/T 0168-2020)規定了金融領域雲計算平臺的容災要求,包括雲計算平臺容災能力分級、災難恢復預案與演練、組織管理、監控管理、監督管理等內容,適用於金融領域的雲服務提供者、使用者、合作者等。
2020年9月9日開始施行的《銀行保險機構應對突發事件金融服務管理辦法》,由中國銀行保險監督管理委員會發布,旨在規範銀行保險機構應對突發事件的經營活動和金融服務,保護客戶的合法權利,維護銀行業保險業的安全穩健執行。此辦法涉及突發事件定義、銀行保險監督管理機構的職責、銀行保險機構的組織管理和制度等方面內容。
《金融科技發展規劃(2022-2025年)》由中國人民銀行印發,其中提到要積極採用多活冗餘技術構建高可靠、多層級容災體系,以滿足日常生產、同城災備、異地容災、極端條件能力保全等需求。
中國人民銀行釋出的金融行業標準《金融資料中心容災建設指引》(JR/T 0264—2024),涉及金融資料中心容災建設的多個方面,包括組織保障、需求分析、體系規劃、建設要求、運維管理等。

金融業在數字化轉型的過程中,不斷提高資訊安全風險治理與管控水平,但同時也不得不面對新的安全風險。

認清挑戰 全面規劃
為提升業務連續性,金融資料中心將面臨以下方面的挑戰:資金投入和專業人才方面的不足;技術架構演進方面的挑戰,傳統的兩地三中心架構正在向多活資料中心轉型;運維複雜性持續增加,向智慧運維轉型刻不容緩;資訊安全方面的風險,勒索軟體、駭客攻擊、員工不當操作等都是風險點;雖然機率小,但是對於自然災害以及意外事件的防範還是要注意,火災、電力事故等對於資料中心業務連續性來說是極大的威脅;雲計算、人工智慧等新技術的出現,在促進業務創新的同時,也帶來了新的風險,需要不斷探索有效的應對之策。
綜上,金融資料中心需要通盤考慮規劃、建設、運維和管理等各個階段的需求,從制度規範、技術架構、運維管理、人員配備與能力等全方位形成有效的業務連續性保護機制與體系,確保在發生意外和故障時,能夠及時恢復,將負面影響降到最低。
容災建設應與時俱進
《金融資料中心容災建設指引》強調,金融機構應對風險進行全面分析,包括生產系統風險分析、基礎設施風險分析、業務影響分析
《金融資料中心容災建設指引》將容災體系分為“同城容災、異地容災、極端容災”3個層次,分別針對不同的規模、業務需求和業務連續性需求的資料中心。比如,在遭遇城市小規模災難時具備對外提供接續服務、恢復時間較短、資料丟失量接近零的能力,並且業務開展範圍主要集中在單個城市的,宜選擇同城容災體系;在遭遇大規模區域性災難時具備對外提供接續服務的能力,並且業務開展範圍覆蓋全國或較大區域範圍的情況下,宜選擇異地容災體系;當服務的中斷或資料的丟失會對國家金融穩定、金融秩序產生嚴重影響的,宜選擇極端容災體系。
另外,《金融資料中心容災建設指引》還對資料中心選址、基礎設施尤其是網路建設等也提出了具體的要求。

無論哪個行業,也無論何種規模的資料中心,容災建設都是一項長期的、與時俱進的重要工作,需要根據不同發展階段的業務需求、技術演進、安全威脅和風險點的變化等,不斷調整、適應新的容災要求。從政府和相關監管部門的角度,也應根據市場的變化,及時出臺和修訂、完善相關的制度、標準和規範等。金融行業由於業務的特殊性,對業務連續性要求極高,因此在容災系統建設上往往走在各行業的前沿,其經驗和教訓,值得其他行業的使用者借鑑和參考。

關於金融資料中心容災,如果您有獨到見解、觀點,或者有實踐經驗願意分享,可與我們聯絡。加微信或在文章下留言均可。

相關文章