灾难恢复体系建设

异地灾备体系建设方案目录1灾备体系总体架构 (3)2数据备份系统设计方案 (26)3应用容灾设计方案 (50)4备用数据处理系统设计方案 (58)5信息安全体系设计方案 (85)6异地灾备管理体系设计 (146)7异地灾备运维体系设计 (172)1灾备体系总体架构1.1设计目标对灾备份服务的建设规划将依据灾备评价指标和灾难恢复等级的建设要求与原则进行分析。

图错误!文档中没有指定样式的文字。

-1 灾备评价指标示意图如上图所示，评价灾备系统主要有两个指标：1、RPO（Recovery Point Objective），即数据恢复点目标，简单的说就是生产中能接受的最大数据损失量。

2、RTO（Recovery Time Objective），即恢复时间目标，指生产中心能接受的最长停机时间。

在这个时间范围内，生产中心必须恢复生产，否则会造成无法容忍的损失。

不同应用中对RTO的指标需求是不同的，客户端访问频繁的核心数据需要足够小的RTO，如果RTO没有达到指标，就会造成巨大损失，而大多数业务系统对RTO的要求没有如此严格，如果业务运行的间隙发生数据灾难，则几乎影响不到客户访问的连续性。

根据XXX信息系统的重要性，XXX系统的大部分业务系统将RPO 定为1小时，RTO定为4~8小时。

异地灾备中心的恢复能力将至少满足《信息系统灾难恢复规范》中定义的第4级要求。

对于XXX的核心/关键的业务系统将RPO定为30分钟，RTO定为4小时以内，满足《信息系统灾难恢复规范》中定义的第5级要求。

1.2灾备恢复标准设计为保障本服务项目的服务质量和服务水平，本次灾备系统的建设将至少符合按照《信息系统灾难恢复规范》（GB/T 20988-2007）的4级标准规定和《关于信息安全等级保护工作的实施意见》要求对灾备系统进行设计。

目前关于灾备恢复的标准主要有《SHARE 78国际容灾恢复标准》与《信息系统灾难恢复规范》（GB/T 20988-2007）。

深度解析容灾系统建设的三个难题近年来，地震、海啸等自然灾难频发，使得信息系统的容灾系统建设成为各行业IT建设的重中之重。

然而，不同的容灾系统建设技术与繁复的建设过程让许多IT管理者出现了放多不解现象和困惑。

如果企业能够在建立容灾系统的初始阶段就清楚的了解容灾的有关概念和技术实现手段，那么企业容灾系统建设的速度就会大大加快，并且能够做到有的放矢，提高容灾系统建设和应用的效率与投资回报率。

经过多年的容灾系统建设经验的积累，飞康总结出用户在容灾系统建设中经常遇到的难点问题，并提出了解决方案，希望可以对企业的容灾系统建设有所帮助。

灾备系统首要防范的灾难容灾备份体系建设可以从很多个角度去考虑，但其中最重要的一项，是哪些灾难类是用户首要考虑防范的，这些灾难对于RPO/RTO指标有什么具体的要求等。

一谈到灾难的防御范围，大家习惯性的会重点考虑一些硬灾难，包括服务器、存储等硬件设备损坏造成的宕机；地震、火灾、机房进水等造成的机房失效，也有空调损坏、多站供电断电等意外；甚至当瘟疫蔓延时机房无法进入等极端情况。

这类灾难一般被称为“‘硬’性灾难”或“站点级灾难”，即整个站点失效，从而整个站点所提供的服务中止。

此外，还有很多非硬性的灾难。

这类灾难发生后，虽然建筑、设备、人员都是无损的，但整个站点同样失效，整个站点所提供的服务同样被中止。

我们将这类灾难称为“‘软’性灾难”或“类站点级灾难”。

它们带来的后果同样是灾难性的、甚至更加严重。

这种灾难主要是由于一些恶意行为：如外部黑客攻击、内部高技术手段进行破坏以及一些人为的误操作（包括系统维护失误、误删除重要数据、打入冲突系统补丁）等。

硬性灾难或站点级灾难的发生是管理人员能够即刻发现的，造成的损失大多可以立刻评估、处理。

中国保险监督管理委员会关于印发《保险业信息系统灾难恢复管理指引》的通知文章属性•【制定机关】中国保险监督管理委员会(已撤销)•【公布日期】2008.03.21•【文号】保监发[2008]20号•【施行日期】2008.03.21•【效力等级】部门规范性文件•【时效性】现行有效•【主题分类】保险正文中国保险监督管理委员会关于印发《保险业信息系统灾难恢复管理指引》的通知（保监发〔2008〕20号）各保险公司、保险资产管理公司：为加强保险信息安全基础设施建设，推进信息系统灾难恢复工作，根据《中华人民共和国保险法》和国家有关信息安全法律法规，我会制订了《保险业信息系统灾难恢复管理指引》，现印发给你们，请遵照执行。

二○○八年三月二十一日保险业信息系统灾难恢复管理指引第一章总则第一条为规范并指导我国保险业信息系统灾难恢复工作，提高防范灾难风险的能力，保障持续运营，保护客户和股东的合法权益，根据《中华人民共和国保险法》、国家信息安全法律法规及有关规定，制定本指引。

第二条保险业信息系统灾难恢复工作应坚持“统筹规划、资源共享、平战结合、等级灾备”的原则，平衡成本与风险，确保工作的有效性。

第三条本指引所称保险机构是指，经中国保险监督管理委员会（以下简称“中国保监会”）批准设立，并依法登记注册的保险公司、保险资产管理公司、外国保险公司分公司及港、澳、台地区保险公司在大陆地区的分公司。

第四条本指引所称灾难恢复为信息系统灾难恢复。

灾难恢复工作是指，为保障信息系统持续运营，防范灾难风险并减轻灾难造成的损失和不良影响而开展的一系列工作，包括：组织机构设立和职责、灾难恢复需求分析、灾难恢复策略制定、灾难备份系统实施、灾难备份中心的建设与运行维护、灾难恢复预案管理、应急响应和恢复。

本指引所称区域性灾难是指，造成所在地区或有紧密联系的邻近地区的交通、电讯、电力及其它关键基础设施受到严重破坏，关键信息网络设备毁损、重大故障或大规模人口疏散的事件，将会导致信息系统无法正常运行。

中国人民银行关于发布《银行业信息系统灾难恢复管理规范》行业标准的通知正文：----------------------------------------------------------------------------------------------------------------------------------------------------中国人民银行关于发布《银行业信息系统灾难恢复管理规范》行业标准的通知（2008年2月4日银发[2008]48号）中国人民银行上海总部，各分行、营业管理部，各省会(首府)城市中心支行，清算总中心，国家外汇管理局，各政策性银行、国有商业银行、股份制商业银行，中国邮政储蓄银行，中国银联股份有限公司，中国外汇交易中心，中国金融电子化公司：《银行业信息系统灾难恢复管理规范》行业标准已经全国金融标准化技术委员会审查通过，现予以发布，并就有关事项通知如下：一、标准的编号和名称JR/T0044-2008，《银行业信息系统灾难恢复管理规范》。

二、该标准自发布之日起实施。

附件：银行业信息系统灾难恢复管理规范ICSAll JR备案号：中华人民共和国金融行业标准JR/T0044-2008银行业信息系统灾难恢复管理规范Management Specification of Information System Disaster Recovery for Banks2008-02-04发布2008-02-04实施中国人民银行发布目录前言引言1范围2规范性引用文件3术语和定义4银行业信息系统灾难恢复综述4.1灾难恢复工作内容4.2灾难恢复的周期性工作4.3机构间合作5组织机构设立和职责5.1组织机构设立5.2组织机构的组成和职责6灾难恢复需求分析6.1风险分析6.2业务影响分析6.3确定灾难恢复需求7灾难恢复策略制定7.1成本风险分析和策略的确定7.2灾难恢复能力等级7.3灾难备份中心的布局7.4资源、服务的获取和保障8灾难备份中心的建设8.1基础设施建设8.2灾难备份系统建设8.3项目监理9灾难备份中心的运行维护管理9.1管理制度建设9.2运行维护工作内容9.3运行维护的资源保障10灾难恢复预案的制定、演练与管理10.1灾难恢复预案的制定10.2灾难恢复预案的演练10.3灾难恢复预案的管理11应急响应和灾难恢复11.1应急响应11.2灾难恢复11.3重建与回退12监督管理12.1审计12.2备案附录A (资料性附录)应急响应和灾难恢复工作要点附录B (资料性附录)RTO/RPO与灾难恢复能力等级的关系前言本标准是对银行业信息系统灾难恢复管理要求的描述。

IT 制度灾难恢复计划管理制度一、定义本计划书所称灾难恢复为信息系统灾难恢复。

灾难恢复计划包括：灾难备份系统实施、灾难备份中心的建设与运行维护、灾难恢复预案管理、应急响应和恢复。

二、组织机构及其职责1．总经理或者信息总监为信息系统灾难恢复工作的责任人，负责灾难恢复需求分析和策略制订。

2．董事会参预制订和审核灾难恢复策略，保证灾难恢复策略与经营目标的一致性。

3．灾难恢复的组织机构由信息部的管理、业务、技术等相关人员组成。

4．信息部总监负责灾难恢复预案的审批、维护和演练，负责资源准备和经费审批。

5．信息部经理负责灾难备份中心的日常运行和管理。

6．信息部主管负责灾难恢复预案的制订、灾难备份中心的日常运行和维护。

7．信息部专员负责灾难备份中心的日常运行和维护。

三、灾难等级1．第一类：信息系统短期中断会影响公司的关键业务的进行，并造成重大经济损失。

2．第二类：信息系统短期中断会影响公司部份业务的正常进行，并造成较大经济损失。

3．第三类：信息系统短期中断会影响公司某个或者某些部门业务的正常进行，可能造成间接损失。

四、灾难恢复的目标要求1．第一类灾难等级恢复要求：(1)第四级电子传输及完整设备支持；(2)RTO≤36 小时，RPO≤8 小时。

2．第二类灾难等级恢复要求：(1)第三级电子传输和部份设备支持；(2)RTO≤72 小时，RPO≤24 小时。

3．第三类灾难等级恢复要求：(1)第二级备用场地支持；(2)RTO≤7 天，RPO≤36 小时。

五、灾难备份系统实施要求1．建立数据备份系统、备用数据处理系统和备用网络系统，技术方案中所涉及的系统应获得同信息系统相当的安全保护，具有可扩展性。

2．应确保技术方案满足灾难恢复策略的要求，组织开展灾难恢复技术方案和业务功能恢复的测试，并记录和保存测试结果，以保证灾难恢复时最终用户能正常使用灾难备份系统。

3．应充分考虑到灾难备份系统的处理能力、存储容量、网络宽带能否满足业务运作要求。

IT系统灾难恢复计划及实施步骤；第1章灾难恢复计划概述 (4)1.1 灾难恢复计划的重要性 (4)1.2 灾难恢复计划的制定目标 (4)1.3 灾难恢复计划的适用范围 (5)第2章灾难类型与风险评估 (5)2.1 常见灾难类型 (5)2.1.1 自然灾害 (5)2.1.2 技术故障 (5)2.1.3 人为因素 (5)2.1.4 社会事件 (6)2.2 风险评估方法 (6)2.2.1 定性评估 (6)2.2.2 定量评估 (6)2.3 风险评估实施步骤 (6)2.3.1 确定评估目标 (6)2.3.2 收集资料 (6)2.3.3 识别风险因素 (6)2.3.4 分析风险 (6)2.3.5 评估风险 (6)2.3.6 制定风险应对措施 (6)2.3.7 形成风险评估报告 (6)第3章灾难恢复策略与原则 (7)3.1 灾难恢复策略选择 (7)3.1.1 完全备份策略：对整个IT系统进行定期备份，灾难发生时，恢复整个系统。

该策略适用于数据规模较小、业务恢复时间要求较低的企业。

(7)3.1.2 差分备份策略：在完全备份的基础上，仅备份自上次完全备份以来发生变化的数据。

该策略可以节省存储空间，缩短恢复时间，适用于数据量较大、业务恢复时间要求较高的企业。

(7)3.1.3 增量备份策略：仅备份自上次备份以来新增或修改的数据。

该策略在节省存储空间和备份时间方面具有优势，但恢复时间较长，适用于数据量较大、业务连续性要求较高的企业。

(7)3.1.4 混合备份策略：结合完全备份、差分备份和增量备份，根据数据的重要性和变化频率制定不同的备份策略。

该策略具有较高的灵活性和效率，适用于大型企业。

(7)3.2 灾难恢复原则 (7)3.2.1 最小化业务中断原则：在灾难发生时，尽可能减少业务中断时间，保证关键业务迅速恢复。

(7)3.2.2 数据一致性原则：在灾难恢复过程中，保证数据的完整性和一致性，避免数据丢失或错误。

邮储银行数据中心灾备体系建设现状及构想作者：章传强倪运伟来源：《中国金融电脑》 2016年第1期一、邮储银行灾备体系建设现状1. 数据中心建设情况邮储银行北京丰台数据中心于2007 年完成一期建设并投入使用，于2009 年完成了二期建设，并在2012年完成扩容建设，基本承载了邮储银行所有的生产应用系统的运行工作，共有近200 套在线生产系统运行，是邮储银行目前的主生产中心。

2007 年邮储银行建成了北京牛街同城灾备中心，陆续进行了关键系统的灾备建设，与此同时，定期进行灾备系统的切换演练工作。

2011邮储银行启动了北京亦庄同城和合肥异地数据中心的建设。

2014 年北京亦庄数据中心和合肥数据中心先后投入使用，初步实现了“两地三中心”的基本架构，并计划在后续的几年中先重点再全面铺开地进行“两地三中心”架构建设的各项工作。

2. 灾备系统建设及切换演练情况按照中共中央办公厅发〔2003〕27 号文《国家信息化领导小组关于加强信息安全保障工作的意见》的精神，2005 年底邮储银行组织制定了《邮政金融计算机系统灾难备份系统建设方案》，明确了灾备系统的建设原则、突发事件应急管理体系、核心系统业务影响分析、开放式平台的灾备技术架构等。

2007 年开始在北京牛街灾备中心陆续进行了关键系统的灾备建设，先后建设了储蓄省处理中心、储蓄物理集中、储蓄逻辑集中、电子汇兑、公司业务、个人信贷、个人网银等同城系统级灾备系统、储蓄全国中心、电子汇兑、国际业务、基金业务同城应用级灾备系统。

定期进行灾备系统的切换演练工作，2008 年北京奥运会前将西藏储蓄省中心系统切换到牛街灾备中心运行至2009 年10 月，在2010 年和2011年分别对国际业务和基金业务应用级灾备系统进行了涵盖业务和科技条线的真实切换和回切，即由灾备系统接管生产系统对外提供服务一段时间，再由灾备系统回切回生产系统运行。

2015 年8 月10 日和9 月18 日分别在非营业时间段和营业时间段对核心系统储蓄逻辑集中柜面业务进行了灾备切换。

工商银行灾备及生产运维体系建设作者：钱斌来源：《中国金融电脑》 2016年第1期工商银行在数据中心建设运营过程中始终坚持“安全生产运行第一”和“第一时间恢复生产”的指导思想。

近年来，工商银行信息系统处理的业务量逐年攀升、屡创新高，手机银行等电子银行渠道已成为工商银行交易量的主要增长点，互联网和移动终端业务以及第三方支付业务快速发展，小额高频交易增长明显。

同时，随着互联网金融的蓬勃发展和客户需求的日益多元化，工商银行正在加快构建电商平台（融E 购）、直销银行平台（融E 行）和即时通讯平台（融E 联）三大互联网金融服务产品体系。

在此背景下，工商银行信息系统总体保持了安全稳定运行态势，核心信息系统主要业务时段可用率保持在99.99% 的较高水平。

本文重点介绍工商银行数据中心信息系统灾备管理的相关情况。

一、完成“两地三中心”灾备体系部署一直以来，工商银行高度重视并积极推动数据中心灾备体系和系统高可用性建设。

早在2004 年，工商银行就在国内同业中率先建立起“两地两中心”的数据中心异地灾备架构，并于2009 年启动“两地三中心”数据中心新架构研究。

2014 年6 月上海嘉定同城数据中心正式投产启用，在业界率先成功实现数据中心同城双中心全业务切换运行，标志着“两地三中心”工程初见成效。

工商银行信息系统灾备体系已达到了国际灾备标准SHARE-92 定义的七级水平和国务院信息化办公室《重要信息系统灾难恢复指南》六级的高灾备等级标准要求。

在此基础上，2014 年11 月工商银行首次采用临时通知的方式，成功实施同城核心系统切换运行，实施过程采用“一键式”切换工具，主机核心系统切换时间控制在分钟级；2015 年11 月，工商银行又成功实施了核心系统第三次切换运行，并在嘉定同城园区连续运行一周，验证同城环境的可用性，达到预期效果。

异地灾备方面，工商银行连续7 年采取临时通知方式组织实施全行业务级灾备应急切换和恢复演练，验证异地灾备部署的效果。