同城应用级灾备建设项目可行性报告2016-4-25.docVIP

江苏长江商业银行 同城灾备建设调研及可行性报告 我行科技信息部在项目启动后，主要完成了以下几个方面的工作：一是学习了监管机构对于业务连续性和灾备中心建设的相关要求和规范。二是先后与省内多家金融机构进行了沟通交流，取得了其它金融机构在灾备中心建设中的成熟经验和做法。三是与国内多家较大的系统服务商和云计算服务商进行了技术交流沟通，了解当今主流容灾技术、云计算技术和虚拟化技术的现状和发展趋势。四是和省内多家数据中心外包服务商进行了沟通交流，了解数据中心基础环境设施、外包服务资源、运维服务能力，调研结果及项目可行性报告如下： 一、我行同城灾备中心建设必要性 （一）、不断提高的业务连续性要求 信息系统安全运行是企业正常生产的基础，随着我行规模的逐步扩大，各种金融应用、支付手段、服务渠道不断增加，对业务连续性的要求也越来越高，任何重要交易系统的非正常停运，都会对企业的声誉产生非常严重的影响，甚至可能造成无法预测的重大损失。由此可见，信息系统的安全及业务连续性直接关系到客户和切身利益和银行生死存亡。所以，建设切实有效的同城应用级灾备中心对我行极为必要的。若生产中心发生不可恢复故障或灾难，同城灾备中心可迅速恢复接管生产运行并实现业务办理，能极大地提高业务持续运行能力，降低信息系统安全风险。 （二）、监管机构对灾备建设的要求 监管机构对我行的业务连续性风险管理非常重视，。2015年江苏省法人银行金融机构信息科技风险管理指导委员会全体会议中，银监局指出的辖内金融机构信息科技现存的问题，列举了各家金融机构科技信息建设和风险管理方面的不足。并且，省银监局潭局长要求我行务必于2016年启动同城灾备系统建设，全面提高我行信息科技抗风险能力，要及时启动构建同城灾备中心，发挥其接管业务、延续业务和双活运行的作用。 我行高管层组织了科技部门负责人，认真学习了省银监局潭局长在会议上的讲话，根据省我行董事会和高管层非常重视监管领导提出的同城灾备中心建设意见，已把同城灾备中心建设列为我行全年的重点项目之一。 二、项目背景及实施资源调研情况 （一）、监管机构相关规范要求 一直以来，监管部门对银行业务连续性风险管理和灾备建设工作高度重视，在灾备建设方面，通过以下相关文件进行规范管理。 1、2003年，中央办公厅、国务院下发的《国家信息化领导小组关于加强信息安全保障工作的意见》，对基础信息网络和重要信息系统灾难备份恢复作了原则规定，第一次提到了重要信息系统需要具备灾难恢复能力。 2、《信息安全技术信息系统灾难恢复规范》（GB/T20988-2007）于2007年颁布，是灾难备份与恢复的第一个国家标准。 3、2008年，人民银行颁布了《银行业信息系统灾难恢复管理规范》（JR/T0044-2008），针对银行业灾难备份与恢复制定了规范。 4、银监会2010年下发的《商业银行数据中心监管指引》(银监办发【2010】144号，对商业银行灾备中心建设有明确要求：商业银行应于取得金融许可证后两年内，设立生产中心；生产中心设立后两年内，设立灾备中心；总资产规模在1000亿元人民币以上且跨省设立分支机构的商业银行应设立异地灾备中心，灾难恢复等级达到《信息安全技术信息系统灾难恢复规范》中的第5级实时数据传输及完整设备支持，必须建立起完善的灾备体系和业务连续性保障体系。其它法人商业银行应设立同城模式灾备中心并实现数据异地备份，重要信息系统灾难恢复能力应达到《信息安全技术信息系统灾难恢复规范》中定义的第4级别（含）以上。 相比较而言，国标《信息安全技术信息系统灾难恢复规范》（GB/T20988-2007）和《商业银行数据中心监管指引》(银监办发【2010】144号)两文中的内容细致清晰，便于执行机构参照实施落地，通过调研省内其它金融机构了解到，大部分银行机构都遵从上述两文件实施灾备系统建设和管理。 以我行现在的资产规模，整体灾备建设级别需要遵从《商业银行数据中心监管指引》(银监办发【2010】144号)：应设立同城模式灾备中心并实现数据异地备份，重要信息系统灾难恢复能力应达到《信息安全技术信息系统灾难恢复规范》中定义的第4级别（含）以上。RTO（灾难恢复时间）应为数小时至2天，RPO（数据丢失时间）应为数小时至1天。 （二）、省内金融机构同城灾备中心建设情况 江苏银行：生产中心位于南京市徐庄软件园，同城应用级灾备中心位于南京市洪武北路，距离约为15公里，采用了裸光纤和华为DWDM技术。异地应用级灾备中心位于苏州市，实现了核心及重要系统的应用级同城和异地容灾。 南京银行：生产中心位于南京市中山路，同城应用级灾备中心位于一街之隔的汇杰广场，采用了裸光纤及EMC存储底层复制技术，实现了数据实时同步。异地灾备中心位于山东日照，采用了存储异步复制技术，重要生产系统实现了异地应用级灾备。 苏州银行：生产中