|
李曉蕾
接二連三的銀行客戶數據丟失案件,正在讓國外眾多銀行高層陷入萬分惱火、憂慮不堪的情緒之中……
在瑞士銀行集團日本分行丟失了一張存有高度敏感客戶信息的磁盤之后,花旗銀行也
難逃此劫,390萬客戶賬戶資料6月6日在快遞途中的神秘失蹤,讓世界最大銀行集團之一的它頓時陷入信任危機。
國外銀行們的尷尬處境給中國銀行敲響了警鐘。因為由賬戶信息、客戶資料、信用記錄、交易明細等組成的各類業務數據,是銀行業賴以生存的重要信息資產。
于是,在大集中已成為銀行普遍做法的當下,如何做好數據中心的數據管理和保護,以實現業務的連續性,便成為讓銀行業高層們分外關注的重點問題。
5月26日,中國首屆災難恢復行業高層論壇在廣東南海舉辦,深圳發展銀行外包建設災難備份中心(文中簡稱“災備中心”)的案例,則成為會上推廣學習的典型,因為其超過7000平方米的專業災備中心已連續穩定運行了40個月。
請看本期管理案例——《深圳發展銀行的業務連續性管理(BCM)案例》。
數據的集中帶來風險集中
業務連續性管理(Business Continuity Management,簡稱BCM),是一項綜合管理流程,它使企業認識到潛在的危機和相關影響,制訂響應、業務和連續性的恢復計劃,其總體目標是為了提高企業的風險防范能力,以有效地響應非計劃的業務破壞并降低不良影響。為災難備份行業提供專業性服務的非營利機構DRIAsia執行總監GohMohHeng這樣介紹道。
而讓深圳發展銀行與BCM這一在國內至今仍是新名詞的管理方法相識起來的原因,是它當初面對著如今所有國內銀行共同的問題——即在將原來分散在全國中心城市的小型數據處理中心逐步集中到省一級的處理中心以至全國性的大型數據處理中心,集中處理業務數據的同時,客觀上也把風險無限集中和放大起來。
為加強銀行賬務監管、數據共享、新業務的開發和降低計算中心的運營成本,2000年,深發展開始考慮改變原有的多分區多中心、數據分散式存儲和處理的傳統方式,準備將全國近200個網點的數據都放到深圳一家集中的數據中心,實現全國范圍內由一個中心存儲數據和處理業務的格局,也就是我們常說的“數據大集中”。
“現代金融業倡導365天7×24小時服務,因此實施數據集中就必須充分考慮災難備份工作的開展。”深發展的項目負責人對記者說。
于是,經過幾番嚴密的論證調研之后,深發展最終于2001年7月與GDS萬國數據服務公司簽訂了為期五年的災備外包服務協議,讓后者為其制定了業務連續性計劃,并開始提供關鍵信息系統的第三方災難服務。
在BCM中,當發生災難時,情況是這樣的 ……
“當某天早晨員工上班時,卻突然發現辦公樓已被濃煙包圍,消防隊正在封場滅火,無法進入辦公室開展日常業務的銀行工作人員該怎么辦?”中國內地第一位獲得DRI International “Certified Business Continuity Professional”(國際災難恢復組織的業務連續性專家資質認證)認證的業務連續運作專家、全程負責深發展項目的GDS公司首席災難備份顧問、咨詢與方案總監汪琪向記者介紹了深發展銀行三支小組聯動的業務連續性管理計劃機制。
按照GDS的規定,第一個發現災情的員工將會立即通知銀行24小時值班的應急小組。而后者則要立刻與消防、供電、警察等各方面聯絡,了解現場情況,比如火燒到什么程度,幾小時能解封,人員什么時候才能進入等等,以便準確地進行情況評判。
如果得知半小時左右火便可以撲滅,便不用宣告災難及進行切換,整個流程至此結束。就像國家信息化專家咨詢委員會委員曲成義所講的那樣,災難恢復應該是整個應急體系中的最后一道防線。
“事實上,無論備份等級有多高,任何災備中心與真正的業務系統間都還是會存在或多或少的時點差距的,切換恢復后的業務系統不一定是全部;且系統切換本身也是要付出時間、人力、物力等高成本代價的。而我們所該做的,是在災難發生后盡量將損失降到最低。”汪琪這樣解釋道。
但若發現火勢兇猛,可能要十多個小時甚至一天的時間才能被撲滅,則損失評估的結果應是立即宣告災難,并向整個行動的總指揮——上級行領導——報告“要切換”。
而在應急小組啟動現場情況評判這一工作流程時,銀行的另一支小分隊——災難恢復小組也已經開始行動起來了。他們將立即通知GDS進入預警狀態;并在半小時之內趕到災備中心現場。而在等待災難恢復小組的成員趕到災備中心現場的半小時時間中,GDS的工作人員將會全面檢查系統、網絡、數據情況,做好切換準備。隨后到達災備中心現場的災難恢復小組成員將兵分兩路,一部分迅速進入災難恢復中心,準備指揮接下來將要進行的災難恢復動作;而另一部分則到災難備份的系統前查看數據及系統狀態,間接了解到生產中心的數據及系統狀況。
隨后,災難恢復小組中的應用業務人員將對切換后的系統進行排查,確定數據是否已為最新,軟件功能是否已經完備,網絡是否已經連通,與第三方機構的系統是否也已連上等數項事宜。一旦發現一切均已完備,便立即上報總指揮。行領導隨即便可宣布正式對外開始營業。
而在這一系統排查時段中,第三支隊伍——銀行客服小組也將利用新切換的CALL-CENTER(呼叫中心)號碼,指揮下面的分支機構進行相應的數據恢復,并對儲戶、客戶、社會的查詢進行回復。“因為對于剛剛發生過災難的銀行來說,克服客戶的恐慌是非常重要的。當年的海南發展銀行就是因傳言而出現擠兌現象的。但事實上,當災難發生后,只要你能迅速告知客戶他的錢和賬戶均沒有發生任何丟失與變動,那么90%的客戶是不會再繼續恐慌的。”汪淇這樣表示。
不難發現,在真正的災難發生之后,幾乎所有事情都是由銀行的工作人員自行完成的,而這也是因為GDS有著“不TOUCH(觸碰)用戶數據”的原則。而通過一年一度的災備演練使銀行員工腦海中能夠對這一業務連續性計劃留下深刻而真實的印象,則是業務連續性管理中國際通行的一個重要慣例做法。
據汪琪介紹,對深發展這樣的銀行來說,設計的案例還必須能夠把其所有業務流程都走過一遍,即演練中必須涵蓋到儲蓄、對公、存款、計息這些所有業務環節中涉及到的每個子程序、程序庫、文件類型、文件構造等關鍵點。
事實上,災備中心的建設只是為了保持深發展業務連續性而做的一種IT支持手段,它的目的就是為了讓GDS為深發展量身制定的業務連續性計劃能夠在災難突發時得以順利實施。而在DRII(國際災難恢復組織)的定義中,業務連續性計劃是一套高級管理和規章流程,它使一個組織在突發事件面前能夠迅速做出反應,以確保關鍵業務功能可以持續,而不造成業務中斷或業務流程本質的改變。
北京威視瀚海數據技術有限公司高級技術顧問侯海波認為:“事實上,以災難備份形式實現的業務連續性管理,關鍵就是要關注團隊(People)、流程(Process)、設施(Product)、計劃(Plan)這4P要素。”而深發展無疑是做到了這一點。
業務連續性管理的幾個關鍵點
風險評估最重要。“業務連續性管理的國際專業操作步驟為:項目啟動和管理——風險評估和控制——業務影響分析——制定業務連續性戰略——緊急響應和運行——計劃制定和業務連續性計劃的實施——認知和培訓項目——業務連續性計劃的演練和維護——危機聯絡——與外部機構的合作。”DRIAsia執行總監GohMohHeng向記者介紹。
可以看出,在項目啟動后,風險評估和業務影響分析被放到了最重要的位置上,因為只有通過它,才能確定一個企業究竟需要怎樣的業務連續性戰略與計劃。
地理位置有講究。而對于深發展的風險評估和業務影響風險分析,則是為了確定它究竟需要一個處于什么地理位置的災難備份中心和怎樣程度的數據備份等級。
“在業務連續性管理的專業理論中,企業若想防范大規模災難,就應該把數據中心和備份中心在地理上盡量疏散拉遠。但由于目前技術的限制,當備份中心與數據中心之間的光纖距離超過63公里時,為了不影響生產數據中心的性能,數據就難免會有丟失。也就是說,防范大規模災難和防范數據丟失,實際上是一對頗為矛盾的需求。而企業就是要通過正確估量自己可能面對的風險和可能造成的業務危害,明確自己的實際需要,在數據不丟失與防范大規模災難中自我平衡,做出取舍。”汪琪這樣表示。
投入不能少也不必多。數據備份等級的選擇也同樣是這一道理,曲成義就明確指出,在災難備份系統的建設上,“欠投入是不允許的,過多投入卻也是沒有必要的。”而究竟該投入多少才合適,還是要先做風險評估和業務影響風險分析。
按照國際通行的風險公式,RISK(風險)=一旦遭受風險可能承受的損失×發生這一風險的概率。而在對深發展可能面臨的風險及會造成的業務影響進行分析后,得出的卻是“數據中心所在地深圳發生大規模災難的可能性極小”這一結論。因此,對于深發展來說,最重要的便是提高數據備份等級,而沒有必要將災備中心與數據中心的地理距離十分疏散。因為即使是發生戰爭這樣的大規模災難,深圳都會因擁有毗鄰香港這一優勢地理位置,而比北京、上海、乃至廣州的風險小得多。
深發展的一個細節。一個有意思的細節是,當時的深發展原本準備將災備中心建在自己位于深圳龍華的一塊地上的,但后來放棄了“自留地”改選觀瀾。
“即使是同城災備中心,建設用地的選點也是必須要遵循幾個原則的。離市區光纖距離50公里左右、交通方便、距機場30~60分鐘車程的位置最為合適。”汪琪說,“因為這樣既能比較有效地防范大面積停水、停電、火災等人為災難的波及,又能方便外地甚至外國的專家和技術人員在災難發生后迅速趕到現場。而且,災備中心一定要自成園區,保安、物業、供電、供水必須能夠全部由自己控制;且周邊不能有重大工程、軍事目標、粉塵、化學污染、重工業、磁場干擾等的存在。”觀瀾就恰恰符合以上這些需求——30公里的陸地距離換算成光纖距離是40多公里,周邊有3條高速公路和一條一級公路、距深圳機場不算太遠,且地質條件上,6度的地震烈度與深圳的7度不同,兩地間還有小山丘的存在,可有效防止洪水、地震等災難的波及。
鏈接
通過災難備份保證業務連續性的20條準則:
通過災難備份保證業務連續性的20條準則:花錢不代表解決了一切,硬件性價比逐年提升,但業務連續性的投資不一定更經濟;從零開始;剔除所有單點故障;維持高度系統安全性;整合所有服務器;將所有共通性的工作自動化,避免誤操作;將一切記錄下來,程序、開發文檔、操作手冊、應用手冊等;制定服務水平協定;及早規劃;測試/演練;維持分散式環境;將故障隔離;了解系統歷史情況/數據;構筑以符合未來的成長;選擇成熟的軟件;選擇可靠性/服務性高的硬件;復制成功的配置,容易支持測試;參考外界資源;一個問題,一個解決方案;K.I.S.S(Keep It Simple as Stupid越簡單越好)。
| 
