摘要：本文疏理了西方部分發(fā)達(dá)國家銀行信息災(zāi)難備份體系的經(jīng)驗(yàn)和教訓(xùn)，論述了我國銀行信息災(zāi)難備份體系的發(fā)展和不足。根據(jù)我國獨(dú)特國情和所處的國際環(huán)境。從戰(zhàn)略上研究了如何提高銀行信息資源安全和災(zāi)備中心抗災(zāi)能力，提出了完善我國銀行信息災(zāi)難備份體系的新思路。

關(guān)鍵詞：銀行信息資源安全；災(zāi)難備份體系；三足鼎立布局；定期輪換制

中圖分類號(hào)：F830 文獻(xiàn)標(biāo)識(shí)碼：A 文章編號(hào)：1006-1428(2008)09-0082-04

一、西方發(fā)達(dá)國家災(zāi)難備份體系發(fā)展中的經(jīng)驗(yàn)和教訓(xùn)

(一)美聯(lián)儲(chǔ)災(zāi)難備份體系的經(jīng)驗(yàn)

一是在法律法規(guī)上規(guī)定銀行災(zāi)難備份一項(xiàng)否決制。規(guī)定每家銀行都必須達(dá)到災(zāi)難備份體系的要求方可開業(yè)?！?·11”之后，美聯(lián)儲(chǔ)、貨幣監(jiān)理署、證券交易委員會(huì)聯(lián)合發(fā)布了強(qiáng)化金融防災(zāi)能力白皮書，對(duì)災(zāi)難恢復(fù)能力提出嚴(yán)格要求，限定災(zāi)難恢復(fù)能力到位時(shí)間表。

二是在規(guī)劃布局上比較科學(xué)合理。美聯(lián)儲(chǔ)銀行系統(tǒng)主中心與災(zāi)難備份中心的選點(diǎn)分別在美國東北沿海地區(qū)的新澤西州、東部沿海地區(qū)弗吉尼亞州小城市里士滿和西南大陸腹地得克薩斯州大城市達(dá)拉斯，布局比較科學(xué)，具有戰(zhàn)略眼光。三座城市之間的距離分別為：新澤西距里士滿500公里、距達(dá)拉斯2200公里，里士滿距達(dá)拉斯1850公里，拉開了距離，提高了安全性。

三是在系統(tǒng)應(yīng)急演練上頻度較充分。美聯(lián)儲(chǔ)災(zāi)難備份系統(tǒng)每年進(jìn)行3～6次災(zāi)難應(yīng)急演練，應(yīng)急演練的范圍包括所有的系統(tǒng)參與者。

四是在應(yīng)對(duì)危機(jī)上反應(yīng)及時(shí)經(jīng)受了考驗(yàn)。2001年“9·11”危機(jī)事件突發(fā)，美聯(lián)儲(chǔ)立即停止了紐約附近的新澤西美元支付系統(tǒng)主中心的運(yùn)行，將美元支付系統(tǒng)從新澤西州切換到里士滿和達(dá)拉斯的災(zāi)難備份中心。在整個(gè)切換過程中，美元支付系統(tǒng)沒有中斷支付服務(wù)，沒有丟失一個(gè)數(shù)據(jù)。

美國銀行業(yè)信息災(zāi)難備份系統(tǒng)反應(yīng)能力強(qiáng)，安全可靠，能避免美國金融體系遭到破壞，確保美元在全球的支付結(jié)算交易和美元的地位，顯示了災(zāi)難備份體系化解金融信息危機(jī)的決定性作用。

(二)美國大型商業(yè)銀行和紐約國際知名公司的經(jīng)驗(yàn)教訓(xùn)

美洲銀行遠(yuǎn)程管理的經(jīng)驗(yàn)。美國最大商業(yè)銀行美洲銀行的數(shù)據(jù)備份中心在系統(tǒng)出現(xiàn)故障時(shí)，通過電話、警鈴、E-Mail等及時(shí)通知管理人員。遠(yuǎn)程管理將設(shè)備與管理人員均視為需備份的資源，實(shí)行無人管理。其功能可將計(jì)算機(jī)系統(tǒng)置于英國，而將管理中心設(shè)在新加坡進(jìn)行遠(yuǎn)程監(jiān)控。該行在人員管理上設(shè)立了區(qū)域救援隊(duì)和危機(jī)管理隊(duì)，前者負(fù)責(zé)本區(qū)域的災(zāi)難恢復(fù)的執(zhí)行，后者負(fù)責(zé)全局性的協(xié)調(diào)與執(zhí)行。

美國大通銀行采取異地兩組配備的經(jīng)驗(yàn)。該行設(shè)在紐約的銀行處理中心處理在美國的所有美元交易。美聯(lián)儲(chǔ)要求災(zāi)難發(fā)生6小時(shí)內(nèi)恢復(fù)運(yùn)行，該中心2003年后已能在3小時(shí)內(nèi)恢復(fù)。大通銀行的經(jīng)驗(yàn)是在紐約由兩組人員同時(shí)管理生產(chǎn)系統(tǒng)?！?·11”危機(jī)時(shí)。由其中一組成員將距曼哈頓80多公里新澤西州的災(zāi)難備份系統(tǒng)運(yùn)行起來，使銀行關(guān)鍵性業(yè)務(wù)不受損失。

紐約世貿(mào)中心國際知名公司的災(zāi)難性教訓(xùn)?！?·11”危機(jī)事件使設(shè)在紐約世貿(mào)中心多達(dá)1200家國際知名公司遭劫，其中400家及時(shí)啟動(dòng)災(zāi)難恢復(fù)計(jì)劃逃過一劫。而約400家公司在危機(jī)后因缺少災(zāi)備系統(tǒng)，兩個(gè)星期內(nèi)無法恢復(fù)業(yè)務(wù)系統(tǒng)而消亡。

(三)歐洲央行和德國央行災(zāi)難備份體系的經(jīng)驗(yàn)

歐洲央行兩個(gè)系統(tǒng)中心輪換制的經(jīng)驗(yàn)。歐洲央行在德國法蘭克福和意大利羅馬設(shè)立了兩個(gè)系統(tǒng)中心，跨越第三國，相距1000多公里。在運(yùn)行管理上，歐洲央行實(shí)行兩個(gè)系統(tǒng)中心輪換制，兩個(gè)系統(tǒng)中心每隔半年互相輪換一次，輪流作為主中心和災(zāi)備中心。歐洲央行這兩個(gè)系統(tǒng)中心之間還進(jìn)行非實(shí)時(shí)數(shù)據(jù)備份，兩個(gè)中心數(shù)據(jù)相差僅1小時(shí)。

德國央行信息系統(tǒng)互為鏡像的風(fēng)險(xiǎn)管理經(jīng)驗(yàn)。其在法蘭克福設(shè)置了兩個(gè)系統(tǒng)數(shù)據(jù)中心，相距約10公里，并且兩個(gè)中心擁有相同的系統(tǒng)和數(shù)據(jù)庫，互為鏡像，共同工作，采取實(shí)時(shí)備份。當(dāng)其中一個(gè)中心無法工作時(shí)，另一個(gè)中心承擔(dān)起系統(tǒng)數(shù)據(jù)運(yùn)行中心的職責(zé)，直到前一個(gè)中心恢復(fù)正常。

二、我國銀行信息災(zāi)難備份體系的發(fā)展和不足

(一)我國銀行災(zāi)難備份體系的發(fā)展

我國央行的支付清算系統(tǒng)是中國現(xiàn)代化支付系統(tǒng)?，F(xiàn)已擁有北京的主中心和無錫災(zāi)備中心，擬在上海建設(shè)支付系統(tǒng)數(shù)據(jù)備份中心，將形成遠(yuǎn)程災(zāi)難備份中心體系(包括國家處理中心NPC和若干城市處理中心CCPC，集中災(zāi)備中心及支付系統(tǒng)研發(fā)與技術(shù)支持中心)、北京同城數(shù)據(jù)備份中心(含技術(shù)測(cè)試中心)以及32個(gè)城市處理中心的格局。雖然我國災(zāi)難備份中心建設(shè)已有較好的基礎(chǔ)和格局，不過總體上尚處于初級(jí)階段，有待進(jìn)一步完善。

(二)災(zāi)難備份體系和業(yè)務(wù)連續(xù)性計(jì)劃開始引起重視

我國央行支付系統(tǒng)在無錫建設(shè)的災(zāi)難備份中心，于2005年9月底成功進(jìn)行了從北京系統(tǒng)主中心到無錫災(zāi)備中心的應(yīng)急切換演練?？傂行畔⒐芾碇行母鶕?jù)用戶需求，對(duì)每個(gè)系統(tǒng)制定了備份恢復(fù)機(jī)制，并制定了相關(guān)的業(yè)務(wù)連續(xù)性計(jì)劃。我國銀行信息化災(zāi)難備份系統(tǒng)建設(shè)和業(yè)務(wù)連續(xù)性計(jì)劃已逐步得到各家大銀行的重視。工商銀行上海數(shù)據(jù)中心安全部每月進(jìn)行中心層面的應(yīng)急演練。全年的演練對(duì)各技術(shù)部門有一定程度的覆蓋。

國內(nèi)銀行在采用新一代業(yè)務(wù)系統(tǒng)大集中處理模式之后，開始意識(shí)到高度集中帶來的高度風(fēng)險(xiǎn)。大集中后數(shù)據(jù)丟失或系統(tǒng)中斷將對(duì)銀行業(yè)務(wù)造成嚴(yán)重的甚至是災(zāi)難性的影響。為此，完成或在建大集中的銀行按照國務(wù)院信息辦2005年發(fā)布的《重要信息系統(tǒng)災(zāi)難恢復(fù)規(guī)劃指南》有關(guān)要求，都在著手實(shí)施或規(guī)劃災(zāi)難備份的工作。

(三)我國銀行災(zāi)難備份體系的不足

首先，中央銀行方面，支付清算系統(tǒng)災(zāi)難備份體系尚存在以下不足：一是災(zāi)備中心數(shù)量不足，我國遠(yuǎn)程災(zāi)備中心目前只有一個(gè)。二是災(zāi)備中心運(yùn)行時(shí)間不足，我國災(zāi)備中心只有在演練時(shí)運(yùn)行，平時(shí)使用較少。三是備份頻率不足，間隔過長(zhǎng)。我國災(zāi)備中心備份間隔時(shí)間較長(zhǎng)，甚至需等到當(dāng)日業(yè)務(wù)結(jié)束才可以作備份。四是缺少系統(tǒng)切換。我國目前的數(shù)據(jù)備份中心尚缺少系統(tǒng)切換能力。五是與歐美日國家相比，我國將信息系統(tǒng)設(shè)備和管理技術(shù)人員安置在同一區(qū)域，不利于對(duì)專業(yè)人員的保護(hù)。

其次，商業(yè)銀行方面，我國部分大型商業(yè)銀行的災(zāi)備體系已初具規(guī)模，例如中國工商銀行已建立了南北兩個(gè)數(shù)據(jù)中心，南中心為數(shù)據(jù)中心，北中心為備份中心。但是，還有部分商業(yè)銀行的機(jī)房環(huán)境存在安全隱患，信息系統(tǒng)的機(jī)房布局不規(guī)范，缺少基本的災(zāi)備系統(tǒng)，UPS供電能力較低，難以應(yīng)付一般的電力故障。個(gè)別銀行分支行甚至將主機(jī)房建在食堂或快餐店之上，火災(zāi)隱患較為突出，曾出現(xiàn)過火災(zāi)案例。

4、我國災(zāi)難備份體系的規(guī)劃布局尚欠合理

現(xiàn)階段我國銀行進(jìn)行了數(shù)據(jù)集中建設(shè)，備份中心、數(shù)據(jù)中心的規(guī)劃建設(shè)布局基本上集中在北京、長(zhǎng)三角等沿海地區(qū)，雖然分布在南北兩地，但同屬于東部沿海地區(qū)，規(guī)劃布局尚欠合理，這使得我國的銀行信息系統(tǒng)在發(fā)生恐怖襲擊、地區(qū)沖突或敵對(duì)勢(shì)力入侵等情況時(shí)相對(duì)脆弱，潛在的災(zāi)難性風(fēng)險(xiǎn)較大。

三、提高銀行信息資源安全和災(zāi)備中心抗災(zāi)能力，探索銀行信息災(zāi)備體系新思路

(一)在認(rèn)識(shí)上要把災(zāi)難備份體系視為危機(jī)爆發(fā)前的事前決策

銀行信息化關(guān)系到金融穩(wěn)定和國家安危，為了保證銀行業(yè)務(wù)的連續(xù)性，必須建立危機(jī)事前決策應(yīng)急預(yù)案。一旦發(fā)生銀行信息化系統(tǒng)中心遭遇自然災(zāi)害、火災(zāi)、恐怖襲擊、敵對(duì)勢(shì)力入侵等嚴(yán)重的形勢(shì)時(shí)，就及時(shí)切換到災(zāi)難備份中心，保證銀行信息資源安全與業(yè)務(wù)連續(xù)運(yùn)轉(zhuǎn)。

不僅央行要建立銀行信息化系統(tǒng)主中心和災(zāi)備中心，大型商業(yè)銀行也要建立自己的數(shù)據(jù)中心和備份中心，都要擁有防范危機(jī)和化解風(fēng)險(xiǎn)的應(yīng)變能力。

要保障災(zāi)難備份體系的安全運(yùn)行，離不開通信衛(wèi)星、網(wǎng)絡(luò)通信系統(tǒng)的安全。自主研究掌握核心技術(shù)和關(guān)鍵技術(shù)，根據(jù)我國特殊的國際環(huán)境和特有的國情，需要將其納入科技攻關(guān)規(guī)劃。在決策時(shí)還要重視汲取國內(nèi)外的經(jīng)驗(yàn)教訓(xùn)?！?·11事件”表明：系統(tǒng)主機(jī)不應(yīng)該放置在總部；遠(yuǎn)程安全設(shè)備應(yīng)該覆蓋所有的備份數(shù)據(jù)服務(wù)器：所有的系統(tǒng)和用戶文件都應(yīng)該被有規(guī)律地備份。

危機(jī)是突然降臨的。我國的銀行信息化決策建立災(zāi)難備份中心時(shí)，如僅考慮自然災(zāi)害、電力故障，而不將恐怖襲擊或敵對(duì)勢(shì)力入侵等因素考慮進(jìn)去是不明智的。

(二)主中心和災(zāi)難備份中心布局以三足鼎立為好

我國銀行信息化系統(tǒng)災(zāi)備中心的建設(shè)規(guī)劃應(yīng)具有前瞻性。我國已建成的支付系統(tǒng)北京主中心和無錫災(zāi)備中心兩地相距1000公里，拉開了距離是好的。但是均處于東部沿海地帶，一旦發(fā)生大面積電力故障、嚴(yán)重的自然災(zāi)害、恐怖襲擊或入侵，可能同時(shí)遭受破壞。建議在中西部?jī)?nèi)陸地區(qū)交通、通信條件好并且遠(yuǎn)離地質(zhì)斷裂的地帶選址再建一個(gè)災(zāi)備中心，擁有第二個(gè)災(zāi)備中心就可同時(shí)應(yīng)對(duì)兩次危機(jī)事件，總的布局形成三足鼎立之勢(shì)，就更加科學(xué)合理。北京、無錫與中西部地區(qū)分別相距1000公里以上。如果發(fā)生導(dǎo)彈或遠(yuǎn)程轟炸機(jī)入侵，因目標(biāo)處在大陸腹地所需航程較遠(yuǎn)，有利于組織攔截。這樣，我國銀行信息資源安全和災(zāi)備中心的抗災(zāi)能力就進(jìn)一步提高。建設(shè)災(zāi)難備份中心從成本上看是巨額投資，但是從戰(zhàn)略上看是必要的，要未雨綢繆早下決策。

(三)完善保密制度和安保體系，第二個(gè)災(zāi)備中心要堅(jiān)不可摧

一是嚴(yán)格保密制度和安保體系。銀行信息化系統(tǒng)災(zāi)難備份中心需要完善的保密制度和嚴(yán)密的安保體系，注重信息安全意識(shí)的培育和制度、設(shè)施的健全。對(duì)周邊環(huán)境、場(chǎng)所內(nèi)各系統(tǒng)、重要通道和場(chǎng)地實(shí)行24小時(shí)監(jiān)控，任何人進(jìn)出機(jī)房或控制室均要通過IC卡雙重門禁查驗(yàn)。除嚴(yán)密監(jiān)控的門禁以外，不應(yīng)有其他任何潛在的出入途徑，如門窗、通風(fēng)管道、下水管道等。

二是第二個(gè)災(zāi)備中心基地場(chǎng)所要堅(jiān)不可摧。不但能經(jīng)得起巡航導(dǎo)彈的轟炸或TNT高能常規(guī)炸彈的爆破，而且能防御真空炸彈或未來能深鉆百米的高科技爆破裝置。理想的場(chǎng)所是離山頂數(shù)百米深的花崗巖山體隧道地穴中，地質(zhì)穩(wěn)定，堅(jiān)不可摧。對(duì)此，應(yīng)用現(xiàn)代化與高性能的鑿巖機(jī)施工并不難，且山區(qū)地價(jià)低廉有利于控制投資，隧道保溫良好，可節(jié)約能源。此外，山區(qū)地形地貌便于隱蔽偽裝，山區(qū)地域廣大便于周邊圈地，也有利于武警守衛(wèi)，提高場(chǎng)所的安全性。

(四)主中心與災(zāi)難備份中心實(shí)行定期輪換制

一是主中心與備份中心之間實(shí)行定期輪換制。由于災(zāi)難事件而切換災(zāi)備系統(tǒng)的概率較小，運(yùn)作費(fèi)用又很可觀，影響災(zāi)難備份中心的充分運(yùn)用。但僅僅依賴災(zāi)備中心的演習(xí)是不夠的，因?yàn)楣芾砣藛T、技術(shù)人員缺乏實(shí)際操作機(jī)會(huì)，災(zāi)難突發(fā)時(shí)能否保障緊急啟用系統(tǒng)并穩(wěn)定運(yùn)行是一個(gè)現(xiàn)實(shí)問題。所以，災(zāi)備系統(tǒng)設(shè)計(jì)指揮人員需要改變系統(tǒng)數(shù)據(jù)中心功能單一的傳統(tǒng)思維定勢(shì)，結(jié)束一個(gè)為主中心、一個(gè)為備份中心的固定模式，盡快實(shí)現(xiàn)系統(tǒng)主中心與系統(tǒng)備份中心相互定期輪換制。這樣可避免災(zāi)備中心因長(zhǎng)期不用而在應(yīng)急啟動(dòng)時(shí)容易出現(xiàn)的故障，從而提高了系統(tǒng)的整體可靠性和穩(wěn)定性。

二是兩個(gè)中心內(nèi)部工作人員實(shí)行定期輪換制。將管理、技術(shù)與開發(fā)人員分成兩組，規(guī)定具體輪換周期。保證兩組人員都具備系統(tǒng)的運(yùn)作能力，積累處理各類問題的經(jīng)驗(yàn)，從而提高災(zāi)難備份系統(tǒng)的可靠性。

三是同城系統(tǒng)及數(shù)據(jù)中心要分設(shè)在市區(qū)和郊區(qū)相距10～80公里的兩處，除了配置相同的設(shè)備、系統(tǒng)及數(shù)據(jù)庫，互為鏡像，還要配備AB兩組人員同時(shí)管理運(yùn)行，相互實(shí)行實(shí)時(shí)備份，以確保銀行關(guān)鍵性業(yè)務(wù)不受損失。

(五)抓緊災(zāi)難恢復(fù)人才培養(yǎng)和BCM培訓(xùn)

由于金融信息系統(tǒng)高度機(jī)密關(guān)系全局，其危機(jī)應(yīng)急、恢復(fù)，不能允許外部人員介人，要靠自主解決。為此，在建設(shè)災(zāi)難備份中心的同時(shí)，為應(yīng)對(duì)危機(jī)風(fēng)險(xiǎn)，還應(yīng)培養(yǎng)災(zāi)難恢復(fù)專門人才。據(jù)國際災(zāi)難恢復(fù)協(xié)會(huì)(DRII)主席兼首席執(zhí)行官John B，Copenharer透露，自1988年起至2005年，經(jīng)DRII培訓(xùn)并認(rèn)證的專家已近3500名，中國內(nèi)地僅占一名。此外，銀行、證券、保險(xiǎn)、電力、鐵路、民航、海關(guān)、稅務(wù)等八大行業(yè)關(guān)系到國民經(jīng)濟(jì)的運(yùn)行和國計(jì)民生的大局，均有必要與金融業(yè)同步建設(shè)相應(yīng)的災(zāi)備體系，強(qiáng)化業(yè)務(wù)連續(xù)性管理(BCM)。由于它涉及災(zāi)難恢復(fù)計(jì)劃、災(zāi)難管理、災(zāi)難恢復(fù)站點(diǎn)、測(cè)試災(zāi)難恢復(fù)計(jì)劃等，所以BCM是一項(xiàng)重要的長(zhǎng)期而復(fù)雜的工作。金融是經(jīng)濟(jì)的核心，銀行業(yè)則是重中之重，除了盡早培養(yǎng)BCM專門人才以外，其領(lǐng)導(dǎo)和業(yè)務(wù)管理、信息管理人員也要接受BCM相關(guān)培訓(xùn)。

(責(zé)任編輯：姜天鷹)