《金融數(shù)據中心容災建設指引》發(fā)布稿

1金融數(shù)據中心容災建設指引本文件提供了金融數(shù)據中心容災建設中組織保障、需求分析、體系規(guī)劃、建設要求、運維管理方面的指引。本文件適用于金融數(shù)據中心容災的建設和管理。2規(guī)范性引用文件下列文件中的內容通過文中的規(guī)范性引用而構成本文件必不可少的條款，其中，注日期的引用文件，僅該日期對應的版本適用于本文件；不注日期的引用文件，其最新版本(包括所有的修改單)適用于本GB/T20984信息安全技術信息安全鳳險評估方法GB/T20988信息安全技術信息系統(tǒng)災難恢復規(guī)范GB/T22239信息安全技術網絡安全等級保護基本要求GB/T51314數(shù)據中心基礎設施運行維護標準JR/T0071.2金融行業(yè)網絡安全等級保護實施指引第2部分：基本要求JR/T0265金融數(shù)據中心能力建設指引3術語和定義下列術語和定義適用于本文件。數(shù)據中心datacenter由計算機場地(機房)、機房基礎設施，信息系統(tǒng)硬件(物理和虛擬資源)、信息系統(tǒng)軟件、信息資源(數(shù)據)和人員以及相應的規(guī)章制度組成的組織。金融數(shù)據中心financialdatacenter支持金融服務的數(shù)據中心。導致功能停頓或服務水平達到不可接受的程度，并持續(xù)特定時間的突發(fā)性事件2災難發(fā)生時，保證數(shù)據盡可能少丟失，系統(tǒng)不間斷運行或盡快恢復正常運行的能力。為將數(shù)據中心從災難造成的故障狀態(tài)或癱瘓狀態(tài)恢復到可正常運行狀態(tài)，并將業(yè)務功能從災難造成的非正常狀態(tài)恢復到可接受狀態(tài)而設計的活動或流程。為了災難恢復而對數(shù)據、數(shù)據處理系統(tǒng)、網絡系統(tǒng)、基礎設施、專業(yè)技術支持能力和運行管理能力進行備份的過程。為應對突發(fā)事件，最大化減少突發(fā)事件對業(yè)務運行的影響而采取的緊急行動支撐生產系統(tǒng)運行，對系統(tǒng)信息進行集中管理和處理的數(shù)據中心。支撐災難備份系統(tǒng)運行，抵御導致生產中心部分或全部不可用的災難，用以接替生產中心部分或全部職能的數(shù)據中心?？赡軐е聦ο到y(tǒng)或組織危害的不希望事故潛在起因可能被威脅所利用的資產或若干資產的薄弱環(huán)節(jié)。34.1容災建設工作內容金融數(shù)據中心容災建設主要包括以下內容。b)容災中心需求分析。c)容災體系規(guī)劃。d)容災中心建設。e)容災中心運維管理。4.2容災建設基本原則應保證容災中心安全、可靠，業(yè)務持續(xù)穩(wěn)定運行4.2.2協(xié)同性應與生產中心整體規(guī)劃、統(tǒng)一部署和管理。4.2.3經濟性應根據成本風險平衡原則，在滿足容災需求的基礎上，降低容災中心建設、運營成本，建設經濟適用的容災中心。宜選用先進且成熟的產品和技術，保證容災中心穩(wěn)定高效運行，滿足和適應信息系統(tǒng)快速變化和發(fā)展的要求。在規(guī)劃與制定策略時應具備按需擴展的能力，方便進行技術升級和設備更新。5.1組織機構金融機構應根據自身的發(fā)展戰(zhàn)略、業(yè)務特點及信息系繞運行平臺特點，明確金融數(shù)據中心容災組織機構的職能定位。金融數(shù)據中心容災組織機構可劃分為決策層、管理層及執(zhí)行層，各層級應明確職能、崗位、職責，確保層級清晰、權責統(tǒng)一，為生產系統(tǒng)穩(wěn)定運行提供有力保障5.2組織職責決策層主要由金融機構高層管理者組成，決策金融數(shù)據中心容災建設的重大事宜，主要職責應包括以下內容。a)確定金融數(shù)據中心容災戰(zhàn)略b)審核批準金融數(shù)據中心容災策略。4c)審核批準金融數(shù)據中心容災經費預算。d)審核批準金融數(shù)據中心容災建設方案e)審核批準金融數(shù)據中心災難恢復預案。f)批準啟動金融數(shù)據中心災難恢復預案。g)決策應急響應與災難恢復重大事宜。h)審核批準對外情況通報和信息發(fā)布管理層主要由金融機構的業(yè)務部門、技術部門、后勤部門等相關部門負責人組成，在決策層領導下開展工作，負責金融數(shù)據中心容災建設前期規(guī)劃、建設以及后期管理和協(xié)調，主要職責應包括以下內容。a)組織制定金融數(shù)據中心容災策略。b)編制金融數(shù)據中心容災經費預算。c)負責金融數(shù)據中心容災規(guī)劃、設計、施工、測試、試運行、交付的管理工作。d)負責金融數(shù)據中心容災運維的管理工作。e)組織制定金融數(shù)據中心災難恢復預案。f)組織實施金融數(shù)據中心災難恢復預案的演練g)協(xié)調內外部容災資源。h)指揮和協(xié)調應急響應與災難恢復工作。1)負責內部信息通報和溝通。3)組織和管理對外情況通報和信息發(fā)布工作。k)監(jiān)督、檢查和總結金融數(shù)據中心容災建設工作執(zhí)行層主要由金融機構的技術部門工作人員牽頭，業(yè)務部門、后勤部門等相關部門工作人員配合。執(zhí)行層在管理層的領導下，負責金融數(shù)據中心容災建設的具體實施工作，主要職責應包括以下內容a)提出金融數(shù)據中心容災需求和策略建議。b)實施金融數(shù)據中心容災設計、施工、測試、試運行、交付等工作。c)實施金融數(shù)據中心容災運維工作。d)提供金融數(shù)據中心容災的專業(yè)技術支持。e)負責災難恢復預案的制定，測試、培訓、演練和管理f)實施應急響應和災難恢復工作g)負責災難恢復過程的記錄、報告和通訊聯(lián)絡。h)承擔災難發(fā)生后的搶修、挽救和損害評估。i)負責資源保障和供應。j)負責災難發(fā)生后的外部協(xié)作。k)分析和總結金融數(shù)據中心容災工作6需求分析金融機構應根據長期可持續(xù)發(fā)展的戰(zhàn)略目標，對金融數(shù)據中心的生產系統(tǒng)、基礎設施、業(yè)務系統(tǒng)等方面進行綜合分析，確定金融數(shù)據中心容災建設需求。5需求分析包括但不限于以下內容。a)生產系統(tǒng)風險分析：依據GB/T20984的要求，識別生產系統(tǒng)的資產價值、潛在的威脅和脆弱性并進行等級評估，確立生產系統(tǒng)風險級別。根據不同的風險級別制定可行的風險管控措施，井分析實施風險管控措施后的殘余風險，提出災難備份系統(tǒng)建設的必要性。b)基礎設施風險分析：識別生產中心基礎設施資產的威脅和脆弱性，按照脆弱性被威脅利用時對生產中心所造成的影響范圍和影響程度劃分風險級別，并針對不同級別的風險制定相應的風險管控措施，以及分析實施風險管控措施后的殘余風險?；A設施風險分析的范圍應至少涵蓋生產中心可能面臨的供電中斷、地質災害、氣象災害、交通和通信中斷以及生產中心基礎設施本身的缺陷和弱點。c)業(yè)務影響分析：依據GB/T20988的要求，分析各業(yè)務系統(tǒng)中斷后所造成的直接和間接影響，確立業(yè)務系統(tǒng)的災難恢復指標。通過對各項業(yè)務功能之間的關聯(lián)關系分析、業(yè)務系統(tǒng)和信息系統(tǒng)關聯(lián)關系分析，確定支持各業(yè)務功能相應的信息系統(tǒng)資源及其他資源需求。6.3.1資產識別資產識別應對具有價值的信息或資源進行識別。資產是金融機構風險分析所要保護的對象，可分為有形資產和無形資產，主要包括基礎設施、硬件、軟件、數(shù)據、文檔、服務、聲譽等。金融機構應根據資產的重要程度對資產進行分類，確定重要資產的范圍，并且應根據資產對業(yè)務正常運行的影響程度對資產進行標識，確定資產的等級。6.3.2威脅識別威脅識別應對資產構成潛在破壞的可能性因素進行識別。對威脅的分類主要包括以下方法a)環(huán)境因素和人為因素。b)在控制能力之內和在控制能力之外。c)可先期預警和不可先期預警。6.3.3脆弱性識別脆弱性識別是對可能被威脅利用的資產的弱點進行識別，脆弱性識別可依據國際或國家的安全標準，或者行業(yè)規(guī)范、應用流程的安全要求。對應用在不同環(huán)境中的相同弱點，其脆弱性嚴重程度是不同的。脆弱性識別所采用的方法主要有問卷調查、工具檢測，人工核查、文檔查閱、滲透性測試等。脆弱性識別主要從技術和管理2個方面進行，技術脆弱性涉及物理層、網絡層、系統(tǒng)層、應用層等各個層面的安全問題：管理脆弱性可分為技術管理脆弱性和組織管理脆弱性，技術管理脆弱性與具體技術活動相關，組織管理脆弱性與管理環(huán)境相關6.3.4風險計算風險計算應采用適當?shù)姆椒ㄅc工具，確定威脅利用脆弱性導致災難發(fā)生的可能性，主要包括以下內a)根據威脅出現(xiàn)的頻率及脆弱性狀況，計算成脅利用脆弱性導致災難發(fā)生的可能性b)根據資產重要程度及脆弱性，計算災難發(fā)生后的損失c)根據計算出的災難發(fā)生的可能性以及災難的損失，計算風險值，并進行風險等級劃分。7體系規(guī)劃容災體系分為同城容災、異地容災和極端容災3個層次，主要包括以下內容。a)同城容災：將同一城市中的2個數(shù)據中心形成“生產中心+容災中心”格局，這2個數(shù)據中心處于同一城市不同風險區(qū)域內，主要用于防范同一城市內的小范圍停電、建筑物火災、基礎設施設備故障、通信線路設備故障、軟硬件故障以及其他突發(fā)事件可能造成的局部交通封鎖或中斷等小范圍災難的同類鳳險b)異地容災：在生產中心所在城市以外的城市選擇或建設數(shù)據中心作為生產中心失效后的異地容災中心對外提供接續(xù)服務。異地容災中心與生地震、洪水、海嘯、滑坡、泥石流、較大范圍的公共衛(wèi)生事件等較大規(guī)模的區(qū)域性災難。c)極端容災：在極端情況下，容災中心提供最絡數(shù)據保全和接續(xù)服務。極端容災中心位置應深入內陸并具有隱蔽、安全、防核、防化、防磁暴、抵御自然災害和突發(fā)事件的能力。7.2選擇體系金融機構可依據成本風險平衡原則選擇建設滿足業(yè)務需求的容災體系，為不同業(yè)務連差異化容災保障能力。容災體系的選擇策略主要包括以下內容。a)滿足以下條件宜選擇同城容災體系：—在遭遇城市小規(guī)模災難時具備對外提供接續(xù)服務、恢復時間較短、數(shù)據丟失量接近零的能 b)滿足以下條件宜選擇異地容災體系：——在遭遇大規(guī)模區(qū)域性災難時具備對外提供接續(xù)服務的能力。——業(yè)務開展范圍覆蓋全國或較大區(qū)域范圍c)滿足以下條件宜同時選擇同城容災體系和異地容災體系：——在遭遇城市小規(guī)模災難時具備對外提供接續(xù)服務、恢復時間較短、數(shù)據丟失量接近零的能-—在遭遇大規(guī)模區(qū)域性災難時具備對外提供接續(xù)服務的能力-—業(yè)務開展范圍覆蓋全國或較大區(qū)域范圍d)服務的中斷或數(shù)據的丟失會對國家金融穩(wěn)定、金融秩序產生嚴重影響，宜選擇極端容災體系。e)同城容災體系中，滿足以下條件宜采用同城雙活模式，通過數(shù)據復制、負載均衡等技術同時對外提供服務，保證更可靠的持續(xù)服務能力和更低的數(shù)據丟失率-—業(yè)務恢復時間要求很高——有同時對外提供服務需求。f)異地容災體系或同時具有同城和異地的容災體系中，滿足以下條件宜采用異地多活模式，通過數(shù)據復制、負載均衡等技術同時對外提供服務，滿足并發(fā)量高、業(yè)務邏輯簡單、高的應用系統(tǒng)的高性能和高可靠性的服務需求： 8建設要求8.1選址布局容災中心選址布局應符合JR/T0265的要求，同時滿足以下要求。a)金融機構應根據成本風險平衡原則選擇布局模式，布局可參照附錄。b)同城容災中心與生產中心應在不同園區(qū)、動力應來自不同變電站，避免同一城市內的小范圍停電、建筑物火災、基礎設施設備故障、通信線路設備故障、軟硬件故障以及其他突發(fā)事件可能造成的局部交通封鎖或中斷等小范圍災難的同類風險，且直線距離宜大于10公里，同時還應符合JR/T0071.2對應安全等級保護級別的相關安全要求c)異地容災中心與生產中心不在同一江河流域、地震帶、臺鳳等自然災害隱患區(qū)，避免大范圍停電、地震、洪水、海嘯、滑坡、泥石流、較大范圍的公共衛(wèi)生事件等較大規(guī)模的區(qū)域性災難的同類風險，且直線距離宜大于300公里，同時還應符合JR/T0071.2對應安全等級保護級別的相關安全要求。d)在選擇或建設容災中心時，應對備選場址進行相關的場地風險評估，充分考慮場址周邊環(huán)境、地質地理條件、市政配套條件、電力供應條件以及通信服務商所能提供的服務能力等諸多因素，全面判斷是否符合容災中心的建設要求。8.2.1基礎環(huán)境建設內容容災中心的場地基礎環(huán)境應包括工作設施、輔助設施、生活配套設施及其他必要設施，具體內容如a)工作設施包括信息系統(tǒng)工作設施和保障系統(tǒng)工作設施等b)輔助設施包括口常運行輔助設施、容災輔助設施、容災培訓設施等。c)生活配套設施包括保障工作人員餐飲、住宿等日常生活需求的設施。d)其他必要設施包括集合區(qū)、等候區(qū)、人流物流通道等。8.2.2基礎環(huán)境建設要求容災中心場地基礎環(huán)境的規(guī)劃、設計、建設和驗收，應符合JR/T0265、GB/T22239、JR/T0071.2等相應的要求，同時滿足以下要求a)容災中心設計時宜與生產中心等級相同。b)在容災中心場地基礎環(huán)境建設中，應組織成立建設管理團隊，并根據國家政策制度和行業(yè)標準的相關要求選擇具有項目對應工程能力證明和數(shù)據中心建設經驗的相關單位完成建設。c)應組織專家或第三方機構對容災中心建設和驗收的過程及重要節(jié)點給予專業(yè)監(jiān)督，確保容災中心的建設滿足設計和運行要求d)在建設的各個階段，應嚴格按照施工安全標準和項目管理標準組織實施，并且在實施過程中對質量、安全和進度進行持續(xù)的監(jiān)控和審查，確保施工內容與設計目標的一致性。e)容災中心的場地基礎環(huán)境建設應盡可能規(guī)避施工的風險，堅持成本風險平衡原則，最大限度地提高資源利用率，并綜合考慮技術可行性、技術先進性、可擴展性、可管理性、可持續(xù)性，以及環(huán)保、節(jié)能和社會效益等多個方面。f)柴油發(fā)電機、變配電設施、冷源設施等機電設施不宜布置在地下室的最底層，當布置在地下室的最底層時，應采取措施，防范洪水、管道泄漏、消防排水等水患風險。并應符合防火、防震等相關要求。g)應進行綜合分析和經濟比較，有條件時與當?shù)仉娏Σ块T或其他機構簽署含有優(yōu)先供電的供電協(xié)議或災難情況下的應急供電協(xié)議。8.3網絡建設容災中心網絡建設應符合JR/T0265和JR/T0071.2相應的要求，同時滿足以下要求。a)容災中心網絡應根據容災中心需求和技術發(fā)展狀況進行規(guī)劃、設計和建設b)容災中心與生產中心間互聯(lián)網絡宜提供充足的備份數(shù)據傳輸帶寬，滿足業(yè)務連續(xù)性要求高的業(yè)務數(shù)據備份峰值所需的帶寬需求。c)主備架構模式中，容災中心的出口網絡帶寬應至少滿足重要業(yè)務系統(tǒng)基本對外服務能力的帶寬需求，宜滿足重要業(yè)務系統(tǒng)全部對外服務能力的帶寬需求；同城雙活或異地多活模式中，容災中心的出口網絡帶寬宜與生產中心相同。d)容災中心網絡建設應考慮金融數(shù)據中心之間互聯(lián)的時延需求。e)容災中心網絡應處于就緒狀態(tài)，宜處于運行狀態(tài)f)容災中心網絡應至少支持自動或集中切換，宜支持實時無縫切換。g)容災中心網絡宜支持生產中心和容災中心的負載均衡。9.1原則容災中心的運維管理應遵循以下原則a)制度化原則：應建立完善的、可行的運維管理流程和制度，提高運維管理的質量、效率和水平。b)關聯(lián)性原則：容災中心運維管理應與生產中心運維管理相關聯(lián)，在人員崗位構成、日常管理流程和應急恢復期管理流程的銜接、演練組織等方面都應與生產中心相關聯(lián)c)可用性與有效性原則：容災中心運維管理制度應通過全面測試和定期的驗證機制，確?？捎眯院陀行?。d)安全性原則：容災中心安全管理要求應與生產中心保持一致，實現(xiàn)災難發(fā)生時容災中心對生產中心的平穩(wěn)接替。9.2.1日常運維容災中心的日常運維管理應符合GB/T51314相應的要求，同時應滿足以下要求。a)應定期維護場地環(huán)境，保證容災中心工作設施、輔助設施和生活設施等的可用性。b)應定期檢測維護備用網絡系統(tǒng)，包括數(shù)據網絡、存儲網絡等c)運維團隊應具備后備人力資源，在生產中心人員不可用的情況下負責容災切換、接管生產中心和容災中心運行管理工作。d)應建立統(tǒng)一協(xié)調運維管理機制，開展常態(tài)化聯(lián)合運維，實現(xiàn)生產中心和容災中心運維人員能力互備。e)應由專人承擔容災中心的安全管理職能，以保證在緊急狀況發(fā)生時獲取最優(yōu)的處置效率和最基本的安全保障。f)宜以電子化、自動化、可視化和可監(jiān)控化的方式管理生產中心和容災中心日常運行金融機構應結合自身實際制定災難恢復預案。災難恢復預案至少應包括以下內容。a)災難恢復范圍、時間和目標b)災難恢復的總體章程，包括災難恢復管理組織機構、指揮中心決策和授權的流程。c)突發(fā)事件應急響應規(guī)程。d)災難切換規(guī)程。e)災后重續(xù)運行操作指引。f)災難切換操作手冊。9.2.2.2